本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# IPAM 的服務連結角色
<a name="iam-ipam-slr"></a>

IPAM 使用 AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是一種特殊的 IAM 角色類型。服務連結角色由 IPAM 預先定義，且內含該服務代表您呼叫其他 AWS 服務所需的所有許可。

服務連結角色可讓設定 IPAM 更為簡單，因為您不必手動新增必要的許可。IPAM 定義其服務連結角色的許可，除非另有定義，否則僅有 IPAM 可以擔任其角色。定義的許可包括信任政策和許可政策，且該許可政策無法附加至其他 IAM 實體。

## 服務連結角色許可
<a name="service-linked-role-permissions"></a>

IPAM 使用 **AWSServiceRoleForIPAM** 服務連結角色來呼叫附加 **AWSIPAMServiceRolePolicy** 受管政策中的動作。如需有關該政策中允許之動作的詳細資訊，請參閱 [AWS IPAM 的 受管政策](iam-ipam-managed-pol.md)。

服務連結角色亦會連接 [IAM 信任政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)，以允許 `ipam.amazonaws.com` 服務擔任服務連結角色。

## 建立服務連結角色
<a name="create-service-linked-role"></a>

IPAM 會擔任帳戶中的服務連結角色、探索資源及其 CIDR，並將資源與 IPAM 整合，以監控一或多個帳戶中的 IP 地址使用情況。

有兩種建立服務連結角色的方式：
+ **當您與 AWS Organizations 整合時**

  如果您使用 IPAM 主控台或使用 `enable-ipam-organization-admin-account` AWS CLI 命令 [將 IPAM 與 AWS Organizations 中的帳戶整合](enable-integ-ipam.md)，則會自動在您的每個 AWS Organizations 成員帳戶中建立 **AWSServiceRoleForIPAM** 服務連結角色。因此，IPAM 可以探索所有成員帳戶內的資源。
**重要**  
若要讓 IPAM 代表您建立服務連結角色：  
啟用 IPAM 與 AWS Organizations 整合的 AWS Organizations 管理帳戶必須連接允許以下動作的 IAM 政策：  
`ec2:EnableIpamOrganizationAdminAccount`
`organizations:EnableAwsServiceAccess`
`organizations:RegisterDelegatedAdministrator`
`iam:CreateServiceLinkedRole`
IPAM 帳戶必須連接允許 `iam:CreateServiceLinkedRole` 動作的 IAM 政策。
+ **當您使用單一 AWS 帳戶建立 IPAM 時**

  如果您 [與單一帳戶共用 IPAM](enable-single-user-ipam.md)，當您建立 IPAM 作為該帳戶時，會自動建立 **AWSServiceRoleForIPAM** 服務連結角色。
**重要**  
在您建立 IPAM 之前，如果您以單一 AWS 帳戶使用 IPAM，則必須確保您使用的 AWS 帳戶連接有允許 `iam:CreateServiceLinkedRole` 動作的 IAM 政策。當您建立 IPAM 時，您將自動建立 **AWSServiceRoleForIPAM** 服務連結角色。如需有關管理 IAM 政策的詳細資訊，請參閱 *IAM User Guide* 中的 [Editing a service-linked role description](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)。

## 編輯服務連結角色
<a name="edit-service-linked-role"></a>

您無法編輯 **AWSServiceRoleForIPAM** 服務連結角色。

## 刪除服務連結角色
<a name="delete-service-linked-role"></a>

如果您不再需要使用 IPAM，建議您刪除 **AWSServiceRoleForIPAM** 服務連結角色。

**注意**  
只有在刪除您的 AWS 帳戶中的所有 IPAM 資源之後，您才可以刪除服務連結角色。這可確保您不會無意中移除 IPAM 的監控功能。

請依照下列步驟，使用 AWS CLI 刪除服務連結角色：

1. 使用 [deprovision-ipam-pool-cidr](https://docs.aws.amazon.com/cli/latest/reference/ec2/deprovision-ipam-pool-cidr.html) 和 [delete-ipam](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-ipam.html) 刪除 IPAM 資源。如需詳細資訊，請參閱[從集區解除佈建 CIDR](depro-pool-cidr-ipam.md)及 [刪除 IPAM](delete-ipam.md)。

1. 使用 [disable-ipam-organization-admin-account](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-ipam-organization-admin-account.html) 停用 IPAM 帳戶。

1. 使用 [disable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/servicecatalog/disable-aws-organizations-access.html) 和 `--service-principal ipam.amazonaws.com` 選項停用 IPAM 服務。

1. 刪除服務連結角色：[delete-service-linked-role](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-service-linked-role.html)。刪除服務連結角色時，也會一併刪除 IPAM 受管政策。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)。