# Políticas do IPAM gerenciadas pela AWS
<a name="iam-ipam-managed-pol"></a>

Ao empregar o IPAM com uma única conta AWS e criar um IPAM, a política gerenciada **AWSIPAMServiceRolePolicy** é automaticamente gerada em sua conta IAM e associada à [função vinculada ao serviço](iam-ipam-slr.md) **AWSServiceRoleForIPAM**.

Se você habilitar a integração do IPAM com o AWS Organizations, a política gerenciada **AWSIPAMServiceRolePolicy** será criada automaticamente em sua conta do IAM e em cada uma das suas contas de membros do AWS Organizations. Além disso, a política gerenciada será anexada à função vinculada ao serviço **AWSServiceRoleForIPAM**.

Essa política gerenciada habilita o IPAM para fazer o seguinte:
+ Monitorizar CIDRs associados a recursos de rede em todos os membros da sua AWS Organização. 
+ Armazenar métricas relacionadas ao IPAM no Amazon CloudWatch, como o espaço de endereços IP disponível em seus grupos do IPAM e o número de CIDRs de recursos que estão em conformidade com as regras de alocação.
+ Modificar e ler listas de prefixos gerenciados.

O exemplo a seguir mostra os detalhes da política gerenciada que foi criada.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "IPAMDiscoveryDescribeActions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAddresses",
                "ec2:DescribeByoipCidrs",
                "ec2:DescribeIpv6Pools",
                "ec2:DescribeManagedPrefixLists",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribePublicIpv4Pools",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSecurityGroupRules",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeVpnConnections",
                "ec2:GetIpamDiscoveredAccounts",
                "ec2:GetIpamDiscoveredPublicAddresses",
                "ec2:GetIpamDiscoveredResourceCidrs",
                "ec2:GetManagedPrefixListEntries",
                "ec2:ModifyManagedPrefixList",
                "globalaccelerator:ListAccelerators",
                "globalaccelerator:ListByoipCidrs",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListChildren",
                "organizations:ListParents",
                "organizations:DescribeOrganizationalUnit"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CloudWatchMetricsPublishActions",
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/IPAM"
                }
            }
        }
    ]
}
```

------

A primeira instrução no exemplo anterior habilita o IPAM a monitorar os CIDRs usados pela sua única conta da AWS ou pelos membros do seu AWS Organization.

A segunda instrução no exemplo anterior usa a chave de condição `cloudwatch:PutMetricData` para permitir que o IPAM armazene métricas do IPAM em seu[namespace do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html) `AWS/IPAM`. Essas métricas são usadas pelo Console de gerenciamento da AWS para exibir dados sobre as alocações em seus grupos e escopos do IPAM. Para obter mais informações, consulte [Monitorar o uso do CIDR com o painel do IPAM](monitor-cidr-usage-ipam.md).

## Atualiza a política gerenciada pela AWS
<a name="iam-ipam-managed-pol-updates"></a>

Visualize detalhes sobre atualizações em políticas do IPAM gerenciadas pela AWS desde que esse serviço começou a rastrear essas alterações.


| Alteração | Descrição | Data | 
| --- | --- | --- | 
|  AWSIPAMServiceRolePolicy  |  Ações adicionadas à política gerenciada AWSIPAMServiceRolePolicy (ec2:ModifyManagedPrefixList, ec2:DescribeManagedPrefixLists e ec2:GetManagedPrefixListEntries) para permitir que o IPAM modifique e leia listas de prefixos gerenciados.  |  31 de outubro de 2025  | 
|  AWSIPAMServiceRolePolicy  |  Ações adicionadas à política gerenciada AWSIPAMServiceRolePolicy (`organizations:ListChildren`, `organizations:ListParents` e `organizations:DescribeOrganizationalUnit`) para permitir que o IPAM obtenha os detalhes das unidades organizacionais (UOs) no AWS Organizations para que os clientes possam usar o IPAM ao nível da UO.   | 21 de novembro de 2024 | 
|  AWSIPAMServiceRolePolicy  |  Ação incorporada à política gerenciada AWSIPAMServiceRolePolicy (`ec2:GetIpamDiscoveredPublicAddresses`) para conceder ao IPAM a capacidade de adquirir endereços IP públicos durante a identificação de recursos.  | 13 de novembro de 2023 | 
|  AWSIPAMServiceRolePolicy  | Inclusão de ações na política gerenciada AWSIPAMServiceRolePolicy (ec2:DescribeAccountAttributes, ec2:DescribeNetworkInterfaces, ec2:DescribeSecurityGroups, ec2:DescribeSecurityGroupRules, ec2:DescribeVpnConnections, globalaccelerator:ListAccelerators, e globalaccelerator:ListByoipCidrs) para habilitar o IPAM a obter endereços IP públicos durante a identificação de recursos. | 1º de novembro de 2023 | 
|  AWSIPAMServiceRolePolicy  |  Adição de duas ações (`ec2:GetIpamDiscoveredAccounts` e `ec2:GetIpamDiscoveredResourceCidrs`) à política gerenciada AWSIPAMServiceRolePolicy para possibilitar ao IPAM a obtenção das contas de AWS e dos CIDRs dos recursos monitorados durante a identificação de recursos.  | 25 de janeiro de 2023 | 
| O IPAM começou a monitorar alterações |  O IPAM começou a monitorar as alterações nas políticas gerenciadas pela AWS.  | 2 de dezembro de 2021 |