IPAM のサービスリンクロール - Amazon Virtual Private Cloud

IPAM のサービスリンクロール

AWS Identity and Access Management (IAM) のサービスリンクロールを使用すると、AWS サービスがユーザーに代わって他の AWS サービスを呼び出すことができるようになります。サービスリンクロールの詳細については、IAM ユーザーガイドサービスにリンクされたロールの使用を参照してください。

現在、IPAM には、サービスリンクロールが AWSServiceRoleForIPAM の 1 つしかありません。

サービスリンクロールによって付与されるアクセス許可

IPAM は、AWSServiceRoleForIPAM サービスリンクロールを使用して、AWSIPAMServiceRolePolicy マネージドポリシーにアタッチされているアクションを呼び出します。そのポリシーで許可されるアクションの詳細については、IPAM の AWS マネージドポリシーを参照してください。

このサービスリンクロールには、ipam.amazonaws.com サービスがサービスリンクロールを継承することを可能にする IAM 信頼ポリシーもアタッチされています。

サービスにリンクされたロールの作成

IPAM は、アカウント内のサービスがリンクされたロールを引継ぎ、リソースとその CIDR を検出し、リソースを IPAM に統合することによって、1 つ以上のアカウントの IP アドレスの使用状況をモニタリングします。

サービスにリンクされたロールは、次の 2 つの方法のいずれかで作成されます。

  • AWS 組織と統合する場合

    IPAM コンソールまたは enable-ipam-organization-admin-account AWS CLI コマンドを使用して IPAM を AWS Organizations と統合する する場合、各 AWS 組織メンバーのアカウントに対して、AWSServiceRoleForIPAM サービスにリンクされたロールが自動的に作成されます。その結果、すべてのメンバーアカウント内のリソースは、IPAM によって検出されます。

    重要

    IPAM がユーザーに代わってサービスにリンクしたロールを作成する場合

    • IPAM と AWS 組織の統合を可能にする AWS 組織の管理アカウントには、次のアクションを許可する IAM ポリシーがアタッチされている必要があります。

      • ec2:EnableIpamOrganizationAdminAccount

      • organizations:EnableAwsServiceAccess

      • organizations:RegisterDelegatedAdministrator

      • iam:CreateServiceLinkedRole

    • IPAM アカウントには、iam:CreateServiceLinkedRole アクションを許可する IAM ポリシーがアタッチされている必要があります。

  • 1 つの AWS アカウントを使用して IPAM を作成する場合

    IPAM を 1 つのアカウントで使用する の場合、そのアカウントとして IPAM を作成すると、AWSServiceRoleForIPAM サービスにリンクされたロールが自動的に作成されます。

    重要

    1 つの AWS アカウントで IPAM を使用する場合は、IPAM を作成する前に、使用する AWS アカウントに iam:CreateServiceLinkedRole アクションを許可する IAM ポリシーがアタッチされていることを確認する必要があります。IPAM を作成した場合、AWSServiceRoleForIPAM サービスにリンクされたロールが自動的に作成されます。IAM ユーザーポリシーの管理の詳細については、「IAM ユーザーガイド」の「IAM ポリシーの編集」を参照してください。

サービスにリンクされたロールを編集する

AWSServiceRoleForIPAM サービスリンクロールを編集することはできません。

サービスにリンクされたロールを削除する

IPAM を使用する必要がなくなった場合は、AWSServiceRoleForIPAM サービスリンクロールを削除することをお勧めします。

注記

サービスリンクロールを削除するには、AWS アカウントの IPAM リソースをすべて削除する必要があります。これにより、IPAM のモニタリング機能を誤って削除することがなくなります。

AWS CLI を使用して、サービスリンクロールを削除するには、次のステップを実行します。

  1. deprovision-ipam-pool-cidr および delete-ipam を使用して IPAM を削除します。詳細については、「プールから CIDR のプロビジョニングを解除するには」および「IPAM を削除する」を参照してください。

  2. disable-ipam-organization-admin-account を使用して、IPAM アカウントを無効化します。

  3. disable-aws-service-access--service-principal ipam.amazonaws.com オプションを使用して、IPAM サービスを無効化します。

  4. delete-service-linked-role を使用して、サービスリンクロールを削除します。サービスリンクロールを削除すると、IPAM ポリシーも削除されます。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの削除」を参照してください。