Integrieren von IPAM mit Konten in einer - AWS Organisation - Amazon Virtual Private Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Integrieren von IPAM mit Konten in einer - AWS Organisation

Optional können Sie die Schritte in diesem Abschnitt ausführen, um IPAM in AWS Organizations zu integrieren und ein Mitgliedskonto als IPAM-Konto zu delegieren.

Das IPAM-Konto ist dafür verantwortlich, ein IPAM zu erstellen und es zum Verwalten und Überwachen der IP-Adressnutzung zu verwenden.

Die Integration von IPAM in AWS Organizations und die Delegierung eines IPAM-Administrators hat die folgenden Vorteile:

  • Freigeben Ihrer IPAM-Pools für Ihre Organisation: Wenn Sie ein IPAM-Konto delegieren, ermöglicht IPAM anderen Mitgliedskonten von AWS Organizations in der Organisation, CIDRs aus IPAM-Pools zuzuweisen, die mit AWS Resource Access Manager (RAM) freigegeben werden. Weitere Informationen zur Einstellung von Organizations finden Sie unter Was ist AWS Organizations? im Benutzerhandbuch zu AWS Organizations.

  • Überwachen der IP-Adressnutzung in Ihrer Organisation: Wenn Sie ein IPAM-Konto delegieren, erteilen Sie IPAM die Berechtigung, die IP-Nutzung über alle Ihre Konten hinweg zu überwachen. Daher importiert IPAM automatisch CIDRs, die von vorhandenen VPCs über andere Mitgliedskonten von AWS Organizations hinweg verwendet werden, in IPAM.

Wenn Sie ein Mitgliedskonto von AWS Organizations nicht als IPAM-Konto delegieren, überwacht IPAM Ressourcen nur in dem AWS Konto, das Sie zum Erstellen des IPAM verwenden.

Wichtig

  • Sie müssen die Integration mit AWS Organizations aktivieren, indem Sie IPAM in der - AWS Managementkonsole oder den AWS CLI-Befehl enable-ipam-organization-admin-account verwenden. Dadurch wird sichergestellt, dass die AWSServiceRoleForIPAM-serviceverknüpfte Rolle erstellt wird. Wenn Sie den vertrauenswürdigen Zugriff mit AWS Organizations über die AWS Organizations-Konsole oder den register-delegated-administrator AWS CLI-Befehl aktivieren, wird die AWSServiceRoleForIPAM serviceverknüpfte Rolle nicht erstellt und Sie können keine Ressourcen innerhalb Ihrer Organisation verwalten oder überwachen.

Anmerkung

Bei der Integration mit AWS Organizations:

  • IPAM belastet Sie für jede aktive IP-Adresse, die es in den Mitgliedskonten Ihrer Organisation überwacht. Weitere Informationen zu Preisen finden Sie unter IPAM-Preise.

  • Sie müssen ein Konto in AWS Organizations und ein Verwaltungskonto mit einem oder mehreren Mitgliedskonten eingerichtet haben. Weitere Informationen zu den verschiedenen Kontotypen finden Sie unter Terminologie und Konzepte im Benutzerhandbuch zu AWS Organizations. Weitere Informationen zum Einrichten einer Organisation finden Sie unter Erste Schritte mit AWS -Organizations.

  • Das IPAM-Konto muss ein Mitgliedskonto von AWS Organizations sein. Sie können das AWS -Organizations-Verwaltungskonto nicht als IPAM-Konto verwenden.

  • Das IPAM-Konto muss eine IAM-Rolle verwenden, der eine IAM-Richtlinie beigefügt ist, welche die Aktion iam:CreateServiceLinkedRole erlaubt. Wenn Sie das IPAM erstellen, erstellen Sie automatisch die AWSServiceRoleForIPAM serviceverknüpfte Rolle.

  • Der dem AWS Organizations-Verwaltungskonto zugeordnete Benutzer muss eine IAM-Rolle verwenden, an die die folgenden IAM-Richtlinienaktionen angehängt sind:

    • ec2:EnableIpamOrganizationAdminAccount

    • organizations:EnableAwsServiceAccess

    • organizations:RegisterDelegatedAdministrator

    • iam:CreateServiceLinkedRole

    Weitere Informationen zum Erstellen einer IAM-Rolle finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer im IAM-Benutzerhandbuch.

  • Der Benutzer, der dem AWS Organizations-Verwaltungskonto zugeordnet ist, kann eine IAM-Rolle verwenden, an die die folgenden IAM-Richtlinienaktionen angehängt sind, um Ihre aktuellen delegierten AWS Orgs-Administratoren aufzulisten: organizations:ListDelegatedAdministrators

AWS Management Console
So wählen Sie ein IPAM-Konto aus

  1. Öffnen Sie mit dem Verwaltungskonto von AWS Organizations die IPAM-Konsole unter https://console.aws.amazon.com/ipam/.

  2. Wählen Sie in der - AWS Managementkonsole die AWS Region aus, in der Sie mit IPAM arbeiten möchten.

  3. Klicken Sie im Navigationsbereich auf Organization settings (Organisationseinstellungen).

  4. Die Option Delegieren ist nur verfügbar, wenn Sie sich bei der Konsole als Verwaltungskonto von AWS Organizations angemeldet haben. Wählen Sie Delegate (Delegieren).

  5. Geben Sie die AWS Konto-ID für ein IPAM-Konto ein. Der IPAM-Administrator muss ein Mitgliedskonto von AWS Organizations sein.

  6. Wählen Sie Änderungen speichern aus.

Command line

Die Befehle in diesem Abschnitt verweisen auf die AWS CLI-Referenzdokumentation. Die Dokumentation enthält detaillierte Beschreibungen der Optionen, die Sie beim Ausführen der Befehle verwenden können.

Wenn Sie ein Mitgliedskonto für Organizations als IPAM-Konto delegieren, erstellt IPAM automatisch eine dienstgebundene IAM-Rolle in allen Mitgliedskonten in Ihrer Organisation. IPAM überwacht die Verwendung der IP-Adresse in diesen Konten, indem es die dienstgebundene IAM-Rolle in jedem Mitgliedskonto übernimmt, die Ressourcen und ihre CIDRs erkennt und sie in IPAM integriert. Die Ressourcen in allen Mitgliedskonten können von IPAM unabhängig von ihrer Organisationseinheit gefunden werden. Wenn es beispielsweise Mitgliedskonten gibt, die eine VPC erstellt haben, sehen Sie die VPC und ihr CIDR im Abschnitt Ressourcen der IPAM-Konsole.

Wichtig

Die Rolle des AWS Organizations Verwaltungskontos, das den IPAM-Administrator delegiert hat, ist jetzt abgeschlossen. Um IPAM weiterhin verwenden zu können, muss sich das IPAM-Administratorkonto bei Amazon VPC IPAM anmelden und ein IPAM erstellen.