Roles vinculados a servicios para IPAM - Amazon Virtual Private Cloud
Permisos de roles vinculados a serviciosCreación del rol vinculado a serviciosEditar el rol vinculado a serviciosEliminar el rol vinculado a servicios

Roles vinculados a servicios para IPAM

IPAM utiliza roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a servicios es un tipo único de rol de IAM. Los roles vinculados a servicios están predefinidos por IPAM e incluyen todos los permisos que el servicio requiere para llamar a otras soluciones de AWS en su nombre.

Un rol vinculado a un servicio simplifica la configuración de IPAM, ya que no tendrá que agregar manualmente los permisos necesarios. IPAM define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo IPAM puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.

Permisos de roles vinculados a servicios

IPAM utiliza el rol vinculado a servicios AWSServiceRoleForIPAM para llamar a las acciones en la política administrada adjunta AWSIPAMServiceRolePolicy. Para obtener más información sobre las acciones permitidas en esa política, consulte Políticas administradas por AWS para IPAM .

Este rol vinculado a servicios también tiene una política de confianza de IAM que permite que el servicio de ipam.amazonaws.com asuma el rol vinculado a servicios.

Creación del rol vinculado a servicios

IPAM supervisa el uso de direcciones IP en una o más cuentas al asumir el rol vinculado a servicios de una cuenta, al descubrir los recursos y sus CIDR y al integrar los recursos con IPAM.

El rol vinculado a servicios se crea de una de estas dos maneras:

  • Al integrar con AWS Organizations

    Si Integración de IPAM con cuentas en una organización de AWS mediante la consola de IPAM o mediante el comando enable-ipam-organization-admin-account de AWS CLI, el rol vinculado a servicios AWSServiceRoleForIPAM se crea automáticamente en cada una de sus cuentas de miembros de AWS Organizations. Como resultado de ello, IPAM puede detectar los recursos de todas las cuentas de miembros.

    importante

    Para que IPAM cree el rol vinculado a servicios en su nombre:

    • La cuenta de administración de AWS Organizations que permite la integración de IPAM con AWS Organizations deben tener adjunta una política de IAM que permita las siguientes acciones:

      • ec2:EnableIpamOrganizationAdminAccount

      • organizations:EnableAwsServiceAccess

      • organizations:RegisterDelegatedAdministrator

      • iam:CreateServiceLinkedRole

    • La cuenta de IPAM debe tener adjunta una política de IAM que permita la acción iam:CreateServiceLinkedRole.

  • Cuando crea una IPAM mediante una sola cuenta de AWS

    Si Utilizar IPAM con una sola cuenta, el rol vinculado a servicios AWSServiceRoleForIPAM se crea automáticamente al crear un IPAM como esa cuenta.

    importante

    Si utiliza IPAM con una sola cuenta de AWS, antes de crear un IPAM, debe asegurarse de que la cuenta de AWS que utiliza tenga adjunta una política de IAM que permita la acción iam:CreateServiceLinkedRole. Al crear el IPAM, se crea automáticamente el rol vinculado a servicios AWSServiceRoleForIPAM. Para obtener más información sobre la administración de las políticas de IAM, consulte Edición de la descripción de un rol vinculado a servicios en la Guía del usuario de IAM.

Editar el rol vinculado a servicios

No puede editar el rol vinculado a servicios AWSServiceRoleForIPAM.

Eliminar el rol vinculado a servicios

Si ya no tiene que utilizar IPAM, le recomendamos que elimine el rol vinculado a servicios AWSServiceRoleForIPAM.

nota

Puede eliminar el rol vinculado a servicios solo después de eliminar todos los recursos de IPAM en su cuenta de AWS. Esto garantiza que no pueda eliminar accidentalmente la capacidad de monitoreo de IPAM.

Siga estos pasos para eliminar el rol vinculado a servicios mediante AWS CLI:

  1. Elimine los recursos de IPAM mediante deprovision-ipam-pool-cidr y delete-ipam. Para obtener más información, consulte Anular el aprovisionamiento del CIDR de un grupo y Eliminar un IPAM.

  2. Desactive la cuenta de IPAM con disable-ipam-organization-admin-account.

  3. Desactive el servicio de IPAM con disable-aws-service-accessmediante la opción --service-principal ipam.amazonaws.com.

  4. Elimine el rol vinculado a servicios: delete-service-linked-role. Al eliminar el rol vinculado a servicios, también se elimina la política administrada de IPAM. Para obtener más información, consulte Eliminación de un rol vinculado a un servicio en la Guía del usuario de IAM.