Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Rôles liés à un service pour IPAM
<a name="iam-ipam-slr"></a>

L’IPAM utilise des rôles de Gestion des identités et des accès AWS (IAM) liés à un service. Un rôle lié à un service est un type unique de rôle IAM. Les rôles liés à un service sont prédéfinis par l’IPAM et comprennent toutes les autorisations nécessaires au service pour appeler d’autres services AWS en votre nom.

Un rôle lié à un service simplifie la configuration de l’IPAM du fait que vous n’avez pas besoin d’ajouter manuellement les autorisations requises. L’IPAM définit les autorisations de ses rôles liés à un service. De plus, sauf indication contraire, seul l’IPAM peut assumer ses rôles. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.

## Autorisations de rôles liés à un service
<a name="service-linked-role-permissions"></a>

IPAM utilise le service lié à un rôle **AWSServiceRoleForIPAM** pour appeler les actions dans la stratégie gérée attachée **AWSIPAMServiceRolePolicy**. Pour plus d'informations sur les actions autorisées dans cette stratégie, consultez [AWS politiques gérées pour IPAM](iam-ipam-managed-pol.md).

Une [politique d’approbation IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) est également attachée au rôle lié à un service, laquelle permet au service `ipam.amazonaws.com` d’assumer le rôle lié à un service.

## Création du rôle lié à un service
<a name="create-service-linked-role"></a>

IPAM surveille l'utilisation des adresses IP dans un ou plusieurs comptes en endossant le rôle lié au service dans un compte, en découvrant les ressources et leurs CIDR, et en intégrant ces ressources à IPAM.

Le rôle lié à un service est créé de l'une des deux manières suivantes :
+ **Lors de votre intégration à AWS Organisations**

  Si vous [Intégration d'IPAM aux comptes d'une organisation AWS](enable-integ-ipam.md) en utilisant la console IPAM ou utilisant la commande de AWS CLI `enable-ipam-organization-admin-account`, le service lié à un rôle **AWSServiceRoleForIPAM** est créé automatiquement dans chacun de vos comptes membres AWS Organizations. Par conséquent, les ressources de tous les comptes membres sont détectables par IPAM.
**Important**  
Pour qu'IPAM crée le rôle lié au service en votre nom :  
Le compte de gestion AWS Organizations qui permet l'intégration d'IPAM à AWS Organizations doit être associé à une politique IAM qui autorise les actions suivantes :  
`ec2:EnableIpamOrganizationAdminAccount`
`organizations:EnableAwsServiceAccess`
`organizations:RegisterDelegatedAdministrator`
`iam:CreateServiceLinkedRole`
Le compte IPAM doit être associé à une politique IAM qui autorise l'action `iam:CreateServiceLinkedRole`.
+ **Lorsque vous créez un IPAM à l'aide d'un seul compte AWS**

  Si vous [Utilisation d'IPAM avec un seul compte](enable-single-user-ipam.md), le rôle lié au service **AWSServiceRoleForIPAM** est automatiquement créé lorsque vous créez un IPAM en tant que compte.
**Important**  
Si vous utilisez IPAM avec un seul compte AWS, avant de créer un IPAM, vous devez vous assurer que le compte AWS que vous utilisez est associé à une politique IAM qui autorise l'action `iam:CreateServiceLinkedRole`. Lorsque vous créez l'IPAM, vous créez automatiquement le rôle lié au service **AWSServiceRoleForIPAM**. Pour plus d’informations sur la gestion des politiques IAM, consultez la section [Editing a service-linked role description](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) dans le *Guide d’utilisation d’IAM*.

## Modifier le rôle lié à un service
<a name="edit-service-linked-role"></a>

Vous ne pouvez pas modifier le rôle lié au service **AWSServiceRoleForIPAM**.

## La suppression du rôle lié à un service
<a name="delete-service-linked-role"></a>

Si vous n'avez plus besoin d'utiliser IPAM, nous vous recommandons de supprimer le rôle lié au service **AWSServiceRoleForIPAM**.

**Note**  
Vous pouvez supprimer le rôle lié à un service après que vous avez supprimé toutes les ressources IPAM de votre compte AWS. Ainsi, vous ne pouvez pas involontairement supprimer la capacité de contrôle d'IPAM.

Suivez les étapes suivantes pour supprimer le rôle lié à un service à l’aide de l’AWS CLI :

1. Supprimez vos ressources IPAM à l'aide de [deprovision-ipam-pool-cidr](https://docs.aws.amazon.com/cli/latest/reference/ec2/deprovision-ipam-pool-cidr.html) et [delete-ipam](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-ipam.html). Pour plus d'informations, consultez [Déprovisionnement CIDRs depuis un pool](depro-pool-cidr-ipam.md) et [Suppression d'un IPAM](delete-ipam.md).

1. Désactivez le compte IPAM à l'aide de [disable-ipam-organization-admin-account](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-ipam-organization-admin-account.html).

1. Désactivez le service IPAM à l'aide de [disable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/servicecatalog/disable-aws-organizations-access.html) en utilisant l'option `--service-principal ipam.amazonaws.com`.

1. Supprimez le rôle lié à un service : [delete-service-linked-role](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-service-linked-role.html). Lorsque vous supprimez le rôle lié à un service, la stratégie gérée par IPAM est également supprimée. Pour plus d’informations, consultez [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) dans le *Guide de l’utilisateur IAM*.