IPAM의 서비스 연결 역할 - Amazon Virtual Private Cloud
서비스 연결 역할에 부여된 권한서비스 연결 역할 생성서비스 연결 역할 편집서비스 연결 역할 삭제

IPAM의 서비스 연결 역할

AWS Identity and Access Management(IAM)의 서비스 연결 역할을 사용하면 AWS 서비스가 대신 다른 AWS 서비스를 호출할 수 있습니다. 서비스 연결 역할에 대한 자세한 내용은 IAM 사용 설명서서비스 연결 역할 사용을 참조하세요

현재 IPAM에는 다음 서비스 연결 역할 1개만 있습니다. AWSServiceRoleForIPAM.

서비스 연결 역할에 부여된 권한

IPAM은 AWSServiceRoleForIPAM 서비스 연결 역할을 사용하여 연결된 AWSIPAMServiceRolePolicy 관리형 정책에서 작업을 호출합니다. 해당 정책에서 허용된 작업에 대한 자세한 내용은 IPAM에 대한 AWS 관리형 정책 섹션을 참조하세요.

또한 서비스 연결 역할에는 ipam.amazonaws.com 서비스가 서비스 연결 역할을 맡도록 허용하는 IAM 신뢰 정책이 연결되어 있습니다.

서비스 연결 역할 생성

IPAM은 계정에서 서비스 연결 역할을 맡고, 리소스 및 해당 CIDR을 검색하고, 리소스를 IPAM과 통합하여 하나 이상의 계정의 IP 주소 사용량을 모니터링합니다.

서비스 연결 역할은 다음의 두 가지 방법 중 하나로 생성됩니다.

  • AWS Organizations과 통합하는 경우

    IPAM 콘솔 AWS Organization에서 계정과 IPAM 통합또는 enable-ipam-organization-admin-account AWS CLI 명령을 사용하는 경우 AWSServiceRoleForIPAM 서비스 연결 역할이 각 AWS Organizations 멤버 계정에서 자동으로 생성됩니다. 따라서 모든 멤버 계정 내의 리소스는 IPAM에서 검색할 수 있습니다.

    중요

    IPAM이 사용자를 대신하여 서비스 연결 역할을 생성할 수 있도록 하려면 다음을 수행합니다.

    • AWS Organizations과 IPAM 통합을 사용하는 AWS Organizations 관리 계정에는 다음 작업을 허용하는 IAM 정책이 연결되어 있어야 합니다.

      • ec2:EnableIpamOrganizationAdminAccount

      • organizations:EnableAwsServiceAccess

      • organizations:RegisterDelegatedAdministrator

      • iam:CreateServiceLinkedRole

    • IPAM 계정에는 iam:CreateServiceLinkedRole 작업을 허용하는 IAM 정책이 연결되어 있어야 합니다.

  • 단일 AWS 계정을 사용하여 IPAM을 생성하는 경우

    단일 계정을 통해 IPAM 사용이면 해당 계정으로 IPAM을 생성할 때 AWSServiceRoleForIPAM 서비스 연결 역할이 자동으로 생성됩니다.

    중요

    단일 AWS 계정으로 IPAM을 사용하는 경우, IPAM을 생성하기 전에 사용 중인 AWS 계정에 iam:CreateServiceLinkedRole 작업을 허용하는 IAM 정책이 연결되어 있는지 확인해야 합니다. IPAM을 생성할 경우 AWSServiceRoleForIPAM 서비스 연결 역할이 자동으로 생성됩니다. IAM 정책 관리에 대한 자세한 내용은 IAM 사용 설명서IAM 정책 편집을 참조하세요.

서비스 연결 역할 편집

AWSServiceRoleForIPAM 서비스 연결 역할은 편집할 수 없습니다.

서비스 연결 역할 삭제

IPAM을 더 이상 사용할 필요 없는 경우 AWSServiceRoleForIPAM 서비스 연결 역할을 삭제하는 것이 좋습니다.

참고

서비스 연결 역할은 AWS 계정에서 IPAM 리소스를 모두 삭제한 후에만 삭제할 수 있습니다. 이렇게 하면 IPAM의 모니터링 기능은 실수로 제거될 수 없습니다.

AWS CLI를 통해 서비스 연결 역할을 삭제하려면 다음 단계를 따릅니다.

  1. deprovision-ipam-pool-cidrdelete-ipam을 사용하여 IPAM 리소스를 삭제합니다. 자세한 내용은 풀에서 CIDR 프로비저닝 해제IPAM 삭제 섹션을 참조하세요.

  2. disable-ipam-organization-admin-account를 사용하여 IPAM 계정을 사용 중지합니다.

  3. --service-principal ipam.amazonaws.com 옵션을 사용하여 disable-aws-service-access로 IPAM 서비스를 사용 중지합니다.

  4. 서비스 연결 역할 삭제: delete-service-linked-role. 서비스 연결 역할을 삭제하면 IPAM 관리형 정책도 삭제됩니다. 자세한 내용은 IAM 사용 설명서의 서비스에 연결 역할 삭제를 참조하십시오.