Ruoli collegati al servizio per IPAM - Amazon Virtual Private Cloud
Autorizzazioni del ruolo collegato ai serviziCreazione del ruolo collegato ai serviziModifica del ruolo collegato ai serviziEliminazione del ruolo collegato ai servizi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ruoli collegati al servizio per IPAM

IPAM utilizza ruoli AWS Identity and Access Management collegati ai servizi (IAM). Un ruolo collegato al servizio è un tipo di ruolo IAM univoco. I ruoli collegati ai servizi sono definiti automaticamente da IPAM e includono tutte le autorizzazioni richieste dal servizio per eseguire chiamate agli altri servizi AWS per tuo conto.

Un ruolo collegato al servizio semplifica la configurazione di IPAM perché ti permette di evitare l’aggiunta manuale delle autorizzazioni necessarie. IPAM definisce le autorizzazioni dei relativi ruoli collegati ai servizi e, salvo diversamente definito, solo IPAM potrà assumere i propri ruoli. Le autorizzazioni definite includono la policy di trust e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un’altra entità IAM.

Autorizzazioni del ruolo collegato ai servizi

IPAM utilizza il ruolo collegato al servizio AWSServiceRoleForIPAM per chiamare le azioni nella policy gestita AWSIPAMServiceRolePolicy. Per ulteriori informazioni sulle operazioni consentite in tale policy, consulta AWS politiche gestite per IPAM.

Questo ruolo collegato al servizio dispone inoltre di una policy di attendibilità IAM che autorizza il servizio ipam.amazonaws.com ad assumere il ruolo collegato al servizio.

Creazione del ruolo collegato ai servizi

IPAM monitora l'utilizzo dell'indirizzo IP in uno o più account assumendo il ruolo collegato al servizio in un account, individuando le risorse e i relativi CIDR e integrando le risorse con IPAM.

Il ruolo collegato al servizio viene creato in due modi:

  • Quando si integra con AWS Organizations

    Se si Come integrare IPAM con account in un’organizzazione AWS utilizzano la console IPAM o il comando AWS CLI enable-ipam-organization-admin-account, il ruolo collegato al servizio AWSServiceRoleForIPAM viene creato automaticamente in ciascuno dei propri account membri di AWS Organizations. Di conseguenza, le risorse all'interno di tutti gli account membri sono individuabili da IPAM.

    Importante

    Affinché IPAM crei per tuo conto il ruolo collegato al servizio:

    • L’Account di gestione di Organizations AWS che consente l'integrazione IPAM con Organizations AWS deve disporre di una policy IAM che consenta di svolgere le seguenti azioni:

      • ec2:EnableIpamOrganizationAdminAccount

      • organizations:EnableAwsServiceAccess

      • organizations:RegisterDelegatedAdministrator

      • iam:CreateServiceLinkedRole

    • L'account IPAM deve disporre di una policy IAM che consenta l’operazione iam:CreateServiceLinkedRole.

  • Quando si crea un IPAM utilizzando un singolo account AWS

    Se si Utilizza IPAM con un singolo account, il ruolo collegato al servizio AWSServiceRoleForIPAM viene creato automaticamente quando si crea un IPAM come tale account.

    Importante

    Se si utilizza IPAM con un singolo account AWS, prima di creare un IPAM, è necessario assicurarsi che l'account AWS utilizzato abbia una policy IAM collegata che consenta l'operazione iam:CreateServiceLinkedRole. Quando si crea l'IPAM, si crea automaticamente il ruolo collegato di servizio AWSServiceRoleForIPAM. Per ulteriori informazioni sulla gestione delle policy IAM, consulta Editing a service-linked role description nella Guida per l’utente IAM.

Modifica del ruolo collegato ai servizi

Non è possibile modificare il ruolo collegato al servizio AWSServiceRoleForIPAM.

Eliminazione del ruolo collegato ai servizi

Se non occorre più utilizzare IPAM, è consigliabile eliminare il ruolo collegato al servizio AWSServiceRoleForIPAM.

Nota

Puoi eliminare il ruolo collegato al servizio solo dopo aver eliminato tutte le risorse IPAM nell'account AWS. Questo impedisce di rimuovere involontariamente la capacità di monitoraggio dell'IPAM.

Segui questi passaggi per eliminare il ruolo collegato ai servizi tramite la AWS CLI:

  1. Elimina le risorse IPAM utilizzando deprovision-ipam-pool-cidr e delete-ipam. Per ulteriori informazioni, consulta Revoca del provisioning di CIDR da un pool e Elimina un IPAM.

  2. Disabilita l'account IPAM con disable-ipam-organization-admin-account.

  3. Disabilita il servizio IPAM con disable-aws-service-access utilizzando l'opzione --service-principal ipam.amazonaws.com.

  4. Elimina il ruolo collegato al servizio: delete-service-linked-role. Quando elimini il ruolo collegato al servizio, viene eliminata anche la policy gestita da IPAM. Per ulteriori dettagli, consulta Eliminazione di un ruolo collegato al servizio nella Guida per l’utente di IAM.