# IPAM の AWS マネージドポリシー
IPAM を 1 つの AWS アカウント使用している状況で IPAM を作成する場合、**AWSIPAMServiceRolePolicy** マネージドポリシーは自動的に IAM アカウントに作成され、 **AWSServiceRoleForIPAM** [サービスにリンクされたロール](iam-ipam-slr.md)にアタッチされます。
AWS 組織との IPAM 統合を有効にすると、**AWSIPAMServiceRolePolicy** 管理ポリシーが IAM アカウントと各 AWS の組織メンバーアカウントに自動的に作成され、管理ポリシーが **AWSServiceRoleForIPAM** サービスにリンクされたロールにアタッチされます。
このマネージドポリシーによって、IPAM で以下のことが実行できるようになります。
+ AWS Organizations のすべてのメンバーで、EC2 ネットワークリソースに関連付けられた CIDR を監視します。
+ IPAM プールで使用可能な IP アドレス空間や、割り当てルールに準拠しているリソース CIDR の数など、IPAM に関連するメトリクスを Amazon CloudWatch に保存する。
+ マネージドプレフィックスリストを変更して読み取ります。
次の例は、作成されるマネージドポリシーの詳細を表示したものです。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IPAMDiscoveryDescribeActions",
"Effect": "Allow",
"Action": [
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeByoipCidrs",
"ec2:DescribeIpv6Pools",
"ec2:DescribeManagedPrefixLists",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePublicIpv4Pools",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeVpnConnections",
"ec2:GetIpamDiscoveredAccounts",
"ec2:GetIpamDiscoveredPublicAddresses",
"ec2:GetIpamDiscoveredResourceCidrs",
"ec2:GetManagedPrefixListEntries",
"ec2:ModifyManagedPrefixList",
"globalaccelerator:ListAccelerators",
"globalaccelerator:ListByoipCidrs",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListChildren",
"organizations:ListParents",
"organizations:DescribeOrganizationalUnit"
],
"Resource": "*"
},
{
"Sid": "CloudWatchMetricsPublishActions",
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/IPAM"
}
}
}
]
}
```
------
前の例の最初のステートメントにより、IPAM は、1 つの AWS アカウントまたは AWS 組織のメンバーによって使用される CIDR を監視できます。
上記の例の 2 番目のステートメントでは、`cloudwatch:PutMetricData` 条件キーを使用して、IPAM が `AWS/IPAM` [Amazon CloudWatch 名前空間](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html) に IPAM メトリクスを保存できるようにします。これらのメトリクスは、IPAM プールとスコープ内の割り当てに関するデータを表示するために、AWS マネジメントコンソール で使用されます。詳細については、「[IPAM ダッシュボードで CIDR の使用状況をモニタリングする](monitor-cidr-usage-ipam.md)」を参照してください。
## AWS マネージドポリシーに対する更新
IPAM の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| AWSIPAMServiceRolePolicy | AWSIPAMServiceRolePolicy マネージドポリシー (ec2:ModifyManagedPrefixList、ec2:DescribeManagedPrefixLists、および ec2:GetManagedPrefixListEntries) にアクションが追加され、IPAM でプレフィックスリストの変更と読み取りができるようになりました。 | 2025 年 10 月 31 日 |
| AWSIPAMServiceRolePolicy | AWSIPAMServiceRolePolicy マネージドポリシー (`organizations:ListChildren`、`organizations:ListParents`、`organizations:DescribeOrganizationalUnit`) に追加されたアクション。これにより、お客様が OU レベルで IPAM を使用できるよう、IPAM は AWS Organizations の組織単位 (OU) の詳細を取得できます。 | 2024 年 11 月 21 日 |
| AWSIPAMServiceRolePolicy | リソース検出中に IPAM がパブリック IP アドレスを取得できるようにするアクションが awSipamServiceRolePolicy 管理ポリシー (`ec2:GetIpamDiscoveredPublicAddresses`) に追加されました。 | 2023 年 11 月 13 日 |
| AWSIPAMServiceRolePolicy | リソース検出時に IP アドレス管理がパブリック IP アドレスを取得できるように、awSipAmServiceRolePolicy 管理ポリシー (ec2:DescribeAccountAttributes、ec2:DescribeNetworkInterfaces、ec2:DescribeSecurityGroups、ec2:DescribeSecurityGroupRules、ec2:DescribeVpnConnections、globalaccelerator:ListAccelerators、および globalaccelerator:ListByoipCidrs) にアクションが追加されました。 | 2023 年 11 月 1 日 |
| AWSIPAMServiceRolePolicy | AWSIPAMServiceRolePolicy マネージドポリシーに 2 つのアクション (`ec2:GetIpamDiscoveredAccounts` および `ec2:GetIpamDiscoveredResourceCidrs`) が追加され、IPAM がリソース検出中に監視対象の AWS アカウントとリソース CIDR を取得できるようになりました。 | 2023 年 1 月 25 日 |
| IPAM が変更の追跡を開始しました | IPAM が AWS マネージドポリシーの変更の追跡を開始しました。 | 2021 年 12 月 2 日 |