IPAM の AWS マネージドポリシー - Amazon Virtual Private Cloud
AWS マネージドポリシーに対する更新

IPAM の AWS マネージドポリシー

IPAM を 1 つの AWS アカウント使用している状況で IPAM を作成する場合、AWSIPAMServiceRolePolicy マネージドポリシーは自動的に IAM アカウントに作成され、 AWSServiceRoleForIPAM サービスにリンクされたロールにアタッチされます。

AWS 組織との IPAM 統合を有効にすると、AWSIPAMServiceRolePolicy 管理ポリシーが IAM アカウントと各 AWS の組織メンバーアカウントに自動的に作成され、管理ポリシーが AWSServiceRoleForIPAM サービスにリンクされたロールにアタッチされます。

このマネージドポリシーによって、IPAM で以下のことが実行できるようになります。

  • AWS Organizations のすべてのメンバーで、EC2 ネットワークリソースに関連付けられた CIDR を監視します。

  • IPAM プールで使用可能な IP アドレス空間や、割り当てルールに準拠しているリソース CIDR の数など、IPAM に関連するメトリクスを Amazon CloudWatch に保存する。

次の例は、作成されるマネージドポリシーの詳細を表示したものです。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "IPAMDiscoveryDescribeActions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAddresses",
                "ec2:DescribeByoipCidrs",
                "ec2:DescribeIpv6Pools",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribePublicIpv4Pools",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSecurityGroupRules",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeVpnConnections",
                "ec2:GetIpamDiscoveredAccounts",
                "ec2:GetIpamDiscoveredPublicAddresses",
                "ec2:GetIpamDiscoveredResourceCidrs",
                "globalaccelerator:ListAccelerators",
                "globalaccelerator:ListByoipCidrs",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CloudWatchMetricsPublishActions",
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/IPAM"
                }
            }
        }
    ]
}

前の例の最初のステートメントにより、IPAM は、1 つの AWS アカウントまたは AWS 組織のメンバーによって使用される CIDR を監視できます。

上記の例の 2 番目のステートメントでは、cloudwatch:PutMetricData 条件キーを使用して、IPAM が AWS/IPAM Amazon CloudWatch 名前空間 に IPAM メトリクスを保存できるようにします。これらのメトリクスは、IPAM プールとスコープ内の割り当てに関するデータを表示するために、AWS マネジメントコンソールで使用されます。(詳しくは、「IPAM ダッシュボードで CIDR の使用状況をモニタリングする」を参照してください。)

AWS マネージドポリシーに対する更新

IPAM の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。

変更 説明 日付

AWSIPAMServiceRolePolicy

リソース検出中に IPAM がパブリック IP アドレスを取得できるようにするアクションが awSipamServiceRolePolicy 管理ポリシー (ec2:GetIpamDiscoveredPublicAddresses) に追加されました。

 2023 年 11 月 13 日

AWSIPAMServiceRolePolicy

 リソース検出時に IP アドレス管理がパブリック IP アドレスを取得できるように、awSipAmServiceRolePolicy 管理ポリシー (ec2:DescribeAccountAttributesec2:DescribeNetworkInterfacesec2:DescribeSecurityGroupsec2:DescribeSecurityGroupRulesec2:DescribeVpnConnectionsglobalaccelerator:ListAccelerators、および globalaccelerator:ListByoipCidrs) にアクションが追加されました。 2023 年 11 月 1 日

AWSIPAMServiceRolePolicy

AWSIPAMServiceRolePolicy マネージドポリシーに 2 つのアクション (ec2:GetIpamDiscoveredAccounts および ec2:GetIpamDiscoveredResourceCidrs) が追加され、IPAM がリソース検出中に監視対象の AWS アカウントとリソース CIDR を取得できるようになりました。

 2023 年 1 月 25 日
IPAM が変更の追跡を開始しました

IPAM が AWS マネージドポリシーの変更の追跡を開始しました。

 2021 年 12 月 2 日