AWS IPAM 的 受管政策 - Amazon Virtual Private Cloud
AWS 受管政策的更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS IPAM 的 受管政策

如果您使用 IPAM 搭配單一 AWS 帳戶並建立 IPAM,AWSIPAMServiceRolePolicy 受管政策會自動在您的 IAM 帳戶中建立,並連接到 AWSServiceRoleForIPAM 服務連結角色

如果您啟用 IPAM 與 AWS Organizations 整合,AWSIPAMServiceRolePolicy 受管政策會自動在您的 IAM 帳戶和每個 AWS Organizations 成員帳戶中建立,且受管政策會連接至 AWSServiceRoleForIPAM 服務連結角色。

此受管政策可讓 IPAM 執行以下操作:

  • 監控組織所有成員之間與聯網資源相關聯的 CIDRs AWS 。

  • 將與 IPAM 相關的指標 (例如 IPAM 集區中可用的 IP 地址空間以及符合配置規則的資源 CIDR 數目等) 存放在 Amazon CloudWatch 中。

  • 修改和讀取受管字首清單。

下例顯示建立之受管政策的詳細資訊。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "IPAMDiscoveryDescribeActions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAddresses",
                "ec2:DescribeByoipCidrs",
                "ec2:DescribeIpv6Pools",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribePublicIpv4Pools",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSecurityGroupRules",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeVpnConnections",
                "ec2:GetIpamDiscoveredAccounts",
                "ec2:GetIpamDiscoveredPublicAddresses",
                "ec2:GetIpamDiscoveredResourceCidrs",
                "globalaccelerator:ListAccelerators",
                "globalaccelerator:ListByoipCidrs",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListChildren",
                "organizations:ListParents",
                "organizations:DescribeOrganizationalUnit"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CloudWatchMetricsPublishActions",
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/IPAM"
                }
            }
        }
    ]
}

上述範例中的第一個陳述式可讓 IPAM 監控單一 AWS 帳戶或 AWS 組織成員所使用的 CIDRs。

上例中的第二個陳述式使用 cloudwatch:PutMetricData 條件金鑰允許 IPAM 將 IPAM 指標存放在 AWS/IPAM Amazon CloudWatch 命名空間中。這些指標由 用來 AWS Management Console 顯示 IPAM 集區和範圍中配置的資料。如需詳細資訊,請參閱使用 IPAM 儀表板監控 CIDR 使用情況

AWS 受管政策的更新

檢視自此服務開始追蹤這些變更以來 IPAM AWS 受管政策更新的詳細資訊。

變更 描述 日期

AWSIPAMServiceRolePolicy

新增至 AWSIPAMServiceRolePolicy 受管政策 (ec2:ModifyManagedPrefixList、 ec2:DescribeManagedPrefixLists和 ec2:GetManagedPrefixListEntries) 的動作,可讓 IPAM 修改和讀取受管字首清單。

2025 年 10 月 31 日

AWSIPAMServiceRolePolicy

新增至 AWSIPAMServiceRolePolicy 受管政策 (organizations:ListChildrenorganizations:ListParents、 和 organizations:DescribeOrganizationalUnit) 的動作,可讓 IPAM 取得 AWS Organizations 中組織單位 (OUs) 的詳細資訊,讓客戶可以在 OU 層級使用 IPAM。

 2024 年 11 月 21 日

AWSIPAMServiceRolePolicy

動作已新增至 AWSIPAMServiceRolePolicy 受管政策 (ec2:GetIpamDiscoveredPublicAddresses),可讓 IPAM 在資源探索期間取得公有 IP 地址。

 2023 年 11 月 13 日

AWSIPAMServiceRolePolicy

 動作已新增至 AWSIPAMServiceRolePolicy 受管政策 (ec2:DescribeAccountAttributesec2:DescribeNetworkInterfacesec2:DescribeSecurityGroupsec2:DescribeSecurityGroupRulesec2:DescribeVpnConnectionsglobalaccelerator:ListAcceleratorsglobalaccelerator:ListByoipCidrs),可讓 IPAM 在資源探索期間取得公有 IP 地址。 2023 年 11 月 1 日

AWSIPAMServiceRolePolicy

新增至 AWSIPAMServiceRolePolicy 受管政策 (ec2:GetIpamDiscoveredAccountsec2:GetIpamDiscoveredResourceCidrs) 的兩個動作,可讓 IPAM 在資源探索期間取得受監控 AWS 的帳戶和資源 CIDRs。

 2023 年 1 月 25 日
IPAM 開始追蹤變更

IPAM 開始追蹤其 AWS 受管政策的變更。

 2021 年 12 月 2 日