本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS IPAM 的 受管政策
如果您使用 IPAM 搭配單一 AWS 帳戶並建立 IPAM,則 **AWSIPAMServiceRolePolicy** 受管政策會自動在您的 IAM 帳戶中建立,並連接到 **AWSServiceRoleForIPAM** [服務連結角色](iam-ipam-slr.md)。
如果您啟用 IPAM 與 AWS Organizations 整合,**AWSIPAMServiceRolePolicy** 受管政策會自動在您的 IAM 帳戶和每個 AWS Organizations 成員帳戶中建立,且受管政策會連接至 **AWSServiceRoleForIPAM** 服務連結角色。
此受管政策可讓 IPAM 執行以下操作:
+ 監控 AWS 組織所有成員之間與聯網資源相關聯的 CIDRs。
+ 將與 IPAM 相關的指標 (例如 IPAM 集區中可用的 IP 地址空間以及符合配置規則的資源 CIDR 數目等) 存放在 Amazon CloudWatch 中。
+ 修改與讀取受管字首清單。
下例顯示建立之受管政策的詳細資訊。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IPAMDiscoveryDescribeActions",
"Effect": "Allow",
"Action": [
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeByoipCidrs",
"ec2:DescribeIpv6Pools",
"ec2:DescribeManagedPrefixLists",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePublicIpv4Pools",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeVpnConnections",
"ec2:GetIpamDiscoveredAccounts",
"ec2:GetIpamDiscoveredPublicAddresses",
"ec2:GetIpamDiscoveredResourceCidrs",
"ec2:GetManagedPrefixListEntries",
"ec2:ModifyManagedPrefixList",
"globalaccelerator:ListAccelerators",
"globalaccelerator:ListByoipCidrs",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListChildren",
"organizations:ListParents",
"organizations:DescribeOrganizationalUnit"
],
"Resource": "*"
},
{
"Sid": "CloudWatchMetricsPublishActions",
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/IPAM"
}
}
}
]
}
```
------
上述範例中的第一個陳述式可讓 IPAM 監控單一 AWS 帳戶或 AWS 組織成員所使用的 CIDRs。
上例中的第二個陳述式使用 `cloudwatch:PutMetricData` 條件金鑰允許 IPAM 將 IPAM 指標存放在 `AWS/IPAM` [Amazon CloudWatch 命名空間](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html)中。這些指標由 用來 AWS 管理主控台 顯示 IPAM 集區和範圍中配置的資料。如需詳細資訊,請參閱[使用 IPAM 儀表板監控 CIDR 使用情況](monitor-cidr-usage-ipam.md)。
## AWS 受管政策的更新
檢視自此服務開始追蹤這些變更以來 IPAM AWS 受管政策更新的詳細資訊。
| 變更 | 描述 | Date |
| --- | --- | --- |
| AWSIPAMServiceRolePolicy | 新增至 AWSIPAMServiceRolePolicy 受管政策 (ec2:ModifyManagedPrefixList、ec2:DescribeManagedPrefixLists 和 ec2:GetManagedPrefixListEntries) 的動作讓 IPAM 能夠修改與讀取受管字首清單。 | 2025 年 10 月 31 日 |
| AWSIPAMServiceRolePolicy | 新增至 AWSIPAMServiceRolePolicy 受管政策 (`organizations:ListChildren``organizations:ListParents`、 和 `organizations:DescribeOrganizationalUnit`) 的動作,可讓 IPAM 取得 AWS Organizations 中組織單位 (OUs) 的詳細資訊,讓客戶可以在 OU 層級使用 IPAM。 | 2024 年 11 月 21 日 |
| AWSIPAMServiceRolePolicy | 動作已新增至 AWSIPAMServiceRolePolicy 受管政策 (`ec2:GetIpamDiscoveredPublicAddresses`),可讓 IPAM 在資源探索期間取得公有 IP 地址。 | 2023 年 11 月 13 日 |
| AWSIPAMServiceRolePolicy | 動作已新增至 AWSIPAMServiceRolePolicy 受管政策 (ec2:DescribeAccountAttributes、ec2:DescribeNetworkInterfaces、ec2:DescribeSecurityGroups、ec2:DescribeSecurityGroupRules、ec2:DescribeVpnConnections、globalaccelerator:ListAccelerators 及 globalaccelerator:ListByoipCidrs),可讓 IPAM 在資源探索期間取得公有 IP 地址。 | 2023 年 11 月 1 日 |
| AWSIPAMServiceRolePolicy | 新增至 AWSIPAMServiceRolePolicy 受管政策 (`ec2:GetIpamDiscoveredAccounts` 和 `ec2:GetIpamDiscoveredResourceCidrs`) 的兩個動作,可讓 IPAM 在資源探索期間取得受監控 AWS 的帳戶和資源 CIDRs。 | 2023 年 1 月 25 日 |
| IPAM 開始追蹤變更 | IPAM 開始追蹤其 AWS 受管政策的變更。 | 2021 年 12 月 2 日 |