Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Serviceverknüpfte Rollen für IPAM
IPAM verwendet serviceverknüpfte Rollen von AWS Identity and Access Management (IAM). Eine serviceverknüpfte Rolle ist ein spezieller Typ einer IAM-Rolle. Serviceverknüpfte Rollen werden von IPAM vordefiniert und schließen alle Berechtigungen ein, die der Service zum Aufrufen anderer AWS-Services in Ihrem Namen erfordert.
Eine serviceverbundene Rolle vereinfacht das Einrichten von IPAM, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. IPAM definiert die Berechtigungen seiner serviceverknüpften Rollen. Sofern keine andere Konfiguration festgelegt wurde, kann nur IPAM die Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
## Berechtigungen von serviceverknüpften Rollen
IPAM verwendet die serviceverknüpfte Rolle **AWSServiceRoleForIPAM**, um die Aktionen in der angehängten verwalteten **AWSIPAMServiceRolePolicy**-Richtlinie aufzurufen. Weitere Informationen zu den zulässigen Aktionen in dieser Richtlinie finden Sie unter [AWS verwaltete Richtlinien für IPAM](iam-ipam-managed-pol.md).
Diese serviceverknüpfte Rolle verfügt auch über eine [IAM-Vertrauensrichtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts), die es dem `ipam.amazonaws.com`-Service erlaubt, die erforderliche serviceverknüpfte Rolle zu übernehmen.
## Erstellen der serviceverknüpften Rolle
IPAM überwacht die IP-Adressnutzung in einem oder mehreren Konten, indem es die servicegebundene Rolle in einem Konto übernimmt, die Ressourcen und ihre CIDRs erkennt und die Ressourcen in IPAM integriert.
Die serviceverknüpfte Rolle wird auf zwei Arten erstellt:
+ **Wenn Sie sich mit AWS-Organisationen integrieren**
Wenn Sie mit der IPAM-Konsole [Integration von IPAM mit Konten in AWS Organizations](enable-integ-ipam.md) oder den `enable-ipam-organization-admin-account` AWS CLI-Befehl verwenden, wird die serviceverknüpfte Rolle **AWSServiceRoleForIPAM** automatisch in jedem Ihrer AWS-Organisationen-Mitgliedskonten erstellt. Infolgedessen sind die Ressourcen in allen Mitgliedskonten von IPAM auffindbar.
**Wichtig**
Damit IPAM die serviceverknüpfte Rolle in Ihrem Namen erstellen kann:
Das AWS-Organisationsverwaltungskonto, welches die IPAM-Integration mit AWS-Organisationen ermöglicht, müssen eine IAM-Richtlinie angehängt haben, die folgende Aktionen zulässt:
`ec2:EnableIpamOrganizationAdminAccount`
`organizations:EnableAwsServiceAccess`
`organizations:RegisterDelegatedAdministrator`
`iam:CreateServiceLinkedRole`
Dem IPAM-Konto muss eine IAM-Richtlinie beigefügt sein, welche die Aktion `iam:CreateServiceLinkedRole` erlaubt.
+ **Wenn Sie ein IPAM mithilfe eines einzigen AWS-Kontos erstellen**
Wenn Sie [Verwenden Sie IPAM mit einem einzigen Konto](enable-single-user-ipam.md), wird die serviceverknüpfte **AWSServiceRoleForIPAM** automatisch erstellt, wenn Sie ein IPAM als Konto erstellen.
**Wichtig**
Wenn Sie IPAM mit einem einzigen AWS-Konto verwenden, bevor Sie ein IPAM erstellen, müssen Sie sicherstellen, dass dem AWS-Konto, das Sie verwenden, eine IAM-Richtlinie angehängt ist, welche die `iam:CreateServiceLinkedRole`-Aktion zulässt. Wenn Sie ein IPAM erstellen, erstellen Sie automatisch die serviceverknüpfte Rolle **AWSServiceRoleForIPAM**. Weitere Informationen zur Verwaltung von IAM-Richtlinien finden Sie unter [Bearbeiten einer serviceverknüpften Rollenbeschreibung](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) im *IAM-Benutzerhandbuch*.
## Bearbeiten der serviceverknüpften Rolle
Sie können die serviceverknüpfte Rolle **AWSServiceRoleForIPAM** nicht bearbeiten.
## Löschen der serviceverknüpften Rolle
Wenn Sie IPAM nicht mehr benötigen, empfehlen wir, die serviceverknüpfte Rolle **AWSServiceRoleForIPAM** zu löschen.
**Anmerkung**
Sie können die serviceverknüpfte Rolle erst löschen, nachdem Sie alle IPAM-Ressourcen in Ihrem AWS-Konto gelöscht haben. Auf diese Weise wird sichergestellt, dass Sie die Überwachungsfunktion von IPAM nicht versehentlich entfernen.
Führen Sie diese Schritte aus, um die serviceverknüpfte Rolle über die AWS CLI zu löschen:
1. Löschen Sie Ihre IPAM-Ressourcen mit [deprovision-ipam-pool-cidr](https://docs.aws.amazon.com/cli/latest/reference/ec2/deprovision-ipam-pool-cidr.html) und [delete-ipam](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-ipam.html). Weitere Informationen finden Sie unter [Deprovisionierung CIDRs aus einem Pool](depro-pool-cidr-ipam.md) und [Löschen Sie ein IPAM](delete-ipam.md).
1. Deaktivieren Sie das IPAM-Konto mit [disable-ipam-organization-admin-account](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-ipam-organization-admin-account.html).
1. Deaktivieren Sie den IPAM-Service mit [disable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/servicecatalog/disable-aws-organizations-access.html) mit der `--service-principal ipam.amazonaws.com`-Option.
1. Löschen der serviceverknüpften Rolle [delete-service-linked-role](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-service-linked-role.html). Wenn Sie die serviceverknüpfte Rolle löschen, wird die von IPAM verwaltete Richtlinie ebenfalls gelöscht. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) im *IAM-Benutzerhandbuch*.