Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Ruoli collegati al servizio per IPAM
I ruoli collegati al servizio in AWS Identity and Access Management (IAM) abilitano i servizi AWS a chiamare altri servizi AWS per tuo conto. Per ulteriori informazioni sui ruoli collegati al servizio, consulta Utilizzo dei ruoli collegati al servizio nella Guida per l'utente IAM.
Attualmente esiste un solo ruolo collegato al servizio per IPAM: AWSServiceRoleForIPAM.
Autorizzazioni concesse al ruolo collegato al servizio
IPAM utilizza il ruolo collegato al servizio AWSServiceRoleForIPAM per chiamare le azioni nella policy gestita AWSIPAMServiceRolePolicy. Per ulteriori informazioni sulle operazioni consentite in tale policy, consulta Policy gestite da AWS per IPAM.
Questo ruolo collegato al servizio dispone inoltre di una policy di attendibilità IAM che autorizza il servizio ipam.amazonaws.com
ad assumere il ruolo collegato al servizio.
Creazione del ruolo collegato ai servizi
IPAM monitora l'utilizzo dell'indirizzo IP in uno o più account assumendo il ruolo collegato al servizio in un account, individuando le risorse e i relativi CIDR e integrando le risorse con IPAM.
Il ruolo collegato al servizio viene creato in due modi:
-
Quando si integra con AWS Organizations
Se si Integrare IPAM con gli account di un'organizzazione AWS utilizzano la console IPAM o il comando AWS CLI
enable-ipam-organization-admin-account
, il ruolo collegato al servizio AWSServiceRoleForIPAM viene creato automaticamente in ciascuno dei propri account membri di AWS Organizations. Di conseguenza, le risorse all'interno di tutti gli account membri sono individuabili da IPAM.Importante
Affinché IPAM crei per tuo conto il ruolo collegato al servizio:
-
L’Account di gestione di Organizations AWS che consente l'integrazione IPAM con Organizations AWS deve disporre di una policy IAM che consenta di svolgere le seguenti azioni:
-
ec2:EnableIpamOrganizationAdminAccount
-
organizations:EnableAwsServiceAccess
-
organizations:RegisterDelegatedAdministrator
-
iam:CreateServiceLinkedRole
-
-
L'account IPAM deve disporre di una policy IAM che consenta l’operazione
iam:CreateServiceLinkedRole
.
-
-
Quando si crea un IPAM utilizzando un singolo account AWS
Se si Utilizza IPAM con un singolo account, il ruolo collegato al servizio AWSServiceRoleForIPAM viene creato automaticamente quando si crea un IPAM come tale account.
Importante
Se si utilizza IPAM con un singolo account AWS, prima di creare un IPAM, è necessario assicurarsi che l'account AWS utilizzato abbia una policy IAM collegata che consenta l'operazione
iam:CreateServiceLinkedRole
. Quando si crea l'IPAM, si crea automaticamente il ruolo collegato di servizio AWSServiceRoleForIPAM. Per maggiori informazioni sulla gestione di una policy IAM, consultare Creazione di policy IAM nella Guida per l'utente di IAM.
Modifica del ruolo collegato ai servizi
Non è possibile modificare il ruolo collegato al servizio AWSServiceRoleForIPAM.
Eliminazione del ruolo collegato ai servizi
Se non occorre più utilizzare IPAM, è consigliabile eliminare il ruolo collegato al servizio AWSServiceRoleForIPAM.
Nota
Puoi eliminare il ruolo collegato al servizio solo dopo aver eliminato tutte le risorse IPAM nell'account AWS. Questo impedisce di rimuovere involontariamente la capacità di monitoraggio dell'IPAM.
Attenersi alla seguente procedura per eliminare il ruolo collegato al servizio tramite al CLI di AWS:
Elimina le risorse IPAM utilizzando deprovision-ipam-pool-cidr e delete-ipam. Per ulteriori informazioni, consulta Revoca del provisioning di CIDR da un pool e Elimina un IPAM.
Disabilita l'account IPAM con disable-ipam-organization-admin-account.
Disabilita il servizio IPAM con disable-aws-service-access
utilizzando l'opzione --service-principal ipam.amazonaws.com
.Elimina il ruolo collegato al servizio: delete-service-linked-role
. Quando elimini il ruolo collegato al servizio, viene eliminata anche la policy gestita da IPAM. Per ulteriori informazioni, consultare Eliminazione del ruolo collegato ai servizi nella Guida per l'utente di IAM.