IPAM에 대한 AWS 관리형 정책 - Amazon Virtual Private Cloud
AWS 관리형 정책으로 업데이트

IPAM에 대한 AWS 관리형 정책

단일 AWS 계정을 사용하여 IPAM을 사용 중이고 IPAM을 생성하는 경우 AWSIPAMServiceRolePolicy 관리형 정책이 IAM 계정에 자동으로 생성되고 AWSServiceRoleForIPAM 서비스 연결 역할에 연결됩니다.

AWS Organizations과의 IPAM 통합을 사용하면 AWSIPAMServiceRolePolicy 관리형 정책이 IAM 계정과 각 AWS Organizations 멤버 계정에 자동으로 생성되고 관리형 정책은 AWSServiceRoleForIPAM 서비스 연결 역할에 연결됩니다.

이 관리형 정책을 사용하면 IPAM이 다음을 수행할 수 있습니다.

  • AWS Organizations의 모든 멤버에 걸쳐 네트워킹 리소스와 연결된 CIDR을 모니터링합니다.

  • IPAM 풀에서 사용 가능한 IP 주소 공간 및 할당 규칙을 준수하는 리소스 CIDR 수 등 IPAM과 관련된 지표를 Amazon CloudWatch에 저장합니다.

다음은 생성된 관리형 정책의 세부 정보를 보여주는 예입니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "IPAMDiscoveryDescribeActions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAddresses",
                "ec2:DescribeByoipCidrs",
                "ec2:DescribeIpv6Pools",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribePublicIpv4Pools",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSecurityGroupRules",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeVpnConnections",
                "ec2:GetIpamDiscoveredAccounts",
                "ec2:GetIpamDiscoveredPublicAddresses",
                "ec2:GetIpamDiscoveredResourceCidrs",
                "globalaccelerator:ListAccelerators",
                "globalaccelerator:ListByoipCidrs",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListChildren",
                "organizations:ListParents",
                "organizations:DescribeOrganizationalUnit"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CloudWatchMetricsPublishActions",
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/IPAM"
                }
            }
        }
    ]
}

위 예의 첫 번째 명령문을 사용하면 IPAM이 단일 AWS 계정 또는 AWS Organizations의 멤버를 사용해 CIDR을 모니터링할 수 있습니다.

위 예의 두 번째 명령문은 cloudwatch:PutMetricData 조건 키를 사용하여 IPAM이 IPAM 지표를 AWS/IPAM Amazon CloudWatch 네임공간에 저장하도록 허용합니다. 이러한 지표는 IPAM 풀 및 범위의 할당에 대한 데이터를 표시하는 AWS Management Console에서 사용합니다. 자세한 내용은 IPAM 대시보드를 사용하여 CIDR 사용량 모니터링 단원을 참조하십시오.

AWS 관리형 정책으로 업데이트

이 서비스가 이러한 변경 내용을 추적하기 시작한 이후부터 IPAM의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다.

변경 사항 설명 날짜

AWSIPAMServiceRolePolicy

고객이 조직 단위(OU) 수준에서 IPAM을 사용할 수 있도록 IPAM이 AWS Organizations의 OU 세부 정보를 가져오도록 허용하는 작업이 AWSIPAMServiceRolePolicy 관리형 정책(organizations:ListChildren,organizations:ListParentsorganizations:DescribeOrganizationalUnit)에 추가되었습니다.

 2024년 11월 21일

AWSIPAMServiceRolePolicy

리소스 검색 중에 IPAM이 퍼블릭 IP 주소를 가져올 수 있도록 AWSIPAMServiceRolePolicy 관리형 정책(ec2:GetIpamDiscoveredPublicAddresses)에 작업이 추가되었습니다.

 2023년 11월 13일

AWSIPAMServiceRolePolicy

 리소스 검색 중에 IPAM이 퍼블릭 IP 주소를 가져올 수 있도록 AWSIPAMServiceRolePolicy 관리형 정책(ec2:DescribeAccountAttributes, ec2:DescribeNetworkInterfaces, ec2:DescribeSecurityGroups, ec2:DescribeSecurityGroupRules, ec2:DescribeVpnConnections, globalaccelerator:ListAccelerators, globalaccelerator:ListByoipCidrs)에 작업이 추가되었습니다. 2023년 11월 1일

AWSIPAMServiceRolePolicy

IPAM이 리소스 검색 중에 모니터링되는 AWS 계정과 리소스 CIDR을 가져올 수 있도록 AWSIPAMServiceRolePolicy 관리형 정책에 두 가지 작업(ec2:GetIpamDiscoveredAccountsec2:GetIpamDiscoveredResourceCidrs)이 추가되었습니다.

 2023년 1월 25일
IPAM이 변경 사항 추적 시작

IPAM이 AWS 관리형 정책에 대한 변경 내용 추적을 시작했습니다.

 2021년 12월 2일