# Políticas administradas por AWS para IPAM
<a name="iam-ipam-managed-pol"></a>

Si utiliza el IPAM con una sola cuenta de AWS y crea un IPAM, la política administrada **AWSIPAMServiceRolePolicy** se crea de forma automática en su cuenta de IAM y se adjunta al **rol vinculado a servicios** [AWSServiceRoleForIPAM](iam-ipam-slr.md).

Si habilita la integración de IPAM con AWS Organizations, la política administrada **AWSIPAMServiceRolePolicy** se crea automáticamente en su cuenta de IAM y en cada una de las cuentas de miembros de AWS Organizations, y la política administrada se adjunta al rol vinculado a servicios **AWSServiceRoleForIPAM**.

Esta política administrada permite a IPAM hacer lo siguiente:
+ Monitorear los CIDR asociados con los recursos de red en todos los miembros de su organización de AWS. 
+ Almacenar métricas relacionadas con IPAM en Amazon CloudWatch, como el espacio de direcciones IP disponible en los grupos de IPAM y el número de CIDR de recursos que cumplen las reglas de asignación.
+ Modifique y lea las listas de prefijos administradas.

En el ejemplo siguiente, se muestran detalles de la política administrada que se creó.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "IPAMDiscoveryDescribeActions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAddresses",
                "ec2:DescribeByoipCidrs",
                "ec2:DescribeIpv6Pools",
                "ec2:DescribeManagedPrefixLists",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribePublicIpv4Pools",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSecurityGroupRules",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeVpnConnections",
                "ec2:GetIpamDiscoveredAccounts",
                "ec2:GetIpamDiscoveredPublicAddresses",
                "ec2:GetIpamDiscoveredResourceCidrs",
                "ec2:GetManagedPrefixListEntries",
                "ec2:ModifyManagedPrefixList",
                "globalaccelerator:ListAccelerators",
                "globalaccelerator:ListByoipCidrs",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListChildren",
                "organizations:ListParents",
                "organizations:DescribeOrganizationalUnit"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CloudWatchMetricsPublishActions",
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/IPAM"
                }
            }
        }
    ]
}
```

------

La primera instrucción en el ejemplo anterior permite a IPAM supervisar los CIDR utilizados por una sola cuenta de AWS o por los miembros de su organización de AWS.

La segunda instrucción del ejemplo anterior utiliza la clave de condición `cloudwatch:PutMetricData` para permitir que IPAM almacene métricas de IPAM en su [espacio de nombres de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html) en `AWS/IPAM`. La Consola de administración de AWS utiliza estas métricas para mostrar datos sobre las asignaciones de los grupos y alcances de IPAM. Para obtener más información, consulte [Monitorear el uso de CIDR con el panel de IPAM](monitor-cidr-usage-ipam.md).

## Actualizaciones de la política administrada por AWS
<a name="iam-ipam-managed-pol-updates"></a>

Es posible consultar los detalles sobre las actualizaciones de las políticas administradas por AWS para IPAM debido a que este servicio comenzó a realizar un seguimiento de estos cambios.


| Cambio | Descripción | Fecha | 
| --- | --- | --- | 
|  AWSIPAMServiceRolePolicy  |  Se agregaron acciones a la política administrada AWSIPAMServiceRolePolicy (ec2:ModifyManagedPrefixList, ec2:DescribeManagedPrefixLists y ec2:GetManagedPrefixListEntries) para permitir que IPAM lea y modifique las listas de prefijos administradas.  |  31 de octubre de 2025  | 
|  AWSIPAMServiceRolePolicy  |  Se añadieron acciones a la política administrada AWSIPamServiceRolePolicy (`organizations:ListChildren`,`organizations:ListParents` y `organizations:DescribeOrganizationalUnit`) para permitir que el IPAM obtenga los detalles de las unidades organizativas (OU) de AWS Organizations, de modo que los clientes puedan usar el IPAM a nivel de OU.   | 21 de noviembre de 2024 | 
|  AWSIPAMServiceRolePolicy  |  Se agregó una acción a la política administrada AWSIPAMServiceRolePolicy (`ec2:GetIpamDiscoveredPublicAddresses`) para permitir que IPAM obtenga direcciones IP públicas durante la detección de recursos.  | 13 de noviembre de 2023 | 
|  AWSIPAMServiceRolePolicy  | Se agregaron acciones a la política administrada AWSIPAMServiceRolePolicy (ec2:DescribeAccountAttributes, ec2:DescribeNetworkInterfaces, ec2:DescribeSecurityGroups, ec2:DescribeSecurityGroupRules, ec2:DescribeVpnConnections, globalaccelerator:ListAccelerators y globalaccelerator:ListByoipCidrs) para permitir que IPAM obtenga direcciones IP públicas durante la detección de recursos. | 1 de noviembre de 2023 | 
|  AWSIPAMServiceRolePolicy  |  Se agregaron dos acciones a la política administrada AWSIPAMServiceRolePolicy (`ec2:GetIpamDiscoveredAccounts` y `ec2:GetIpamDiscoveredResourceCidrs`) para permitir que IPAM monitoree las cuentas de AWS y los CIDR de recursos durante la detección de recursos.  | 25 de enero de 2023 | 
| IPAM comenzó a realizar un seguimiento de los cambios |  IPAM comenzó el seguimiento de los cambios de las políticas administradas por AWS.  | 2 de diciembre de 2021 |