本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
IPAM 使用 AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是 IAM 角色的唯一類型。服務連結角色由 IPAM 預先定義,並包含服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您更輕鬆地設定 IPAM,因為您不必手動新增必要的許可。IPAM 會定義其服務連結角色的許可,除非另有定義,否則只有 IPAM 可以擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
服務連結角色許可
IPAM 使用 AWSServiceRoleForIPAM 服務連結角色來呼叫附加 AWSIPAMServiceRolePolicy 受管政策中的動作。如需有關該政策中允許之動作的詳細資訊,請參閱 AWS IPAM 的 受管政策。
也連接至服務連結角色是 IAM 信任政策,可讓ipam.amazonaws.com服務擔任服務連結角色。
建立服務連結角色
IPAM 會擔任帳戶中的服務連結角色、探索資源及其 CIDR,並將資源與 IPAM 整合,以監控一或多個帳戶中的 IP 地址使用情況。
有兩種建立服務連結角色的方式:
-
當您與 AWS Organizations 整合時
如果您將 IPAM 與 AWS 組織中的帳戶整合使用 IPAM 主控台或使用
enable-ipam-organization-admin-accountAWS CLI 命令,則 AWSServiceRoleForIPAM 服務連結角色會自動在每個 AWS Organizations 成員帳戶中建立。因此,IPAM 可以探索所有成員帳戶內的資源。重要
若要讓 IPAM 代表您建立服務連結角色:
-
啟用與 AWS Organizations 整合 IPAM 的 AWS Organizations 管理帳戶必須連接 IAM 政策,以允許下列動作:
-
ec2:EnableIpamOrganizationAdminAccount -
organizations:EnableAwsServiceAccess -
organizations:RegisterDelegatedAdministrator -
iam:CreateServiceLinkedRole
-
-
IPAM 帳戶必須連接允許
iam:CreateServiceLinkedRole動作的 IAM 政策。
-
-
當您使用單一 AWS 帳戶建立 IPAM 時
如果您 與單一帳戶共用 IPAM,當您建立 IPAM 作為該帳戶時,會自動建立 AWSServiceRoleForIPAM 服務連結角色。
重要
如果您將 IPAM 與單一 AWS 帳戶搭配使用,則在建立 IPAM 之前,您必須確保您正在使用 AWS 的帳戶已連接允許
iam:CreateServiceLinkedRole動作的 IAM 政策。當您建立 IPAM 時,您將自動建立 AWSServiceRoleForIPAM 服務連結角色。如需管理 IAM 政策的詳細資訊,請參閱《IAM 使用者指南》中的編輯服務連結角色描述。
編輯服務連結角色
您無法編輯 AWSServiceRoleForIPAM 服務連結角色。
刪除服務連結角色
如果您不再需要使用 IPAM,建議您刪除 AWSServiceRoleForIPAM 服務連結角色。
注意
只有在刪除您的 AWS 帳戶中的所有 IPAM 資源之後,您才可以刪除服務連結角色。這可確保您不會無意中移除 IPAM 的監控功能。
請依照下列步驟,透過 CLI AWS 刪除服務連結角色:
使用 deprovision-ipam-pool-cidr
和 delete-ipam 刪除 IPAM 資源。如需詳細資訊,請參閱 從集區解除佈建 CIDR 及 刪除 IPAM。 使用 disable-ipam-organization-admin-account
停用 IPAM 帳戶。 使用 disable-aws-service-access
和 --service-principal ipam.amazonaws.com選項停用 IPAM 服務。刪除服務連結角色:delete-service-linked-role
。刪除服務連結角色時,也會一併刪除 IPAM 受管政策。如需詳細資訊,請參閱《IAM 使用者指南》中的刪除服務連結角色。
