Políticas do IPAM gerenciadas pela AWS - Amazon Virtual Private Cloud
Atualiza a política gerenciada pela AWS

Políticas do IPAM gerenciadas pela AWS

Ao empregar o IPAM com uma única conta AWS e criar um IPAM, a política gerenciada AWSIPAMServiceRolePolicy é automaticamente gerada em sua conta IAM e associada à função vinculada ao serviço AWSServiceRoleForIPAM.

Se você habilitar a integração do IPAM com o AWS Organizations, a política gerenciada AWSIPAMServiceRolePolicy será criada automaticamente em sua conta do IAM e em cada uma das suas contas de membros do AWS Organizations. Além disso, a política gerenciada será anexada à função vinculada ao serviço AWSServiceRoleForIPAM.

Essa política gerenciada habilita o IPAM para fazer o seguinte:

  • Monitorizar CIDRs associados a recursos de rede em todos os membros da sua AWS Organização.

  • Armazenar métricas relacionadas ao IPAM no Amazon CloudWatch, como o espaço de endereços IP disponível em seus grupos do IPAM e o número de CIDRs de recursos que estão em conformidade com as regras de alocação.

O exemplo a seguir mostra os detalhes da política gerenciada que foi criada.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "IPAMDiscoveryDescribeActions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAddresses",
                "ec2:DescribeByoipCidrs",
                "ec2:DescribeIpv6Pools",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribePublicIpv4Pools",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSecurityGroupRules",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeVpnConnections",
                "ec2:GetIpamDiscoveredAccounts",
                "ec2:GetIpamDiscoveredPublicAddresses",
                "ec2:GetIpamDiscoveredResourceCidrs",
                "globalaccelerator:ListAccelerators",
                "globalaccelerator:ListByoipCidrs",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListChildren",
                "organizations:ListParents",
                "organizations:DescribeOrganizationalUnit"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CloudWatchMetricsPublishActions",
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/IPAM"
                }
            }
        }
    ]
}

A primeira instrução no exemplo anterior habilita o IPAM a monitorar os CIDRs usados pela sua única conta da AWS ou pelos membros do seu AWS Organization.

A segunda instrução no exemplo anterior usa a chave de condição cloudwatch:PutMetricData para permitir que o IPAM armazene métricas do IPAM em seunamespace do Amazon CloudWatch AWS/IPAM. Essas métricas são usadas pelo AWS Management Console para exibir dados sobre as alocações em seus grupos e escopos do IPAM. Para obter mais informações, consulte Monitorar o uso do CIDR com o painel do IPAM.

Atualiza a política gerenciada pela AWS

Visualize detalhes sobre atualizações em políticas do IPAM gerenciadas pela AWS desde que esse serviço começou a rastrear essas alterações.

Alteração Descrição Data

AWSIPAMServiceRolePolicy

Ações adicionadas à política gerenciada AWSIPAMServiceRolePolicy (organizations:ListChildren, organizations:ListParents e organizations:DescribeOrganizationalUnit) para permitir que o IPAM obtenha os detalhes das unidades organizacionais (UOs) no AWS Organizations para que os clientes possam usar o IPAM ao nível da UO.

21 de novembro de 2024

AWSIPAMServiceRolePolicy

Ação incorporada à política gerenciada AWSIPAMServiceRolePolicy (ec2:GetIpamDiscoveredPublicAddresses) para conceder ao IPAM a capacidade de adquirir endereços IP públicos durante a identificação de recursos.

 13 de novembro de 2023

AWSIPAMServiceRolePolicy

 Inclusão de ações na política gerenciada AWSIPAMServiceRolePolicy (ec2:DescribeAccountAttributes, ec2:DescribeNetworkInterfaces, ec2:DescribeSecurityGroups, ec2:DescribeSecurityGroupRules, ec2:DescribeVpnConnections, globalaccelerator:ListAccelerators, e globalaccelerator:ListByoipCidrs) para habilitar o IPAM a obter endereços IP públicos durante a identificação de recursos. 1º de novembro de 2023

AWSIPAMServiceRolePolicy

Adição de duas ações (ec2:GetIpamDiscoveredAccounts e ec2:GetIpamDiscoveredResourceCidrs) à política gerenciada AWSIPAMServiceRolePolicy para possibilitar ao IPAM a obtenção das contas de AWS e dos CIDRs dos recursos monitorados durante a identificação de recursos.

 25 de janeiro de 2023
O IPAM começou a monitorar alterações

O IPAM começou a monitorar as alterações nas políticas gerenciadas pela AWS.

 2 de dezembro de 2021