# Identificar e acessar o gerenciamento no IPAM
A AWS usa credenciais de segurança para identificar você e conceder acesso aos recursos da AWS. É possível usar atributos do AWS Identity and Access Management (IAM) para permitir que outros usuários, serviços e aplicações usem os atributos da AWS, totalmente ou de maneira limitada, sem compartilhar as credenciais de segurança.
Esta seção descreve as funções vinculadas ao serviço da AWS que são criadas especificamente para o IPAM e as políticas gerenciadas anexadas às funções vinculadas ao serviço do IPAM. Para obter mais informações sobre funções e políticas do AWS IAM, consulte [Termos e conceitos de funções](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) no *Guia do usuário do IAM*.
Para obter mais informações sobre o gerenciamento de identidade e de acesso para a VPC, consulte [Identity and Access Management para a Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/security-iam.html) no *Guia do usuário da Amazon VPC*.
**Topics**
+ [Funções vinculadas ao serviço do IPAM](iam-ipam-slr.md)
+ [Políticas do IPAM gerenciadas pela AWS](iam-ipam-managed-pol.md)
+ [Exemplo de política](iam-ipam-policy-examples.md)
# Funções vinculadas ao serviço do IPAM
O IPAM faz uso de perfis vinculados ao serviço do AWS Identity and Access Management (IAM). Um perfilo vinculado ao serviço corresponde a um tipo exclusivo de perfil do IAM. Os perfis vinculados ao serviço são definidos previamente pelo IPAM e incluem todas as permissões necessárias para o serviço chamar outros serviços da AWS em seu nome.
Um perfil vinculado ao serviço simplifica a configuração do IPAM, eliminando a necessidade de adicionar manualmente as permissões necessárias. As permissões dos perfis vinculados ao serviço são definidas pelo IPAM e, a menos que seja indicado de outra maneira, somente o IPAM pode assumir os perfis. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
## Permissões de perfil vinculado ao serviço
O IPAM usa a função **AWSServiceRoleForIPAM** vinculada ao serviço para chamar as ações na política gerenciada **AWSIPAMServiceRolePolicy** anexada. Para obter mais informações sobre as ações permitidas nessa política, consulte [Políticas do IPAM gerenciadas pela AWS](iam-ipam-managed-pol.md).
Além disso, uma [política de confiança do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) está anexada ao perfil vinculado ao serviço, permitindo que o serviço `ipam.amazonaws.com` assuma o perfil vinculado ao serviço.
## Criar a função vinculada ao serviço
O IPAM monitora o uso de endereços IP em uma ou mais contas assumindo a função vinculada ao serviço em uma conta, descobrindo os recursos e seus respectivos CIDRs e integrando os recursos ao IPAM.
Há duas maneiras de a função vinculada ao serviço ser criada:
+ **Quando você integra com o AWS Organizations**
Se você [Integrar o IPAM a contas em uma organização da AWS Organizations](enable-integ-ipam.md) usando o console do IPAM ou usando o comando `enable-ipam-organization-admin-account` da AWS CLI, a função vinculada ao serviço **AWSServiceRoleForIPAM** será criada automaticamente em cada uma de suas contas de membro do AWS Organizations. Como resultado, os recursos em todas as contas de membros são detectáveis pelo IPAM.
**Importante**
Para que o IPAM crie a função vinculada ao serviço em seu nome:
A conta de gerenciamento do AWS Organizations que permite a integração do IPAM com o AWS Organizations deve ter uma política do IAM anexada a ela que permita as seguintes ações:
`ec2:EnableIpamOrganizationAdminAccount`
`organizations:EnableAwsServiceAccess`
`organizations:RegisterDelegatedAdministrator`
`iam:CreateServiceLinkedRole`
A conta IPAM deve ter uma política do IAM anexada a ela que permita a ação `iam:CreateServiceLinkedRole`.
+ **Quando você cria um IPAM usando uma única conta da AWS**
Se você [Usar o IPAM com uma única conta](enable-single-user-ipam.md), a função vinculada ao serviço **AWSServiceRoleForIPAM** é criada automaticamente quando você cria um IPAM como essa conta.
**Importante**
Se você usar o IPAM com uma única conta da AWS, antes de criar o IPAM, você deverá garantir que a conta da AWS que usar para criar o IPAM tenha anexada a ela uma política do IAM que permita a ação `iam:CreateServiceLinkedRole`. Ao criar o IPAM, você cria automaticamente a função vinculada ao serviço **AWSServiceRoleForIPAM**. Para obter mais informações sobre como gerenciar políticas do IAM, consulte [Editar a descrição de um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) no *Guia do usuário do IAM*.
## Editar a função vinculada ao serviço
Não é possível editar o perfil vinculado ao serviço **AWSServiceRoleForIPAM**.
## Excluir a função vinculada ao serviço
Se você não precisar mais usar o IPAM, é recomendável excluir a função vinculada ao serviço **AWSServiceRoleForIPAM**.
**nota**
Você pode excluir a função vinculada a serviço somente após excluir todos os recursos do IPAM em sua conta da AWS. Isso garante que você não remova o recurso de monitoramento do IPAM por engano.
Siga estas etapas para excluir o perfil vinculado ao serviço usando a AWS CLI:
1. Exclua seus recursos do IPAM usando [deprovision-ipam-pool-cidr](https://docs.aws.amazon.com/cli/latest/reference/ec2/deprovision-ipam-pool-cidr.html) e [delete-ipam](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-ipam.html). Para obter mais informações, consulte [Desprovisionar CIDRs de um grupo](depro-pool-cidr-ipam.md) e [Excluir um IPAM](delete-ipam.md).
1. Desative a conta do IPAM com [disable-ipam-organization-admin-account](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-ipam-organization-admin-account.html).
1. Desative o serviço do IPAM com [disable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/servicecatalog/disable-aws-organizations-access.html) usando a opção `--service-principal ipam.amazonaws.com`.
1. Exclua a função vinculada ao serviço: [delete-service-linked-role](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-service-linked-role.html). Quando você exclui a função vinculada ao serviço, a política gerenciada pelo IPAM também é excluída. Para obter mais informações, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) no *Guia do usuário do IAM*.
# Políticas do IPAM gerenciadas pela AWS
Ao empregar o IPAM com uma única conta AWS e criar um IPAM, a política gerenciada **AWSIPAMServiceRolePolicy** é automaticamente gerada em sua conta IAM e associada à [função vinculada ao serviço](iam-ipam-slr.md) **AWSServiceRoleForIPAM**.
Se você habilitar a integração do IPAM com o AWS Organizations, a política gerenciada **AWSIPAMServiceRolePolicy** será criada automaticamente em sua conta do IAM e em cada uma das suas contas de membros do AWS Organizations. Além disso, a política gerenciada será anexada à função vinculada ao serviço **AWSServiceRoleForIPAM**.
Essa política gerenciada habilita o IPAM para fazer o seguinte:
+ Monitorizar CIDRs associados a recursos de rede em todos os membros da sua AWS Organização.
+ Armazenar métricas relacionadas ao IPAM no Amazon CloudWatch, como o espaço de endereços IP disponível em seus grupos do IPAM e o número de CIDRs de recursos que estão em conformidade com as regras de alocação.
+ Modificar e ler listas de prefixos gerenciados.
O exemplo a seguir mostra os detalhes da política gerenciada que foi criada.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IPAMDiscoveryDescribeActions",
"Effect": "Allow",
"Action": [
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeByoipCidrs",
"ec2:DescribeIpv6Pools",
"ec2:DescribeManagedPrefixLists",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePublicIpv4Pools",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeVpnConnections",
"ec2:GetIpamDiscoveredAccounts",
"ec2:GetIpamDiscoveredPublicAddresses",
"ec2:GetIpamDiscoveredResourceCidrs",
"ec2:GetManagedPrefixListEntries",
"ec2:ModifyManagedPrefixList",
"globalaccelerator:ListAccelerators",
"globalaccelerator:ListByoipCidrs",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListChildren",
"organizations:ListParents",
"organizations:DescribeOrganizationalUnit"
],
"Resource": "*"
},
{
"Sid": "CloudWatchMetricsPublishActions",
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/IPAM"
}
}
}
]
}
```
------
A primeira instrução no exemplo anterior habilita o IPAM a monitorar os CIDRs usados pela sua única conta da AWS ou pelos membros do seu AWS Organization.
A segunda instrução no exemplo anterior usa a chave de condição `cloudwatch:PutMetricData` para permitir que o IPAM armazene métricas do IPAM em seu[namespace do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html) `AWS/IPAM`. Essas métricas são usadas pelo Console de gerenciamento da AWS para exibir dados sobre as alocações em seus grupos e escopos do IPAM. Para obter mais informações, consulte [Monitorar o uso do CIDR com o painel do IPAM](monitor-cidr-usage-ipam.md).
## Atualiza a política gerenciada pela AWS
Visualize detalhes sobre atualizações em políticas do IPAM gerenciadas pela AWS desde que esse serviço começou a rastrear essas alterações.
| Alteração | Descrição | Data |
| --- | --- | --- |
| AWSIPAMServiceRolePolicy | Ações adicionadas à política gerenciada AWSIPAMServiceRolePolicy (ec2:ModifyManagedPrefixList, ec2:DescribeManagedPrefixLists e ec2:GetManagedPrefixListEntries) para permitir que o IPAM modifique e leia listas de prefixos gerenciados. | 31 de outubro de 2025 |
| AWSIPAMServiceRolePolicy | Ações adicionadas à política gerenciada AWSIPAMServiceRolePolicy (`organizations:ListChildren`, `organizations:ListParents` e `organizations:DescribeOrganizationalUnit`) para permitir que o IPAM obtenha os detalhes das unidades organizacionais (UOs) no AWS Organizations para que os clientes possam usar o IPAM ao nível da UO. | 21 de novembro de 2024 |
| AWSIPAMServiceRolePolicy | Ação incorporada à política gerenciada AWSIPAMServiceRolePolicy (`ec2:GetIpamDiscoveredPublicAddresses`) para conceder ao IPAM a capacidade de adquirir endereços IP públicos durante a identificação de recursos. | 13 de novembro de 2023 |
| AWSIPAMServiceRolePolicy | Inclusão de ações na política gerenciada AWSIPAMServiceRolePolicy (ec2:DescribeAccountAttributes, ec2:DescribeNetworkInterfaces, ec2:DescribeSecurityGroups, ec2:DescribeSecurityGroupRules, ec2:DescribeVpnConnections, globalaccelerator:ListAccelerators, e globalaccelerator:ListByoipCidrs) para habilitar o IPAM a obter endereços IP públicos durante a identificação de recursos. | 1º de novembro de 2023 |
| AWSIPAMServiceRolePolicy | Adição de duas ações (`ec2:GetIpamDiscoveredAccounts` e `ec2:GetIpamDiscoveredResourceCidrs`) à política gerenciada AWSIPAMServiceRolePolicy para possibilitar ao IPAM a obtenção das contas de AWS e dos CIDRs dos recursos monitorados durante a identificação de recursos. | 25 de janeiro de 2023 |
| O IPAM começou a monitorar alterações | O IPAM começou a monitorar as alterações nas políticas gerenciadas pela AWS. | 2 de dezembro de 2021 |
# Exemplo de política
O exemplo de política nesta seção contém todas as ações relevantes AWS Identity and Access Management (IAM) para o uso total do IPAM. Dependendo de como você está usando o IPAM, talvez não seja necessário incluir todas as ações do IAM. Para ter uma experiência completa usando o console do IPAM, talvez seja necessário incluir ações adicionais do IAM para serviços como AWS Organizations, AWS Resource Access Manager (AWS RAM) e Amazon CloudWatch.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:AssociateIpamByoasn",
"ec2:DeprovisionIpamByoasn",
"ec2:DescribeIpamByoasn",
"ec2:DisassociateIpamByoasn",
"ec2:ProvisionIpamByoasn",
"ec2:CreateIpam",
"ec2:DescribeIpams",
"ec2:ModifyIpam",
"ec2:DeleteIpam",
"ec2:CreateIpamScope",
"ec2:DescribeIpamScopes",
"ec2:ModifyIpamScope",
"ec2:DeleteIpamScope",
"ec2:CreateIpamPool",
"ec2:DescribeIpamPools",
"ec2:ModifyIpamPool",
"ec2:DeleteIpamPool",
"ec2:ProvisionIpamPoolCidr",
"ec2:GetIpamPoolCidrs",
"ec2:DeprovisionIpamPoolCidr",
"ec2:AllocateIpamPoolCidr",
"ec2:GetIpamPoolAllocations",
"ec2:ReleaseIpamPoolAllocation",
"ec2:CreateIpamResourceDiscovery",
"ec2:DescribeIpamResourceDiscoveries",
"ec2:ModifyIpamResourceDiscovery",
"ec2:DeleteIpamResourceDiscovery",
"ec2:AssociateIpamResourceDiscovery",
"ec2:DescribeIpamResourceDiscoveryAssociations",
"ec2:DisassociateIpamResourceDiscovery",
"ec2:GetIpamResourceCidrs",
"ec2:ModifyIpamResourceCidr",
"ec2:GetIpamAddressHistory",
"ec2:GetIpamDiscoveredResourceCidrs",
"ec2:GetIpamDiscoveredAccounts",
"ec2:GetIpamDiscoveredPublicAddresses"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/ipam.amazonaws.com/AWSServiceRoleForIPAM",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "ipam.amazonaws.com"
}
}
}
]
}
```
------