Políticas do IPAM gerenciadas pela AWS

Ao empregar o IPAM com uma única conta AWS e criar um IPAM, a política gerenciada AWSIPAMServiceRolePolicy é automaticamente gerada em sua conta IAM e associada à função vinculada ao serviço AWSServiceRoleForIPAM.

Se você habilitar a integração do IPAM com o AWS Organizations, a política gerenciada AWSIPAMServiceRolePolicy será criada automaticamente em sua conta do IAM e em cada uma das suas contas de membros do AWS Organizations. Além disso, a política gerenciada será anexada à função vinculada ao serviço AWSServiceRoleForIPAM.

Essa política gerenciada habilita o IPAM para fazer o seguinte:

Monitorizar CIDRs associados a recursos de rede em todos os membros da sua AWS Organização.
Armazenar métricas relacionadas ao IPAM no Amazon CloudWatch, como o espaço de endereços IP disponível em seus grupos do IPAM e o número de CIDRs de recursos que estão em conformidade com as regras de alocação.

O exemplo a seguir mostra os detalhes da política gerenciada que foi criada.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "IPAMDiscoveryDescribeActions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAddresses",
                "ec2:DescribeByoipCidrs",
                "ec2:DescribeIpv6Pools",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribePublicIpv4Pools",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSecurityGroupRules",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeVpnConnections",
                "ec2:GetIpamDiscoveredAccounts",
                "ec2:GetIpamDiscoveredPublicAddresses",
                "ec2:GetIpamDiscoveredResourceCidrs",
                "globalaccelerator:ListAccelerators",
                "globalaccelerator:ListByoipCidrs",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListChildren",
                "organizations:ListParents",
                "organizations:DescribeOrganizationalUnit"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CloudWatchMetricsPublishActions",
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/IPAM"
                }
            }
        }
    ]
}

A primeira instrução no exemplo anterior habilita o IPAM a monitorar os CIDRs usados pela sua única conta da AWS ou pelos membros do seu AWS Organization.

A segunda instrução no exemplo anterior usa a chave de condição cloudwatch:PutMetricData para permitir que o IPAM armazene métricas do IPAM em seunamespace do Amazon CloudWatch AWS/IPAM. Essas métricas são usadas pelo AWS Management Console para exibir dados sobre as alocações em seus grupos e escopos do IPAM. Para ter mais informações, consulte Monitorar o uso do CIDR com o painel do IPAM.

Atualiza a política gerenciada pela AWS

Visualize detalhes sobre atualizações em políticas do IPAM gerenciadas pela AWS desde que esse serviço começou a rastrear essas alterações.

Alteração	Descrição	Data
AWSIPAMServiceRolePolicy	Ações adicionadas à política gerenciada AWSIPAMServiceRolePolicy (`organizations:ListChildren`, `organizations:ListParents` e `organizations:DescribeOrganizationalUnit`) para permitir que o IPAM obtenha os detalhes das unidades organizacionais (UOs) no AWS Organizations para que os clientes possam usar o IPAM ao nível da UO.	21 de novembro de 2024
AWSIPAMServiceRolePolicy	Ação incorporada à política gerenciada AWSIPAMServiceRolePolicy (`ec2:GetIpamDiscoveredPublicAddresses`) para conceder ao IPAM a capacidade de adquirir endereços IP públicos durante a identificação de recursos.	13 de novembro de 2023
AWSIPAMServiceRolePolicy	Inclusão de ações na política gerenciada AWSIPAMServiceRolePolicy (`ec2:DescribeAccountAttributes`, `ec2:DescribeNetworkInterfaces`, `ec2:DescribeSecurityGroups`, `ec2:DescribeSecurityGroupRules`, `ec2:DescribeVpnConnections`, `globalaccelerator:ListAccelerators`, e `globalaccelerator:ListByoipCidrs`) para habilitar o IPAM a obter endereços IP públicos durante a identificação de recursos.	1º de novembro de 2023
AWSIPAMServiceRolePolicy	Adição de duas ações (`ec2:GetIpamDiscoveredAccounts` e `ec2:GetIpamDiscoveredResourceCidrs`) à política gerenciada AWSIPAMServiceRolePolicy para possibilitar ao IPAM a obtenção das contas de AWS e dos CIDRs dos recursos monitorados durante a identificação de recursos.	25 de janeiro de 2023
O IPAM começou a monitorar alterações	O IPAM começou a monitorar as alterações nas políticas gerenciadas pela AWS.	2 de dezembro de 2021

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Funções vinculadas ao serviço do IPAM

Exemplo de política