Funções vinculadas ao serviço do IPAM
Funções vinculadas ao serviço no AWS Identity and Access Management (IAM) habilitam os serviços da AWS a chamar outros serviços da AWS em seu nome. Para obter mais informações sobre funções vinculadas a serviços, consulte Usar funções vinculadas a serviços no Guia do usuário do IAM.
Atualmente, há apenas uma função vinculada ao serviço do IPAM: AWSServiceRoleForIPAM.
Permissões concedidas à função vinculada ao serviço
O IPAM usa a função AWSServiceRoleForIPAM vinculada ao serviço para chamar as ações na política gerenciada AWSIPAMServiceRolePolicy anexada. Para obter mais informações sobre as ações permitidas nessa política, consulte Políticas do IPAM gerenciadas pela AWS.
Há uma política confiável do IAM, também anexada à função vinculada ao serviço, que permite que o serviço da ipam.amazonaws.com
assuma a função vinculada ao serviço.
Criar a função vinculada ao serviço
O IPAM monitora o uso de endereços IP em uma ou mais contas assumindo a função vinculada ao serviço em uma conta, descobrindo os recursos e seus respectivos CIDRs e integrando os recursos ao IPAM.
Há duas maneiras de a função vinculada ao serviço ser criada:
-
Quando você integra com o AWS Organizations
Se você Integrar o IPAM a contas em uma organização da AWS Organizations usando o console do IPAM ou usando o comando
enable-ipam-organization-admin-account
da AWS CLI, a função vinculada ao serviço AWSServiceRoleForIPAM será criada automaticamente em cada uma de suas contas de membro do AWS Organizations. Como resultado, os recursos em todas as contas de membros são detectáveis pelo IPAM.Importante
Para que o IPAM crie a função vinculada ao serviço em seu nome:
-
A conta de gerenciamento do AWS Organizations que permite a integração do IPAM com o AWS Organizations deve ter uma política do IAM anexada a ela que permita as seguintes ações:
-
ec2:EnableIpamOrganizationAdminAccount
-
organizations:EnableAwsServiceAccess
-
organizations:RegisterDelegatedAdministrator
-
iam:CreateServiceLinkedRole
-
-
A conta IPAM deve ter uma política do IAM anexada a ela que permita a ação
iam:CreateServiceLinkedRole
.
-
-
Quando você cria um IPAM usando uma única conta da AWS
Se você Usar o IPAM com uma única conta, a função vinculada ao serviço AWSServiceRoleForIPAM é criada automaticamente quando você cria um IPAM como essa conta.
Importante
Se você usar o IPAM com uma única conta da AWS, antes de criar o IPAM, você deverá garantir que a conta da AWS que usar para criar o IPAM tenha anexada a ela uma política do IAM que permita a ação
iam:CreateServiceLinkedRole
. Ao criar o IPAM, você cria automaticamente a função vinculada ao serviço AWSServiceRoleForIPAM. Para obter mais informações sobre como gerenciar uma política do IAM, consulte Edição de políticas do IAM no Guia do usuário do IAM.
Editar a função vinculada ao serviço
Não é possível editar a função vinculada ao serviço AWSServiceRoleForIPAM.
Excluir a função vinculada ao serviço
Se você não precisar mais usar o IPAM, é recomendável excluir a função vinculada ao serviço AWSServiceRoleForIPAM.
nota
Você pode excluir a função vinculada a serviço somente após excluir todos os recursos do IPAM em sua conta da AWS. Isso garante que você não remova o recurso de monitoramento do IPAM por engano.
Siga estas etapas para excluir a função vinculada ao serviço por meio da AWS CLI:
Exclua seus recursos do IPAM usando deprovision-ipam-pool-cidr e delete-ipam. Para ter mais informações, consulte Desprovisionar CIDRs de um grupo e Excluir um IPAM.
Desative a conta do IPAM com disable-ipam-organization-admin-account.
Desative o serviço do IPAM com disable-aws-service-access
usando a opção --service-principal ipam.amazonaws.com
.Exclua a função vinculada ao serviço: delete-service-linked-role
. Quando você exclui a função vinculada ao serviço, a política gerenciada pelo IPAM também é excluída. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.