Rôles liés à un service pour IPAM - Amazon Virtual Private Cloud
Autorisations de rôles liés à un serviceCréation du rôle lié à un serviceModifier le rôle lié à un serviceLa suppression du rôle lié à un service

Rôles liés à un service pour IPAM

L’IPAM utilise des rôles de AWS Identity and Access Management (IAM) liés à un service. Un rôle lié à un service est un type unique de rôle IAM. Les rôles liés à un service sont prédéfinis par l’IPAM et comprennent toutes les autorisations nécessaires au service pour appeler d’autres services AWS en votre nom.

Un rôle lié à un service simplifie la configuration de l’IPAM du fait que vous n’avez pas besoin d’ajouter manuellement les autorisations requises. L’IPAM définit les autorisations de ses rôles liés à un service. De plus, sauf indication contraire, seul l’IPAM peut assumer ses rôles. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.

Autorisations de rôles liés à un service

IPAM utilise le service lié à un rôle AWSServiceRoleForIPAM pour appeler les actions dans la stratégie gérée attachée AWSIPAMServiceRolePolicy. Pour plus d'informations sur les actions autorisées dans cette stratégie, consultez Stratégies gérées AWS pour IPAM.

Une politique d’approbation IAM est également attachée au rôle lié à un service, laquelle permet au service ipam.amazonaws.com d’assumer le rôle lié à un service.

Création du rôle lié à un service

IPAM surveille l'utilisation des adresses IP dans un ou plusieurs comptes en endossant le rôle lié au service dans un compte, en découvrant les ressources et leurs CIDR, et en intégrant ces ressources à IPAM.

Le rôle lié à un service est créé de l'une des deux manières suivantes :

  • Lors de votre intégration à AWS Organisations

    Si vous Intégration d'IPAM aux comptes d'une organisation AWS en utilisant la console IPAM ou utilisant la commande de AWS CLI enable-ipam-organization-admin-account, le service lié à un rôle AWSServiceRoleForIPAM est créé automatiquement dans chacun de vos comptes membres AWS Organizations. Par conséquent, les ressources de tous les comptes membres sont détectables par IPAM.

    Important

    Pour qu'IPAM crée le rôle lié au service en votre nom :

    • Le compte de gestion AWS Organizations qui permet l'intégration d'IPAM à AWS Organizations doit être associé à une politique IAM qui autorise les actions suivantes :

      • ec2:EnableIpamOrganizationAdminAccount

      • organizations:EnableAwsServiceAccess

      • organizations:RegisterDelegatedAdministrator

      • iam:CreateServiceLinkedRole

    • Le compte IPAM doit être associé à une politique IAM qui autorise l'action iam:CreateServiceLinkedRole.

  • Lorsque vous créez un IPAM à l'aide d'un seul compte AWS

    Si vous Utilisation d'IPAM avec un seul compte, le rôle lié au service AWSServiceRoleForIPAM est automatiquement créé lorsque vous créez un IPAM en tant que compte.

    Important

    Si vous utilisez IPAM avec un seul compte AWS, avant de créer un IPAM, vous devez vous assurer que le compte AWS que vous utilisez est associé à une politique IAM qui autorise l'action iam:CreateServiceLinkedRole. Lorsque vous créez l'IPAM, vous créez automatiquement le rôle lié au service AWSServiceRoleForIPAM. Pour plus d’informations sur la gestion des politiques IAM, consultez la section Editing a service-linked role description dans le Guide d’utilisation d’IAM.

Modifier le rôle lié à un service

Vous ne pouvez pas modifier le rôle lié au service AWSServiceRoleForIPAM.

La suppression du rôle lié à un service

Si vous n'avez plus besoin d'utiliser IPAM, nous vous recommandons de supprimer le rôle lié au service AWSServiceRoleForIPAM.

Note

Vous pouvez supprimer le rôle lié à un service après que vous avez supprimé toutes les ressources IPAM de votre compte AWS. Ainsi, vous ne pouvez pas involontairement supprimer la capacité de contrôle d'IPAM.

Suivez les étapes suivantes pour supprimer le rôle lié à un service à l’aide de l’AWS CLI :

  1. Supprimez vos ressources IPAM à l'aide de deprovision-ipam-pool-cidr et delete-ipam. Pour plus d'informations, consultez Pour désapprovisionner un CIDR de groupe et Suppression d'un IPAM.

  2. Désactivez le compte IPAM à l'aide de disable-ipam-organization-admin-account.

  3. Désactivez le service IPAM à l'aide de disable-aws-service-access en utilisant l'option --service-principal ipam.amazonaws.com.

  4. Supprimez le rôle lié à un service : delete-service-linked-role. Lorsque vous supprimez le rôle lié à un service, la stratégie gérée par IPAM est également supprimée. Pour plus d’informations, consultez Suppression d’un rôle lié à un service dans le Guide de l’utilisateur IAM.