# Funções vinculadas ao serviço do IPAM
<a name="iam-ipam-slr"></a>

O IPAM faz uso de perfis vinculados ao serviço do AWS Identity and Access Management (IAM). Um perfilo vinculado ao serviço corresponde a um tipo exclusivo de perfil do IAM. Os perfis vinculados ao serviço são definidos previamente pelo IPAM e incluem todas as permissões necessárias para o serviço chamar outros serviços da AWS em seu nome.

Um perfil vinculado ao serviço simplifica a configuração do IPAM, eliminando a necessidade de adicionar manualmente as permissões necessárias. As permissões dos perfis vinculados ao serviço são definidas pelo IPAM e, a menos que seja indicado de outra maneira, somente o IPAM pode assumir os perfis. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

## Permissões de perfil vinculado ao serviço
<a name="service-linked-role-permissions"></a>

O IPAM usa a função **AWSServiceRoleForIPAM** vinculada ao serviço para chamar as ações na política gerenciada **AWSIPAMServiceRolePolicy** anexada. Para obter mais informações sobre as ações permitidas nessa política, consulte [Políticas do IPAM gerenciadas pela AWS](iam-ipam-managed-pol.md).

Além disso, uma [política de confiança do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) está anexada ao perfil vinculado ao serviço, permitindo que o serviço `ipam.amazonaws.com` assuma o perfil vinculado ao serviço.

## Criar a função vinculada ao serviço
<a name="create-service-linked-role"></a>

O IPAM monitora o uso de endereços IP em uma ou mais contas assumindo a função vinculada ao serviço em uma conta, descobrindo os recursos e seus respectivos CIDRs e integrando os recursos ao IPAM.

Há duas maneiras de a função vinculada ao serviço ser criada:
+ **Quando você integra com o AWS Organizations**

  Se você [Integrar o IPAM a contas em uma organização da AWS Organizations](enable-integ-ipam.md) usando o console do IPAM ou usando o comando `enable-ipam-organization-admin-account` da AWS CLI, a função vinculada ao serviço **AWSServiceRoleForIPAM** será criada automaticamente em cada uma de suas contas de membro do AWS Organizations. Como resultado, os recursos em todas as contas de membros são detectáveis pelo IPAM.
**Importante**  
Para que o IPAM crie a função vinculada ao serviço em seu nome:  
A conta de gerenciamento do AWS Organizations que permite a integração do IPAM com o AWS Organizations deve ter uma política do IAM anexada a ela que permita as seguintes ações:  
`ec2:EnableIpamOrganizationAdminAccount`
`organizations:EnableAwsServiceAccess`
`organizations:RegisterDelegatedAdministrator`
`iam:CreateServiceLinkedRole`
A conta IPAM deve ter uma política do IAM anexada a ela que permita a ação `iam:CreateServiceLinkedRole`.
+ **Quando você cria um IPAM usando uma única conta da AWS**

  Se você [Usar o IPAM com uma única conta](enable-single-user-ipam.md), a função vinculada ao serviço **AWSServiceRoleForIPAM** é criada automaticamente quando você cria um IPAM como essa conta.
**Importante**  
Se você usar o IPAM com uma única conta da AWS, antes de criar o IPAM, você deverá garantir que a conta da AWS que usar para criar o IPAM tenha anexada a ela uma política do IAM que permita a ação `iam:CreateServiceLinkedRole`. Ao criar o IPAM, você cria automaticamente a função vinculada ao serviço **AWSServiceRoleForIPAM**. Para obter mais informações sobre como gerenciar políticas do IAM, consulte [Editar a descrição de um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) no *Guia do usuário do IAM*.

## Editar a função vinculada ao serviço
<a name="edit-service-linked-role"></a>

Não é possível editar o perfil vinculado ao serviço **AWSServiceRoleForIPAM**.

## Excluir a função vinculada ao serviço
<a name="delete-service-linked-role"></a>

Se você não precisar mais usar o IPAM, é recomendável excluir a função vinculada ao serviço **AWSServiceRoleForIPAM**.

**nota**  
Você pode excluir a função vinculada a serviço somente após excluir todos os recursos do IPAM em sua conta da AWS. Isso garante que você não remova o recurso de monitoramento do IPAM por engano.

Siga estas etapas para excluir o perfil vinculado ao serviço usando a AWS CLI:

1. Exclua seus recursos do IPAM usando [deprovision-ipam-pool-cidr](https://docs.aws.amazon.com/cli/latest/reference/ec2/deprovision-ipam-pool-cidr.html) e [delete-ipam](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-ipam.html). Para obter mais informações, consulte [Desprovisionar CIDRs de um grupo](depro-pool-cidr-ipam.md) e [Excluir um IPAM](delete-ipam.md).

1. Desative a conta do IPAM com [disable-ipam-organization-admin-account](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-ipam-organization-admin-account.html).

1. Desative o serviço do IPAM com [disable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/servicecatalog/disable-aws-organizations-access.html) usando a opção `--service-principal ipam.amazonaws.com`.

1. Exclua a função vinculada ao serviço: [delete-service-linked-role](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-service-linked-role.html). Quando você exclui a função vinculada ao serviço, a política gerenciada pelo IPAM também é excluída. Para obter mais informações, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) no *Guia do usuário do IAM*.