Serviceverknüpfte Rollen für IPAM - Amazon Virtual Private Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Serviceverknüpfte Rollen für IPAM

Mit dienstverknüpften Rollen in AWS Identity and Access Management (IAM) können AWS Dienste andere AWS Dienste in Ihrem Namen aufrufen. Weitere Informationen zu dienstbezogenen Rollen finden Sie unter Verwenden von dienstbezogenen Rollen im IAM Benutzerhandbuch.

Derzeit gibt es nur eine dienstverknüpfte Rolle für:. IPAM AWSServiceRoleForIPAM

Von der serviceverknüpften Rolle erteilte Berechtigungen

IPAMverwendet die AWSServiceRoleForIPAMdienstbezogene Rolle, um die Aktionen in der angehängten AWSIPAMServiceRolePolicyverwalteten Richtlinie aufzurufen. Weitere Informationen zu den zulässigen Aktionen in dieser Richtlinie finden Sie unter AWS verwaltete Richtlinien für IPAM.

Der dienstbezogenen Rolle ist auch eine IAMvertrauenswürdige Richtlinie beigefügt, die es dem ipam.amazonaws.com Dienst ermöglicht, die dienstbezogene Rolle zu übernehmen.

Erstellen der serviceverknüpften Rolle

IPAMüberwacht die Verwendung von IP-Adressen in einem oder mehreren Konten, indem die dienstbezogene Rolle in einem Konto übernommen wird, die Ressourcen und ihre CIDRs Ressourcen ermittelt und die Ressourcen in integriert werden. IPAM

Die serviceverknüpfte Rolle wird auf zwei Arten erstellt:

  • Wenn Sie sich mit AWS -Organisationen integrieren

    Wenn Sie Integration IPAM mit Konten in einer AWS Organisation die IPAM Konsole oder den enable-ipam-organization-admin-account AWS CLI Befehl verwenden, wird die AWSServiceRoleForIPAMdienstverknüpfte Rolle automatisch in jedem Ihrer AWS Organisations-Mitgliedskonten erstellt. Dadurch sind die Ressourcen in allen Mitgliedskonten von auffindbar. IPAM

    Wichtig

    IPAMUm die dienstbezogene Rolle in Ihrem Namen zu erstellen:

    • Mit dem Verwaltungskonto für AWS Organizations, das die IPAM Integration mit AWS Organizations ermöglicht, muss eine IAM Richtlinie verknüpft sein, die die folgenden Aktionen zulässt:

      • ec2:EnableIpamOrganizationAdminAccount

      • organizations:EnableAwsServiceAccess

      • organizations:RegisterDelegatedAdministrator

      • iam:CreateServiceLinkedRole

    • Dem IPAM Konto muss eine IAM Richtlinie beigefügt sein, die die iam:CreateServiceLinkedRole Aktion zulässt.

  • Wenn Sie ein Konto IPAM mit einem einzigen AWS Konto erstellen

    Wenn SieIPAMMit einem einzigen Konto verwenden, wird die mit dem AWSServiceRoleForIPAMDienst verknüpfte Rolle automatisch erstellt, wenn Sie ein IPAM Konto mit diesem Konto erstellen.

    Wichtig

    Wenn Sie IPAM mit einem einzelnen AWS Konto verwenden, müssen Sie vor der Erstellung eines Kontos sicherstellenIPAM, dass dem AWS Konto, das Sie verwenden, eine IAM Richtlinie zugeordnet ist, die die iam:CreateServiceLinkedRole Aktion zulässt. Wenn Sie die erstellenIPAM, erstellen Sie automatisch die AWSServiceRoleForIPAMserviceverknüpfte Rolle. Weitere Informationen zur Verwaltung von IAM Richtlinien finden Sie im IAMBenutzerhandbuch unter IAMRichtlinien bearbeiten.

Bearbeiten der serviceverknüpften Rolle

Sie können die mit dem AWSServiceRoleForIPAMDienst verknüpfte Rolle nicht bearbeiten.

Löschen der serviceverknüpften Rolle

Wenn Sie sie nicht mehr verwenden müssenIPAM, empfehlen wir Ihnen, die AWSServiceRoleForIPAMdienstverknüpfte Rolle zu löschen.

Anmerkung

Sie können die dienstverknüpfte Rolle erst löschen, nachdem Sie alle IPAM Ressourcen in Ihrem AWS Konto gelöscht haben. Dadurch wird sichergestellt, dass Sie die Überwachungsfunktion von nicht versehentlich entfernen können. IPAM

Gehen Sie wie folgt vor, um die mit dem Dienst verknüpfte Rolle über den zu löschen: AWS CLI

  1. Löschen Sie Ihre IPAM Ressourcen mithilfe von deprovision-ipam-pool-cidrund delete-ipam. Weitere Informationen erhalten Sie unter CIDRsAufheben und Lösche eine IPAM.

  2. Deaktiviere das Konto mit -accountIPAM. disable-ipam-organization-admin

  3. Deaktivieren Sie den IPAM Dienst disable-aws-service-accessmit der --service-principal ipam.amazonaws.com Option.

  4. Löschen Sie die mit dem Dienst verknüpfte Rolle: delete-service-linked-role. Wenn Sie die dienstverknüpfte Rolle löschen, wird auch die IPAM verwaltete Richtlinie gelöscht. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer dienstbezogenen Rolle.