Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Integrieren von IPAM mit Konten in einer - AWS Organisation
Optional können Sie die Schritte in diesem Abschnitt ausführen, um IPAM in AWS Organizations zu integrieren und ein Mitgliedskonto als IPAM-Konto zu delegieren.
Das IPAM-Konto ist dafür verantwortlich, ein IPAM zu erstellen und es zum Verwalten und Überwachen der IP-Adressnutzung zu verwenden.
Die Integration von IPAM in AWS Organizations und die Delegierung eines IPAM-Administrators hat die folgenden Vorteile:
Freigeben Ihrer IPAM-Pools für Ihre Organisation: Wenn Sie ein IPAM-Konto delegieren, ermöglicht IPAM anderen Mitgliedskonten von AWS Organizations in der Organisation, CIDRs aus IPAM-Pools zuzuweisen, die mit AWS Resource Access Manager (RAM) freigegeben werden. Weitere Informationen zur Einstellung von Organizations finden Sie unter Was ist AWS Organizations? im Benutzerhandbuch zu AWS Organizations.
Überwachen der IP-Adressnutzung in Ihrer Organisation: Wenn Sie ein IPAM-Konto delegieren, erteilen Sie IPAM die Berechtigung, die IP-Nutzung über alle Ihre Konten hinweg zu überwachen. Daher importiert IPAM automatisch CIDRs, die von vorhandenen VPCs über andere Mitgliedskonten von AWS Organizations hinweg verwendet werden, in IPAM.
Wenn Sie ein Mitgliedskonto von AWS Organizations nicht als IPAM-Konto delegieren, überwacht IPAM Ressourcen nur in dem AWS Konto, das Sie zum Erstellen des IPAM verwenden.
Wichtig
-
Sie müssen die Integration mit AWS Organizations aktivieren, indem Sie IPAM in der - AWS Managementkonsole oder den AWS CLI-Befehl enable-ipam-organization-admin-account verwenden. Dadurch wird sichergestellt, dass die
AWSServiceRoleForIPAM
-serviceverknüpfte Rolle erstellt wird. Wenn Sie den vertrauenswürdigen Zugriff mit AWS Organizations über die AWS Organizations-Konsole oder den register-delegated-administratorAWS CLI-Befehl aktivieren, wird die AWSServiceRoleForIPAM
serviceverknüpfte Rolle nicht erstellt und Sie können keine Ressourcen innerhalb Ihrer Organisation verwalten oder überwachen.
Anmerkung
Bei der Integration mit AWS Organizations:
IPAM belastet Sie für jede aktive IP-Adresse, die es in den Mitgliedskonten Ihrer Organisation überwacht. Weitere Informationen zu Preisen finden Sie unter IPAM-Preise
. Sie müssen ein Konto in AWS Organizations und ein Verwaltungskonto mit einem oder mehreren Mitgliedskonten eingerichtet haben. Weitere Informationen zu den verschiedenen Kontotypen finden Sie unter Terminologie und Konzepte im Benutzerhandbuch zu AWS Organizations. Weitere Informationen zum Einrichten einer Organisation finden Sie unter Erste Schritte mit AWS -Organizations.
Das IPAM-Konto muss ein Mitgliedskonto von AWS Organizations sein. Sie können das AWS -Organizations-Verwaltungskonto nicht als IPAM-Konto verwenden.
-
Das IPAM-Konto muss eine IAM-Rolle verwenden, der eine IAM-Richtlinie beigefügt ist, welche die Aktion
iam:CreateServiceLinkedRole
erlaubt. Wenn Sie das IPAM erstellen, erstellen Sie automatisch die AWSServiceRoleForIPAM serviceverknüpfte Rolle. Der dem AWS Organizations-Verwaltungskonto zugeordnete Benutzer muss eine IAM-Rolle verwenden, an die die folgenden IAM-Richtlinienaktionen angehängt sind:
-
ec2:EnableIpamOrganizationAdminAccount
-
organizations:EnableAwsServiceAccess
-
organizations:RegisterDelegatedAdministrator
-
iam:CreateServiceLinkedRole
Weitere Informationen zum Erstellen einer IAM-Rolle finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer im IAM-Benutzerhandbuch.
-
-
Der Benutzer, der dem AWS Organizations-Verwaltungskonto zugeordnet ist, kann eine IAM-Rolle verwenden, an die die folgenden IAM-Richtlinienaktionen angehängt sind, um Ihre aktuellen delegierten AWS Orgs-Administratoren aufzulisten:
organizations:ListDelegatedAdministrators
Wenn Sie ein Mitgliedskonto für Organizations als IPAM-Konto delegieren, erstellt IPAM automatisch eine dienstgebundene IAM-Rolle in allen Mitgliedskonten in Ihrer Organisation. IPAM überwacht die Verwendung der IP-Adresse in diesen Konten, indem es die dienstgebundene IAM-Rolle in jedem Mitgliedskonto übernimmt, die Ressourcen und ihre CIDRs erkennt und sie in IPAM integriert. Die Ressourcen in allen Mitgliedskonten können von IPAM unabhängig von ihrer Organisationseinheit gefunden werden. Wenn es beispielsweise Mitgliedskonten gibt, die eine VPC erstellt haben, sehen Sie die VPC und ihr CIDR im Abschnitt Ressourcen der IPAM-Konsole.
Wichtig
Die Rolle des AWS Organizations Verwaltungskontos, das den IPAM-Administrator delegiert hat, ist jetzt abgeschlossen. Um IPAM weiterhin verwenden zu können, muss sich das IPAM-Administratorkonto bei Amazon VPC IPAM anmelden und ein IPAM erstellen.