IPAM のサービスリンクロール
IPAM は、AWS Identity and Access Management (IAM) のサービスリンクロールを使用します。サービスリンクロールとは、一意のタイプの IAM ロールです。サービスリンクロールは、IPAM による事前定義済みのロールであり、ユーザーに代わってサービスから他の AWS のサービスを呼び出すために必要なすべてのアクセス許可を備えています。
サービスにリンクされたロールを使用することで、必要なアクセス権限を手動で追加する必要がなくなるため、IPAM の設定が簡単になります。IPAM は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、IPAM のみがそのロールを引き受けることができます。定義したアクセス許可には、信頼ポリシーと許可ポリシーが含まれます。この許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスにリンクされたロールのアクセス許可
IPAM は、AWSServiceRoleForIPAM サービスリンクロールを使用して、AWSIPAMServiceRolePolicy マネージドポリシーにアタッチされているアクションを呼び出します。そのポリシーで許可されるアクションの詳細については、IPAM の AWS マネージドポリシーを参照してください。
このサービスリンクロールには、ipam.amazonaws.com
サービスがサービスリンクロールを継承することを可能にする IAM 信頼ポリシーもアタッチされています。
サービスにリンクされたロールの作成
IPAM は、アカウント内のサービスがリンクされたロールを引継ぎ、リソースとその CIDR を検出し、リソースを IPAM に統合することによって、1 つ以上のアカウントの IP アドレスの使用状況をモニタリングします。
サービスにリンクされたロールは、次の 2 つの方法のいずれかで作成されます。
-
AWS Organizations と統合する場合
IPAM コンソールまたは
enable-ipam-organization-admin-account
AWS CLI コマンドを使用して IPAM を AWS Organizations 内のアカウントと統合する する場合、各 AWS Organizations メンバーのアカウントに対して、AWSServiceRoleForIPAM サービスにリンクされたロールが自動的に作成されます。その結果、すべてのメンバーアカウント内のリソースは、IPAM によって検出されます。重要
IPAM がユーザーに代わってサービスにリンクしたロールを作成する場合
-
IPAM と AWS 組織の統合を可能にする AWS 組織の管理アカウントには、次のアクションを許可する IAM ポリシーがアタッチされている必要があります。
-
ec2:EnableIpamOrganizationAdminAccount
-
organizations:EnableAwsServiceAccess
-
organizations:RegisterDelegatedAdministrator
-
iam:CreateServiceLinkedRole
-
-
IPAM アカウントには、
iam:CreateServiceLinkedRole
アクションを許可する IAM ポリシーがアタッチされている必要があります。
-
-
1 つの AWS アカウントを使用して IPAM を作成する場合
IPAM を 1 つのアカウントで使用する の場合、そのアカウントとして IPAM を作成すると、AWSServiceRoleForIPAM サービスにリンクされたロールが自動的に作成されます。
重要
1 つの AWS アカウントで IPAM を使用する場合は、IPAM を作成する前に、使用する AWS アカウントに
iam:CreateServiceLinkedRole
アクションを許可する IAM ポリシーがアタッチされていることを確認する必要があります。IPAM を作成した場合、AWSServiceRoleForIPAM サービスにリンクされたロールが自動的に作成されます。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの説明の編集」を参照してください。
サービスにリンクされたロールを編集する
AWSServiceRoleForIPAM サービスリンクロールを編集することはできません。
サービスにリンクされたロールを削除する
IPAM を使用する必要がなくなった場合は、AWSServiceRoleForIPAM サービスリンクロールを削除することをお勧めします。
注記
サービスリンクロールを削除するには、AWS アカウントの IPAM リソースをすべて削除する必要があります。これにより、IPAM のモニタリング機能を誤って削除することがなくなります。
AWS CLI を使用して、サービスリンクロールを削除するには、次のステップを実行します。
deprovision-ipam-pool-cidr
および delete-ipam を使用して IPAM を削除します。詳細については、プールから CIDR のプロビジョニングを解除するにはおよびIPAM を削除するを参照してください。 disable-ipam-organization-admin-account
を使用して、IPAM アカウントを無効化します。 disable-aws-service-access
で --service-principal ipam.amazonaws.com
オプションを使用して、IPAM サービスを無効化します。delete-service-linked-role
を使用して、サービスリンクロールを削除します。サービスリンクロールを削除すると、IPAM ポリシーも削除されます。詳細については、 IAM ユーザーガイド の「サービスにリンクされたロールの削除」を参照してください。