Serviceverknüpfte Rollen für IPAM - Amazon Virtual Private Cloud
Berechtigungen von serviceverknüpften RollenErstellen der serviceverknüpften RolleBearbeiten der serviceverknüpften RolleLöschen der serviceverknüpften Rolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Serviceverknüpfte Rollen für IPAM

IPAM verwendet serviceverknüpfte Rollen von AWS Identity and Access Management (IAM). Eine serviceverknüpfte Rolle ist ein spezieller Typ einer IAM-Rolle. Serviceverknüpfte Rollen werden von IPAM vordefiniert und schließen alle Berechtigungen ein, die der Service zum Aufrufen anderer AWS-Services in Ihrem Namen erfordert.

Eine serviceverbundene Rolle vereinfacht das Einrichten von IPAM, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. IPAM definiert die Berechtigungen seiner serviceverknüpften Rollen. Sofern keine andere Konfiguration festgelegt wurde, kann nur IPAM die Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.

Berechtigungen von serviceverknüpften Rollen

IPAM verwendet die serviceverknüpfte Rolle AWSServiceRoleForIPAM, um die Aktionen in der angehängten verwalteten AWSIPAMServiceRolePolicy-Richtlinie aufzurufen. Weitere Informationen zu den zulässigen Aktionen in dieser Richtlinie finden Sie unter AWS verwaltete Richtlinien für IPAM.

Diese serviceverknüpfte Rolle verfügt auch über eine IAM-Vertrauensrichtlinie, die es dem ipam.amazonaws.com.rproxy.govskope.ca-Service erlaubt, die erforderliche serviceverknüpfte Rolle zu übernehmen.

Erstellen der serviceverknüpften Rolle

IPAM überwacht die IP-Adressnutzung in einem oder mehreren Konten, indem es die servicegebundene Rolle in einem Konto übernimmt, die Ressourcen und ihre CIDRs erkennt und die Ressourcen in IPAM integriert.

Die serviceverknüpfte Rolle wird auf zwei Arten erstellt:

  • Wenn Sie sich mit AWS-Organisationen integrieren

    Wenn Sie mit der IPAM-Konsole Integration von IPAM mit Konten in AWS Organizations oder den enable-ipam-organization-admin-account AWS CLI-Befehl verwenden, wird die serviceverknüpfte Rolle AWSServiceRoleForIPAM automatisch in jedem Ihrer AWS-Organisationen-Mitgliedskonten erstellt. Infolgedessen sind die Ressourcen in allen Mitgliedskonten von IPAM auffindbar.

    Wichtig

    Damit IPAM die serviceverknüpfte Rolle in Ihrem Namen erstellen kann:

    • Das AWS-Organisationsverwaltungskonto, welches die IPAM-Integration mit AWS-Organisationen ermöglicht, müssen eine IAM-Richtlinie angehängt haben, die folgende Aktionen zulässt:

      • ec2:EnableIpamOrganizationAdminAccount

      • organizations:EnableAwsServiceAccess

      • organizations:RegisterDelegatedAdministrator

      • iam:CreateServiceLinkedRole

    • Dem IPAM-Konto muss eine IAM-Richtlinie beigefügt sein, welche die Aktion iam:CreateServiceLinkedRole erlaubt.

  • Wenn Sie ein IPAM mithilfe eines einzigen AWS-Kontos erstellen

    Wenn Sie Verwenden Sie IPAM mit einem einzigen Konto, wird die serviceverknüpfte AWSServiceRoleForIPAM automatisch erstellt, wenn Sie ein IPAM als Konto erstellen.

    Wichtig

    Wenn Sie IPAM mit einem einzigen AWS-Konto verwenden, bevor Sie ein IPAM erstellen, müssen Sie sicherstellen, dass dem AWS-Konto, das Sie verwenden, eine IAM-Richtlinie angehängt ist, welche die iam:CreateServiceLinkedRole-Aktion zulässt. Wenn Sie ein IPAM erstellen, erstellen Sie automatisch die serviceverknüpfte Rolle AWSServiceRoleForIPAM. Weitere Informationen zur Verwaltung von IAM-Richtlinien finden Sie unter Bearbeiten einer serviceverknüpften Rollenbeschreibung im IAM-Benutzerhandbuch.

Bearbeiten der serviceverknüpften Rolle

Sie können die serviceverknüpfte Rolle AWSServiceRoleForIPAM nicht bearbeiten.

Löschen der serviceverknüpften Rolle

Wenn Sie IPAM nicht mehr benötigen, empfehlen wir, die serviceverknüpfte Rolle AWSServiceRoleForIPAM zu löschen.

Anmerkung

Sie können die serviceverknüpfte Rolle erst löschen, nachdem Sie alle IPAM-Ressourcen in Ihrem AWS-Konto gelöscht haben. Auf diese Weise wird sichergestellt, dass Sie die Überwachungsfunktion von IPAM nicht versehentlich entfernen.

Führen Sie diese Schritte aus, um die serviceverknüpfte Rolle über die AWS CLI  zu löschen:

  1. Löschen Sie Ihre IPAM-Ressourcen mit deprovision-ipam-pool-cidr und delete-ipam. Weitere Informationen finden Sie unter Deprovisionierung von CIDRs aus einem Pool und Löschen Sie ein IPAM.

  2. Deaktivieren Sie das IPAM-Konto mit disable-ipam-organization-admin-account.

  3. Deaktivieren Sie den IPAM-Service mit disable-aws-service-access mit der --service-principal ipam.amazonaws.com.rproxy.govskope.ca-Option.

  4. Löschen der serviceverknüpften Rolle delete-service-linked-role. Wenn Sie die serviceverknüpfte Rolle löschen, wird die von IPAM verwaltete Richtlinie ebenfalls gelöscht. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.