Peran terkait layanan untuk IPAM - Amazon Virtual Private Cloud
Izin peran terkait layananMembuat peran terkait layananMengedit peran terkait layananMenghapus peran terkait layanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Peran terkait layanan untuk IPAM

IPAM menggunakan peran AWS Identity and Access Management terkait layanan (IAM). Peran terkait layanan adalah jenis peran IAM yang unik. Peran terkait layanan telah ditentukan sebelumnya oleh IPAM dan mencakup semua izin yang diperlukan layanan untuk memanggil layanan lain AWS atas nama Anda.

Peran terkait layanan membuat pengaturan IPAM lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. IPAM mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya IPAM yang dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.

Izin peran terkait layanan

IPAM menggunakan peran terkait layanan AWSServiceRoleForIPAM untuk memanggil tindakan dalam kebijakan terkelola terlampir. AWSIPAMServiceRolePolicy Untuk informasi selengkapnya tentang tindakan yang diizinkan dalam kebijakan tersebut, lihatAWS kebijakan terkelola untuk IPAM.

Juga melekat pada peran terkait layanan adalah kebijakan kepercayaan IAM yang memungkinkan ipam.amazonaws.com layanan untuk mengambil peran terkait layanan.

Membuat peran terkait layanan

IPAM memantau penggunaan alamat IP dalam satu atau lebih akun dengan mengasumsikan peran terkait layanan dalam akun, menemukan sumber daya dan mereka CIDRs, dan mengintegrasikan sumber daya dengan IPAM.

Peran terkait layanan dibuat dengan salah satu dari dua cara:

  • Ketika Anda berintegrasi dengan AWS Organizations

    Jika Anda Integrasikan IPAM dengan akun di Organisasi AWS menggunakan konsol IPAM atau menggunakan enable-ipam-organization-admin-account AWS CLI perintah, peran terkait layanan AWSServiceRoleForIPAM secara otomatis dibuat di setiap akun anggota Organizations AWS Anda. Akibatnya, sumber daya dalam semua akun anggota dapat ditemukan oleh IPAM.

    penting

    Agar IPAM dapat membuat peran terkait layanan atas nama Anda:

    • Akun manajemen AWS Organizations yang memungkinkan integrasi IPAM dengan AWS Organizations harus memiliki kebijakan IAM yang memungkinkan tindakan berikut:

      • ec2:EnableIpamOrganizationAdminAccount

      • organizations:EnableAwsServiceAccess

      • organizations:RegisterDelegatedAdministrator

      • iam:CreateServiceLinkedRole

    • Akun IPAM harus memiliki kebijakan IAM yang melekat padanya yang memungkinkan tindakan. iam:CreateServiceLinkedRole

  • Saat Anda membuat IPAM menggunakan satu akun AWS

    Jika AndaGunakan IPAM dengan satu akun, peran terkait layanan AWSServiceRoleForIPAM akan dibuat secara otomatis saat Anda membuat IPAM sebagai akun tersebut.

    penting

    Jika Anda menggunakan IPAM dengan satu AWS akun, sebelum Anda membuat IPAM, Anda harus memastikan bahwa AWS akun yang Anda gunakan memiliki kebijakan IAM yang melekat padanya yang mengizinkan tindakan tersebut. iam:CreateServiceLinkedRole Saat Anda membuat IPAM, Anda secara otomatis membuat peran terkait layanan AWSServiceRoleForIPAM. Untuk informasi selengkapnya tentang mengelola kebijakan IAM, lihat Mengedit deskripsi peran terkait layanan di Panduan Pengguna IAM.

Mengedit peran terkait layanan

Anda tidak dapat mengedit peran terkait layanan AWSServiceRoleForIPAM.

Menghapus peran terkait layanan

Jika Anda tidak perlu lagi menggunakan IPAM, kami sarankan Anda menghapus peran terkait layanan AWSServiceRoleForIPAM.

catatan

Anda dapat menghapus peran terkait layanan hanya setelah Anda menghapus semua sumber daya IPAM di akun Anda. AWS Ini memastikan bahwa Anda tidak dapat secara tidak sengaja menghapus kemampuan pemantauan IPAM.

Ikuti langkah-langkah berikut untuk menghapus peran terkait layanan melalui CLI AWS :

  1. Hapus sumber daya IPAM Anda menggunakan deprovision-ipam-pool-cidrdan hapus-ipam. Untuk informasi selengkapnya, silakan lihat Pembuangan CIDRs dari kolam dan Hapus IPAM.

  2. Nonaktifkan akun IPAM dengan disable-ipam-organization-admin-account.

  3. Nonaktifkan layanan IPAM dengan disable-aws-service-accessmenggunakan --service-principal ipam.amazonaws.com opsi.

  4. Hapus peran terkait layanan:. delete-service-linked-role Saat Anda menghapus peran terkait layanan, kebijakan terkelola IPAM juga akan dihapus. Untuk informasi selengkapnya, lihat Menghapus peran tertaut layanan dalam Panduan Pengguna IAM.