Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Manajemen identitas dan akses di IPAM
AWS menggunakan kredensi keamanan untuk mengidentifikasi Anda dan memberi Anda akses ke sumber daya Anda AWS . Anda dapat menggunakan fitur AWS Identity and Access Management (IAM) untuk memungkinkan pengguna, layanan, dan aplikasi lain menggunakan AWS sumber daya Anda sepenuhnya atau dengan cara yang terbatas, tanpa membagikan kredensi keamanan Anda.
Bagian ini menjelaskan peran AWS terkait layanan yang dibuat khusus untuk IPAM dan kebijakan terkelola yang dilampirkan pada peran terkait layanan IPAM. Untuk informasi selengkapnya tentang peran dan kebijakan AWS IAM, lihat [Istilah dan konsep peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya tentang identitas dan manajemen akses untuk VPC, lihat [Identitas dan manajemen akses untuk Amazon VPC di Panduan Pengguna](https://docs.aws.amazon.com/vpc/latest/userguide/security-iam.html) Amazon *VPC*.
**Topics**
+ [Peran terkait layanan untuk IPAM](iam-ipam-slr.md)
+ [AWS kebijakan terkelola untuk IPAM](iam-ipam-managed-pol.md)
+ [Contoh kebijakan](iam-ipam-policy-examples.md)
# Peran terkait layanan untuk IPAM
IPAM menggunakan peran AWS Identity and Access Management terkait layanan (IAM). Peran terkait layanan adalah jenis peran IAM yang unik. Peran terkait layanan telah ditentukan sebelumnya oleh IPAM dan mencakup semua izin yang diperlukan layanan untuk memanggil layanan lain AWS atas nama Anda.
Peran terkait layanan membuat pengaturan IPAM lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. IPAM mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya IPAM yang dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.
## Izin peran terkait layanan
IPAM menggunakan peran terkait layanan **AWSServiceRoleForIPAM** untuk memanggil tindakan dalam kebijakan terkelola terlampir. **AWSIPAMServiceRolePolicy** Untuk informasi selengkapnya tentang tindakan yang diizinkan dalam kebijakan tersebut, lihat[AWS kebijakan terkelola untuk IPAM](iam-ipam-managed-pol.md).
Juga melekat pada peran terkait layanan adalah [kebijakan kepercayaan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) yang memungkinkan `ipam.amazonaws.com` layanan untuk mengambil peran terkait layanan.
## Membuat peran terkait layanan
IPAM memantau penggunaan alamat IP dalam satu atau lebih akun dengan mengasumsikan peran terkait layanan dalam akun, menemukan sumber daya dan mereka CIDRs, dan mengintegrasikan sumber daya dengan IPAM.
Peran terkait layanan dibuat dengan salah satu dari dua cara:
+ **Ketika Anda berintegrasi dengan AWS Organizations**
Jika Anda [Integrasikan IPAM dengan akun di Organisasi AWS](enable-integ-ipam.md) menggunakan konsol IPAM atau menggunakan `enable-ipam-organization-admin-account` AWS CLI perintah, peran terkait layanan **AWSServiceRoleForIPAM** secara otomatis dibuat di setiap akun anggota Organizations AWS Anda. Akibatnya, sumber daya dalam semua akun anggota dapat ditemukan oleh IPAM.
**penting**
Agar IPAM dapat membuat peran terkait layanan atas nama Anda:
Akun manajemen AWS Organizations yang memungkinkan integrasi IPAM dengan AWS Organizations harus memiliki kebijakan IAM yang memungkinkan tindakan berikut:
`ec2:EnableIpamOrganizationAdminAccount`
`organizations:EnableAwsServiceAccess`
`organizations:RegisterDelegatedAdministrator`
`iam:CreateServiceLinkedRole`
Akun IPAM harus memiliki kebijakan IAM yang melekat padanya yang memungkinkan tindakan. `iam:CreateServiceLinkedRole`
+ **Saat Anda membuat IPAM menggunakan satu akun AWS **
Jika Anda[Gunakan IPAM dengan satu akun](enable-single-user-ipam.md), peran terkait layanan **AWSServiceRoleForIPAM** akan dibuat secara otomatis saat Anda membuat IPAM sebagai akun tersebut.
**penting**
Jika Anda menggunakan IPAM dengan satu AWS akun, sebelum Anda membuat IPAM, Anda harus memastikan bahwa AWS akun yang Anda gunakan memiliki kebijakan IAM yang melekat padanya yang mengizinkan tindakan tersebut. `iam:CreateServiceLinkedRole` Saat membuat IPAM, Anda secara otomatis membuat peran terkait layanan **AWSServiceRoleForIPAM**. Untuk informasi selengkapnya tentang mengelola kebijakan IAM, lihat [Mengedit deskripsi peran terkait layanan di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) *IAM*.
## Mengedit peran terkait layanan
Anda tidak dapat mengedit peran terkait layanan **AWSServiceRoleForIPAM**.
## Menghapus peran terkait layanan
Jika Anda tidak perlu lagi menggunakan IPAM, kami sarankan Anda menghapus peran terkait layanan **AWSServiceRoleForIPAM**.
**catatan**
Anda dapat menghapus peran terkait layanan hanya setelah Anda menghapus semua sumber daya IPAM di akun Anda. AWS Ini memastikan bahwa Anda tidak dapat secara tidak sengaja menghapus kemampuan pemantauan IPAM.
Ikuti langkah-langkah berikut ini untuk menghapus peran yang terkait layanan menggunakan: AWS CLI
1. Hapus sumber daya IPAM Anda menggunakan [deprovision-ipam-pool-cidr](https://docs.aws.amazon.com/cli/latest/reference/ec2/deprovision-ipam-pool-cidr.html)dan [hapus-ipam](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-ipam.html). Untuk informasi selengkapnya, lihat [Pembuangan CIDRs dari kolam](depro-pool-cidr-ipam.md) dan [Hapus IPAM](delete-ipam.md).
1. Nonaktifkan akun IPAM dengan [disable-ipam-organization-admin-account](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-ipam-organization-admin-account.html).
1. Nonaktifkan layanan IPAM dengan [disable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/servicecatalog/disable-aws-organizations-access.html)menggunakan `--service-principal ipam.amazonaws.com` opsi.
1. Hapus peran terkait layanan:. [delete-service-linked-role](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-service-linked-role.html) Saat Anda menghapus peran terkait layanan, kebijakan terkelola IPAM juga akan dihapus. Untuk informasi selengkapnya, lihat [Menghapus peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) dalam *Panduan Pengguna IAM*.
# AWS kebijakan terkelola untuk IPAM
[Jika Anda menggunakan IPAM dengan satu AWS akun dan Anda membuat IPAM, kebijakan **AWSIPAMServiceRolePolicy**terkelola secara otomatis dibuat di akun IAM Anda dan dilampirkan ke peran terkait layanan **AWSServiceRoleForIPAM**.](iam-ipam-slr.md)
Jika Anda mengaktifkan integrasi IPAM dengan AWS Organizations, kebijakan **AWSIPAMServiceRolePolicy**terkelola secara otomatis dibuat di akun IAM Anda dan di setiap akun anggota AWS Organizations Anda, dan kebijakan terkelola dilampirkan ke peran terkait layanan **AWSServiceRoleForIPAM**.
Kebijakan terkelola ini memungkinkan IPAM untuk melakukan hal berikut:
+ Pantau CIDRs yang terkait dengan sumber daya jaringan di semua anggota AWS Organisasi Anda.
+ Simpan metrik yang terkait dengan IPAM di Amazon CloudWatch, seperti ruang alamat IP yang tersedia di kolam IPAM Anda dan jumlah sumber daya CIDRs yang mematuhi aturan alokasi.
+ Ubah dan baca daftar awalan terkelola.
Contoh berikut menunjukkan detail kebijakan terkelola yang dibuat.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IPAMDiscoveryDescribeActions",
"Effect": "Allow",
"Action": [
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeByoipCidrs",
"ec2:DescribeIpv6Pools",
"ec2:DescribeManagedPrefixLists",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePublicIpv4Pools",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeVpnConnections",
"ec2:GetIpamDiscoveredAccounts",
"ec2:GetIpamDiscoveredPublicAddresses",
"ec2:GetIpamDiscoveredResourceCidrs",
"ec2:GetManagedPrefixListEntries",
"ec2:ModifyManagedPrefixList",
"globalaccelerator:ListAccelerators",
"globalaccelerator:ListByoipCidrs",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListChildren",
"organizations:ListParents",
"organizations:DescribeOrganizationalUnit"
],
"Resource": "*"
},
{
"Sid": "CloudWatchMetricsPublishActions",
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/IPAM"
}
}
}
]
}
```
------
Pernyataan pertama dalam contoh sebelumnya memungkinkan IPAM untuk memantau yang CIDRs digunakan oleh AWS akun tunggal Anda atau oleh anggota Organisasi Anda. AWS
[Pernyataan kedua dalam contoh sebelumnya menggunakan kunci `cloudwatch:PutMetricData` kondisi untuk memungkinkan IPAM menyimpan metrik IPAM di namespace Amazon Anda. `AWS/IPAM` CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html) Metrik ini digunakan oleh Konsol Manajemen AWS untuk menampilkan data tentang alokasi di kolam dan cakupan IPAM Anda. Untuk informasi selengkapnya, lihat [Pantau penggunaan CIDR dengan dasbor IPAM](monitor-cidr-usage-ipam.md).
## Pembaruan kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk IPAM sejak layanan ini mulai melacak perubahan ini.
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| AWSIPAMServiceRolePolicy | Tindakan ditambahkan ke kebijakan AWSIPAMService RolePolicy terkelola (ec2:ModifyManagedPrefixList,ec2:DescribeManagedPrefixLists, danec2:GetManagedPrefixListEntries) untuk mengaktifkan IPAM mengubah dan membaca daftar awalan terkelola. | Oktober 31, 2025 |
| AWSIPAMServiceRolePolicy | Tindakan ditambahkan ke kebijakan AWSIPAMService RolePolicy terkelola (`organizations:ListChildren``organizations:ListParents`,, dan`organizations:DescribeOrganizationalUnit`) untuk memungkinkan IPAM mendapatkan rincian Unit Organisasi (OUs) dalam AWS Organizations sehingga pelanggan dapat menggunakan IPAM di tingkat OU. | November 21, 2024 |
| AWSIPAMServiceRolePolicy | Tindakan ditambahkan ke kebijakan AWSIPAMService RolePolicy terkelola (`ec2:GetIpamDiscoveredPublicAddresses`) untuk mengaktifkan IPAM mendapatkan alamat IP publik selama penemuan sumber daya. | 13 November 2023 |
| AWSIPAMServiceRolePolicy | Tindakan ditambahkan ke kebijakan AWSIPAMService RolePolicy terkelola (ec2:DescribeAccountAttributes,ec2:DescribeNetworkInterfaces,ec2:DescribeSecurityGroups,ec2:DescribeSecurityGroupRules,ec2:DescribeVpnConnections,globalaccelerator:ListAccelerators, danglobalaccelerator:ListByoipCidrs) untuk memungkinkan IPAM mendapatkan alamat IP publik selama penemuan sumber daya. | 1 November 2023 |
| AWSIPAMServiceRolePolicy | Dua tindakan ditambahkan ke kebijakan AWSIPAMService RolePolicy terkelola (`ec2:GetIpamDiscoveredAccounts`dan`ec2:GetIpamDiscoveredResourceCidrs`) untuk mengaktifkan IPAM agar AWS akun dan sumber daya CIDRs dipantau selama penemuan sumber daya. | Januari 25, 2023 |
| IPAM mulai melacak perubahan | IPAM mulai melacak perubahan untuk kebijakan yang AWS dikelola. | 2 Desember 2021 |
# Contoh kebijakan
Contoh kebijakan di bagian ini berisi semua tindakan AWS Identity and Access Management (IAM) yang relevan untuk penggunaan IPAM penuh. Tergantung pada bagaimana Anda menggunakan IPAM, Anda mungkin tidak perlu menyertakan semua tindakan IAM. Untuk pengalaman penuh menggunakan konsol IPAM, Anda mungkin perlu menyertakan tindakan IAM tambahan untuk layanan seperti AWS Organizations, AWS Resource Access Manager (AWS RAM), dan Amazon. CloudWatch
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:AssociateIpamByoasn",
"ec2:DeprovisionIpamByoasn",
"ec2:DescribeIpamByoasn",
"ec2:DisassociateIpamByoasn",
"ec2:ProvisionIpamByoasn",
"ec2:CreateIpam",
"ec2:DescribeIpams",
"ec2:ModifyIpam",
"ec2:DeleteIpam",
"ec2:CreateIpamScope",
"ec2:DescribeIpamScopes",
"ec2:ModifyIpamScope",
"ec2:DeleteIpamScope",
"ec2:CreateIpamPool",
"ec2:DescribeIpamPools",
"ec2:ModifyIpamPool",
"ec2:DeleteIpamPool",
"ec2:ProvisionIpamPoolCidr",
"ec2:GetIpamPoolCidrs",
"ec2:DeprovisionIpamPoolCidr",
"ec2:AllocateIpamPoolCidr",
"ec2:GetIpamPoolAllocations",
"ec2:ReleaseIpamPoolAllocation",
"ec2:CreateIpamResourceDiscovery",
"ec2:DescribeIpamResourceDiscoveries",
"ec2:ModifyIpamResourceDiscovery",
"ec2:DeleteIpamResourceDiscovery",
"ec2:AssociateIpamResourceDiscovery",
"ec2:DescribeIpamResourceDiscoveryAssociations",
"ec2:DisassociateIpamResourceDiscovery",
"ec2:GetIpamResourceCidrs",
"ec2:ModifyIpamResourceCidr",
"ec2:GetIpamAddressHistory",
"ec2:GetIpamDiscoveredResourceCidrs",
"ec2:GetIpamDiscoveredAccounts",
"ec2:GetIpamDiscoveredPublicAddresses"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/ipam.amazonaws.com/AWSServiceRoleForIPAM",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "ipam.amazonaws.com"
}
}
}
]
}
```
------