# IPAM のサービスリンクロール
IPAM は、AWS Identity and Access Management (IAM) のサービスリンクロールを使用します。サービスリンクロールとは、一意のタイプの IAM ロールです。サービスリンクロールは、IPAM による事前定義済みのロールであり、ユーザーに代わってサービスから他の AWS のサービスを呼び出すために必要なすべてのアクセス許可を備えています。
サービスにリンクされたロールを使用することで、必要なアクセス権限を手動で追加する必要がなくなるため、IPAM の設定が簡単になります。IPAM は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、IPAM のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
## サービスにリンクされたロールのアクセス許可
IPAM は、**AWSServiceRoleForIPAM** サービスリンクロールを使用して、**AWSIPAMServiceRolePolicy** マネージドポリシーにアタッチされているアクションを呼び出します。そのポリシーで許可されるアクションの詳細については、[IPAM の AWS マネージドポリシー](iam-ipam-managed-pol.md)を参照してください。
このサービスリンクロールには、`ipam.amazonaws.com` サービスがサービスリンクロールを継承することを可能にする [IAM 信頼ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)もアタッチされています。
## サービスにリンクされたロールの作成
IPAM は、アカウント内のサービスがリンクされたロールを引継ぎ、リソースとその CIDR を検出し、リソースを IPAM に統合することによって、1 つ以上のアカウントの IP アドレスの使用状況をモニタリングします。
サービスにリンクされたロールは、次の 2 つの方法のいずれかで作成されます。
+ **AWS Organizations と統合する場合**
IPAM コンソールまたは `enable-ipam-organization-admin-account` AWS CLI コマンドを使用して [IPAM を AWS Organizations 内のアカウントと統合する](enable-integ-ipam.md) する場合、各 AWS Organizations メンバーのアカウントに対して、**AWSServiceRoleForIPAM** サービスにリンクされたロールが自動的に作成されます。その結果、すべてのメンバーアカウント内のリソースは、IPAM によって検出されます。
**重要**
IPAM がユーザーに代わってサービスにリンクしたロールを作成する場合
IPAM と AWS 組織の統合を可能にする AWS 組織の管理アカウントには、次のアクションを許可する IAM ポリシーがアタッチされている必要があります。
`ec2:EnableIpamOrganizationAdminAccount`
`organizations:EnableAwsServiceAccess`
`organizations:RegisterDelegatedAdministrator`
`iam:CreateServiceLinkedRole`
IPAM アカウントには、`iam:CreateServiceLinkedRole` アクションを許可する IAM ポリシーがアタッチされている必要があります。
+ **1 つの AWS アカウントを使用して IPAM を作成する場合**
[IPAM を 1 つのアカウントで使用する](enable-single-user-ipam.md) の場合、そのアカウントとして IPAM を作成すると、**AWSServiceRoleForIPAM** サービスにリンクされたロールが自動的に作成されます。
**重要**
1 つの AWS アカウントで IPAM を使用する場合は、IPAM を作成する前に、使用する AWS アカウントに `iam:CreateServiceLinkedRole` アクションを許可する IAM ポリシーがアタッチされていることを確認する必要があります。IPAM を作成した場合、**AWSServiceRoleForIPAM** サービスにリンクされたロールが自動的に作成されます。詳細については、IAM ユーザーガイドの「[サービスにリンクされたロールの説明の編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)」を参照してください。**
## サービスにリンクされたロールを編集する
**AWSServiceRoleForIPAM** サービスリンクロールを編集することはできません。
## サービスにリンクされたロールを削除する
IPAM を使用する必要がなくなった場合は、**AWSServiceRoleForIPAM** サービスリンクロールを削除することをお勧めします。
**注記**
サービスリンクロールを削除するには、AWS アカウントの IPAM リソースをすべて削除する必要があります。これにより、IPAM のモニタリング機能を誤って削除することがなくなります。
AWS CLI を使用して、サービスにリンクされたロールを削除するには、次のステップを実行します。
1. [deprovision-ipam-pool-cidr](https://docs.aws.amazon.com/cli/latest/reference/ec2/deprovision-ipam-pool-cidr.html) および [delete-ipam](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-ipam.html) を使用して IPAM を削除します。詳細については、「[プールから CIDR のプロビジョニングを解除するには](depro-pool-cidr-ipam.md)」および「[IPAM を削除する](delete-ipam.md)」を参照してください。
1. [disable-ipam-organization-admin-account](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-ipam-organization-admin-account.html) を使用して、IPAM アカウントを無効化します。
1. [disable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/servicecatalog/disable-aws-organizations-access.html) で `--service-principal ipam.amazonaws.com` オプションを使用して、IPAM サービスを無効化します。
1. [delete-service-linked-role](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-service-linked-role.html) を使用して、サービスリンクロールを削除します。サービスリンクロールを削除すると、IPAM ポリシーも削除されます。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)」を参照してください。