Actualizaciones de la política administrada por AWS

Políticas administradas por AWS para IPAM

Si utiliza el IPAM con una sola cuenta de AWS y crea un IPAM, la política administrada AWSIPAMServiceRolePolicy se crea de forma automática en su cuenta de IAM y se adjunta al rol vinculado a servicios AWSServiceRoleForIPAM.

Si habilita la integración de IPAM con AWS Organizations, la política administrada AWSIPAMServiceRolePolicy se crea automáticamente en su cuenta de IAM y en cada una de las cuentas de miembros de AWS Organizations, y la política administrada se adjunta al rol vinculado a servicios AWSServiceRoleForIPAM.

Esta política administrada permite a IPAM hacer lo siguiente:

Monitorear los CIDR asociados con los recursos de red en todos los miembros de su organización de AWS.
Almacenar métricas relacionadas con IPAM en Amazon CloudWatch, como el espacio de direcciones IP disponible en los grupos de IPAM y el número de CIDR de recursos que cumplen las reglas de asignación.

En el ejemplo siguiente, se muestran detalles de la política administrada que se creó.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "IPAMDiscoveryDescribeActions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAddresses",
                "ec2:DescribeByoipCidrs",
                "ec2:DescribeIpv6Pools",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribePublicIpv4Pools",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSecurityGroupRules",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeVpnConnections",
                "ec2:GetIpamDiscoveredAccounts",
                "ec2:GetIpamDiscoveredPublicAddresses",
                "ec2:GetIpamDiscoveredResourceCidrs",
                "globalaccelerator:ListAccelerators",
                "globalaccelerator:ListByoipCidrs",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListChildren",
                "organizations:ListParents",
                "organizations:DescribeOrganizationalUnit"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CloudWatchMetricsPublishActions",
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/IPAM"
                }
            }
        }
    ]
}

La primera instrucción en el ejemplo anterior permite a IPAM supervisar los CIDR utilizados por una sola cuenta de AWS o por los miembros de su organización de AWS.

La segunda instrucción del ejemplo anterior utiliza la clave de condición cloudwatch:PutMetricData para permitir que IPAM almacene métricas de IPAM en su espacio de nombres de Amazon CloudWatch en AWS/IPAM. La AWS Management Console utiliza estas métricas para mostrar datos sobre las asignaciones de los grupos y alcances de IPAM. Para obtener más información, consulte Monitorear el uso de CIDR con el panel de IPAM.

Actualizaciones de la política administrada por AWS

Es posible consultar los detalles sobre las actualizaciones de las políticas administradas por AWS para IPAM debido a que este servicio comenzó a realizar un seguimiento de estos cambios.

Cambio	Descripción	Fecha
AWSIPAMServiceRolePolicy	Se añadieron acciones a la política administrada AWSIPamServiceRolePolicy (`organizations:ListChildren`,`organizations:ListParents` y `organizations:DescribeOrganizationalUnit`) para permitir que el IPAM obtenga los detalles de las unidades organizativas (OU) de AWS Organizations, de modo que los clientes puedan usar el IPAM a nivel de OU.	21 de noviembre de 2024
AWSIPAMServiceRolePolicy	Se agregó una acción a la política administrada AWSIPAMServiceRolePolicy (`ec2:GetIpamDiscoveredPublicAddresses`) para permitir que IPAM obtenga direcciones IP públicas durante la detección de recursos.	13 de noviembre de 2023
AWSIPAMServiceRolePolicy	Se agregaron acciones a la política administrada AWSIPAMServiceRolePolicy (`ec2:DescribeAccountAttributes`, `ec2:DescribeNetworkInterfaces`, `ec2:DescribeSecurityGroups`, `ec2:DescribeSecurityGroupRules`, `ec2:DescribeVpnConnections`, `globalaccelerator:ListAccelerators` y `globalaccelerator:ListByoipCidrs`) para permitir que IPAM obtenga direcciones IP públicas durante la detección de recursos.	1 de noviembre de 2023
AWSIPAMServiceRolePolicy	Se agregaron dos acciones a la política administrada AWSIPAMServiceRolePolicy (`ec2:GetIpamDiscoveredAccounts` y `ec2:GetIpamDiscoveredResourceCidrs`) para permitir que IPAM monitoree las cuentas de AWS y los CIDR de recursos durante la detección de recursos.	25 de enero de 2023
IPAM comenzó a realizar un seguimiento de los cambios	IPAM comenzó el seguimiento de los cambios de las políticas administradas por AWS.	2 de diciembre de 2021

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Roles vinculados a servicios para IPAM

Ejemplo de política de