IPAM 的服務連結角色

AWS Identity and Access Management 中的服務連結角色 (IAM) 可讓 AWS 服務能代表您呼叫其他 AWS 服務。如需服務連結角色的詳細資訊，請參閱《IAM 使用者指南》中的使用服務連結角色。

IPAM 目前只有一個服務連結角色：AWSServiceRoleForIPAM。

授予服務連結角色的許可

IPAM 使用 AWSServiceRoleForIPAM 服務連結角色來呼叫附加 AWSIPAMServiceRolePolicy 受管政策中的動作。如需有關該政策中允許之動作的詳細資訊，請參閱 IPAM 的 AWS 受管政策。

服務連結角色亦會連接 IAM 信任政策，以允許 ipam.amazonaws.com 服務擔任服務連結角色。

IPAM 會擔任帳戶中的服務連結角色、探索資源及其 CIDR，並將資源與 IPAM 整合，以監控一或多個帳戶中的 IP 地址使用情況。

有兩種建立服務連結角色的方式：

當您與 AWS Organizations 整合時

如果您使用 IPAM 主控台或使用 enable-ipam-organization-admin-account AWS CLI 命令將 IPAM 與組 AWS 織中的帳戶整合，則會自動在您的每個 AWS Organizations 成員帳戶中建立 AWSServiceRoleForIPAM 服務連結角色。因此，IPAM 可以探索所有成員帳戶內的資源。
重要
若要讓 IPAM 代表您建立服務連結角色：
- 啟用 IPAM 與 AWS Organizations 整合的 AWS Organizations 管理帳戶必須連接允許以下動作的 IAM 政策：
  
  ec2:EnableIpamOrganizationAdminAccount
  
  organizations:EnableAwsServiceAccess
  
  organizations:RegisterDelegatedAdministrator
  
  iam:CreateServiceLinkedRole
- IPAM 帳戶必須連接允許 iam:CreateServiceLinkedRole 動作的 IAM 政策。
當您使用單一 AWS 帳戶建立 IPAM 時

如果您與單一帳戶共用 IPAM，當您建立 IPAM 作為該帳戶時，會自動建立 AWSServiceRoleForIPAM 服務連結角色。

重要
在您建立 IPAM 之前，如果您以單一 AWS 帳戶使用 IPAM，則必須確保您使用的 AWS 帳戶連接有允許 iam:CreateServiceLinkedRole 動作的 IAM 政策。當您建立 IPAM 時，您將自動建立 AWSServiceRoleForIPAM 服務連結角色。如需管理 IAM 政策的詳細資訊，請參閱《IAM 使用者指南》中的編輯 IAM 政策。

您無法編輯 AWSServiceRoleForIPAM 服務連結角色。

如果您不再需要使用 IPAM，建議您刪除 AWSServiceRoleForIPAM 服務連結角色。

只有在刪除您的 AWS 帳戶中的所有 IPAM 資源之後，您才可以刪除服務連結角色。這可確保您不會無意中移除 IPAM 的監控功能。

請依照下列步驟執行，透過 AWS CLI 刪除服務連結角色：

使用 deprovision-ipam-pool-cidr 和 delete-ipam 刪除 IPAM 資源。如需詳細資訊，請參閱從集區解除佈建 CIDR 及刪除 IPAM。
使用 disable-ipam-organization-admin-account 停用 IPAM 帳戶。
使用 disable-aws-service-access 和 --service-principal ipam.amazonaws.com 選項停用 IPAM 服務。
刪除服務連結角色：delete-service-linked-role。刪除服務連結角色時，也會一併刪除 IPAM 受管政策。如需詳細資訊，請參閱《IAM 使用者指南》中的刪除服務連結角色。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

IPAM 中的 Identity and Access Management

IPAM 的受管政策