Ruoli collegati al servizio per IPAM

I ruoli collegati al servizio in AWS Identity and Access Management (IAM) abilitano i servizi AWS a chiamare altri servizi AWS per tuo conto. Per ulteriori informazioni sui ruoli collegati al servizio, consulta Utilizzo dei ruoli collegati al servizio nella Guida per l'utente IAM.

Attualmente esiste un solo ruolo collegato al servizio per IPAM: AWSServiceRoleForIPAM.

Autorizzazioni concesse al ruolo collegato al servizio

IPAM utilizza il ruolo collegato al servizio AWSServiceRoleForIPAM per chiamare le azioni nella policy gestita AWSIPAMServiceRolePolicy. Per ulteriori informazioni sulle operazioni consentite in tale policy, consulta Policy gestite da AWS per IPAM.

Questo ruolo collegato al servizio dispone inoltre di una policy di attendibilità IAM che autorizza il servizio ipam.amazonaws.com ad assumere il ruolo collegato al servizio.

Creazione del ruolo collegato ai servizi

IPAM monitora l'utilizzo dell'indirizzo IP in uno o più account assumendo il ruolo collegato al servizio in un account, individuando le risorse e i relativi CIDR e integrando le risorse con IPAM.

Il ruolo collegato al servizio viene creato in due modi:

• Quando si integra con AWS Organizations

  Se si Integrare IPAM con gli account di un'organizzazione AWS utilizzano la console IPAM o il comando AWS CLI enable-ipam-organization-admin-account, il ruolo collegato al servizio AWSServiceRoleForIPAM viene creato automaticamente in ciascuno dei propri account membri di AWS Organizations. Di conseguenza, le risorse all'interno di tutti gli account membri sono individuabili da IPAM.

  Importante

  Affinché IPAM crei per tuo conto il ruolo collegato al servizio:

  • L’Account di gestione di Organizations AWS che consente l'integrazione IPAM con Organizations AWS deve disporre di una policy IAM che consenta di svolgere le seguenti azioni:

    • ec2:EnableIpamOrganizationAdminAccount

    • organizations:EnableAwsServiceAccess

    • organizations:RegisterDelegatedAdministrator

    • iam:CreateServiceLinkedRole

  • L'account IPAM deve disporre di una policy IAM che consenta l’operazione iam:CreateServiceLinkedRole.

• Quando si crea un IPAM utilizzando un singolo account AWS

  Se si Utilizza IPAM con un singolo account, il ruolo collegato al servizio AWSServiceRoleForIPAM viene creato automaticamente quando si crea un IPAM come tale account.

  Importante

  Se si utilizza IPAM con un singolo account AWS, prima di creare un IPAM, è necessario assicurarsi che l'account AWS utilizzato abbia una policy IAM collegata che consenta l'operazione iam:CreateServiceLinkedRole. Quando si crea l'IPAM, si crea automaticamente il ruolo collegato di servizio AWSServiceRoleForIPAM. Per maggiori informazioni sulla gestione di una policy IAM, consultare Creazione di policy IAM nella Guida per l'utente di IAM.

Modifica del ruolo collegato ai servizi

Non è possibile modificare il ruolo collegato al servizio AWSServiceRoleForIPAM.

Eliminazione del ruolo collegato ai servizi

Se non occorre più utilizzare IPAM, è consigliabile eliminare il ruolo collegato al servizio AWSServiceRoleForIPAM.

Nota

Puoi eliminare il ruolo collegato al servizio solo dopo aver eliminato tutte le risorse IPAM nell'account AWS. Questo impedisce di rimuovere involontariamente la capacità di monitoraggio dell'IPAM.

Attenersi alla seguente procedura per eliminare il ruolo collegato al servizio tramite al CLI di AWS:

1. Elimina le risorse IPAM utilizzando deprovision-ipam-pool-cidr e delete-ipam. Per ulteriori informazioni, consulta Revoca del provisioning di CIDR da un pool e Elimina un IPAM.

2. Disabilita l'account IPAM con disable-ipam-organization-admin-account.

3. Disabilita il servizio IPAM con disable-aws-service-access utilizzando l'opzione --service-principal ipam.amazonaws.com.

4. Elimina il ruolo collegato al servizio: delete-service-linked-role. Quando elimini il ruolo collegato al servizio, viene eliminata anche la policy gestita da IPAM. Per ulteriori informazioni, consultare Eliminazione del ruolo collegato ai servizi nella Guida per l'utente di IAM.