IPAM 的服務連結角色
IPAM 使用 AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是一種特殊的 IAM 角色類型。服務連結角色由 IPAM 預先定義,且內含該服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓設定 IPAM 更為簡單,因為您不必手動新增必要的許可。IPAM 定義其服務連結角色的許可,除非另有定義,否則僅有 IPAM 可以擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
服務連結角色許可
IPAM 使用 AWSServiceRoleForIPAM 服務連結角色來呼叫附加 AWSIPAMServiceRolePolicy 受管政策中的動作。如需有關該政策中允許之動作的詳細資訊,請參閱 IPAM 的 AWS 受管政策。
服務連結角色亦會連接 IAM 信任政策,以允許 ipam.amazonaws.com 服務擔任服務連結角色。
建立服務連結角色
IPAM 會擔任帳戶中的服務連結角色、探索資源及其 CIDR,並將資源與 IPAM 整合,以監控一或多個帳戶中的 IP 地址使用情況。
有兩種建立服務連結角色的方式:
-
當您與 AWS Organizations 整合時
如果您使用 IPAM 主控台或使用
enable-ipam-organization-admin-accountAWS CLI 命令 將 IPAM 與 AWS Organizations 中的帳戶整合,則會自動在您的每個 AWS Organizations 成員帳戶中建立 AWSServiceRoleForIPAM 服務連結角色。因此,IPAM 可以探索所有成員帳戶內的資源。重要
若要讓 IPAM 代表您建立服務連結角色:
-
啟用 IPAM 與 AWS Organizations 整合的 AWS Organizations 管理帳戶必須連接允許以下動作的 IAM 政策:
-
ec2:EnableIpamOrganizationAdminAccount -
organizations:EnableAwsServiceAccess -
organizations:RegisterDelegatedAdministrator -
iam:CreateServiceLinkedRole
-
-
IPAM 帳戶必須連接允許
iam:CreateServiceLinkedRole動作的 IAM 政策。
-
-
當您使用單一 AWS 帳戶建立 IPAM 時
如果您 與單一帳戶共用 IPAM,當您建立 IPAM 作為該帳戶時,會自動建立 AWSServiceRoleForIPAM 服務連結角色。
重要
在您建立 IPAM 之前,如果您以單一 AWS 帳戶使用 IPAM,則必須確保您使用的 AWS 帳戶連接有允許
iam:CreateServiceLinkedRole動作的 IAM 政策。當您建立 IPAM 時,您將自動建立 AWSServiceRoleForIPAM 服務連結角色。如需有關管理 IAM 政策的詳細資訊,請參閱 IAM User Guide 中的 Editing a service-linked role description。
編輯服務連結角色
您無法編輯 AWSServiceRoleForIPAM 服務連結角色。
刪除服務連結角色
如果您不再需要使用 IPAM,建議您刪除 AWSServiceRoleForIPAM 服務連結角色。
注意
只有在刪除您的 AWS 帳戶中的所有 IPAM 資源之後,您才可以刪除服務連結角色。這可確保您不會無意中移除 IPAM 的監控功能。
請依照下列步驟,使用 AWS CLI 刪除服務連結角色:
使用 deprovision-ipam-pool-cidr 和 delete-ipam 刪除 IPAM 資源。如需詳細資訊,請參閱從集區解除佈建 CIDR及 刪除 IPAM。
使用 disable-ipam-organization-admin-account 停用 IPAM 帳戶。
使用 disable-aws-service-access
和 --service-principal ipam.amazonaws.com選項停用 IPAM 服務。刪除服務連結角色:delete-service-linked-role
。刪除服務連結角色時,也會一併刪除 IPAM 受管政策。如需詳細資訊,請參閱《IAM 使用者指南》中的刪除服務連結角色。
