# IPAM 的 AWS 托管策略
如果将 IPAM 与单个 AWS 账户一起使用,并且创建了 IPAM,则会在 IAM 账户中自动创建 **AWSIPAMServiceRolePolicy** 托管策略,并将其附加到 **AWSServiceRoleForIPAM** [服务相关角色](iam-ipam-slr.md)。
如果您启用 IPAM 与 AWS Organizations 的集成,将自动在您的 IAM 账户和每个 AWS Organizations 成员账户中创建 **AWSIPAMServiceRolePolicy** 托管策略,并且该托管策略将附加到 **AWSServiceRoleForIPAM** 服务相关角色。
此托管策略允许 IPAM 执行以下操作:
+ 在您的 AWS 企业的所有成员中监控与联网资源关联的 CIDR。
+ 在 Amazon CloudWatch 中存储与 IPAM 相关的指标,例如 IPAM 池中可用的 IP 地址空间以及符合分配规则的资源 CIDR 数量。
+ 修改和读取托管前缀列表。
以下示例显示所创建托管策略的详细信息。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IPAMDiscoveryDescribeActions",
"Effect": "Allow",
"Action": [
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeByoipCidrs",
"ec2:DescribeIpv6Pools",
"ec2:DescribeManagedPrefixLists",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePublicIpv4Pools",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeVpnConnections",
"ec2:GetIpamDiscoveredAccounts",
"ec2:GetIpamDiscoveredPublicAddresses",
"ec2:GetIpamDiscoveredResourceCidrs",
"ec2:GetManagedPrefixListEntries",
"ec2:ModifyManagedPrefixList",
"globalaccelerator:ListAccelerators",
"globalaccelerator:ListByoipCidrs",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListChildren",
"organizations:ListParents",
"organizations:DescribeOrganizationalUnit"
],
"Resource": "*"
},
{
"Sid": "CloudWatchMetricsPublishActions",
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/IPAM"
}
}
}
]
}
```
------
前面示例中的第一条语句使 IPAM 能够监控单个 AWS 账户或 AWS Organization 成员使用的 CIDR。
上述示例中的第二条语句使用 `cloudwatch:PutMetricData` 条件键允许 IPAM 将 IPAM 指标存储在您的 `AWS/IPAM` [Amazon CloudWatch 命名空间中](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html)。这些指标被 AWS 管理控制台用于显示有关 IPAM 池和范围中的分配的数据。有关更多信息,请参阅 [使用 IPAM 控制面板监控 CIDR 使用情况](monitor-cidr-usage-ipam.md)。
## 对 AWS 托管策略的更新
查看有关 IPAM 的 AWS 托管策略更新的详细信息(从该服务开始跟踪这些更改开始)。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| AWSIPAMServiceRolePolicy | 在 AWSIPAMServiceRolePolicy 托管式策略(ec2:ModifyManagedPrefixList、ec2:DescribeManagedPrefixLists 和 ec2:GetManagedPrefixListEntries)中添加了操作,以使 IPAM 能够修改和读取托管前缀列表。 | 2025 年 10 月 31 日 |
| AWSIPAMServiceRolePolicy | 向 AWSIPAMServiceRolePolicy 托管策略(`organizations:ListChildren`、`organizations:ListParents` 和 `organizations:DescribeOrganizationalUnit`)添加了操作,使 IPAM 能够获取 AWS Organizations 中组织单元 (OU) 的详细信息,以便客户可以在 OU 级别使用 IPAM。 | 2024 年 11 月 21 日 |
| AWSIPAMServiceRolePolicy | 在 AWSIPAMServiceRolePolicy 托管策略(`ec2:GetIpamDiscoveredPublicAddresses`)中添加了操作,以使 IPAM 能够在资源发现期间获取公有 IP 地址。 | 2023 年 11 月 13 日 |
| AWSIPAMServiceRolePolicy | 在 AWSIPAMServiceRolePolicy 托管策略(ec2:DescribeAccountAttributes、ec2:DescribeNetworkInterfaces、ec2:DescribeSecurityGroups、ec2:DescribeSecurityGroupRules、ec2:DescribeVpnConnections、globalaccelerator:ListAccelerators和globalaccelerator:ListByoipCidrs)中添加了操作 ,使 IPAM 能够在资源发现期间获取公有 IP 地址。 | 2023 年 11 月 1 日 |
| AWSIPAMServiceRolePolicy | 向 AWSIPAMServiceRolePolicy 托管式策略添加了两个操作(`ec2:GetIpamDiscoveredAccounts` 和 `ec2:GetIpamDiscoveredResourceCidrs`),以便 IPAM 在资源发现期间获取 AWS 账户和监控资源 CIDR。 | 2023 年 1 月 25 日 |
| IPAM 已开启跟踪更改 | IPAM 为其 AWS 托管策略开启了跟踪更改。 | 2021 年 12 月 2 日 |