Intégrer l'IPAM aux comptes d'une organisation AWS - Amazon Virtual Private Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Intégrer l'IPAM aux comptes d'une organisation AWS

Vous pouvez également suivre les étapes décrites dans cette rubrique pour intégrer IPAM à AWS  Organizations et déléguer un compte membre comme compte IPAM.

Le compte IPAM est responsable de la création d'un IPAM et de son utilisation pour gérer et contrôler l'utilisation des adresses IP.

L'intégration d'IPAM aux AWS Organizations et la délégation d'un administrateur IPAM présentent les avantages suivants :

  • Partagez vos pools IPAM avec votre organisation : Lorsque vous déléguez un compte IPAM, IPAM permet aux comptes membres d'autres AWS Organizations de l'organisation d'allouer des CIDR à partir de pools IPAM partagés à l'aide de AWS Resource Access Manager (RAM). Pour plus d'informations sur la configuration d'une organisation, consultez Qu'est-ce qu' AWS  Organizations ? dans le Guide de l'utilisateur AWS  Organizations.

  • Contrôlez l'utilisation des adresses IP dans votre organisation : lorsque vous déléguez un compte IPAM, vous autorisez IPAM à contrôler l'utilisation de l'IP sur tous vos comptes. Par conséquent, IPAM importe automatiquement dans IPAM les CIDR utilisés par les VPC existants sur les comptes membres d'autres AWS Organizations.

Si vous ne déléguez pas un compte membre d' AWS Organizations en tant que compte IPAM, IPAM surveillera les ressources uniquement dans le AWS compte que vous utilisez pour créer l'IPAM.

Important

  • Vous devez activer l'intégration avec AWS Organizations en utilisant IPAM dans la console AWS de gestion ou la enable-ipam-organization-admincommande -account AWS CLI. Cela garantit que leAWSServiceRoleForIPAM rôle lié à un service est créé. Si vous activez l'accès sécurisé avec AWS Organizations à l'aide de la console AWS Organizations ou de la commande register-delegated-administrator AWS CLI, le rôle AWSServiceRoleForIPAM lié au service n'est pas créé et vous ne pouvez ni gérer ni surveiller les ressources au sein de votre organisation.

Note

Lors de l'intégration à des AWS Organizations :

  • IPAM vous facture chaque adresse IP active qu'il contrôle dans vos comptes membres de votre organisation. Pour plus d'informations sur la tarification, consultez Tarification IPAM.

  • Vous devez disposer d'un compte dans AWS Organizations et d'un compte de gestion configuré avec un ou plusieurs comptes membres. Pour plus d'informations sur les différents types de comptes, consultez Terminologie et concepts dans le Guide de l'utilisateur AWS  Organizations. Pour plus d'informations sur la configuration d'une organisation, consultez Prise en main d' AWS Organizations.

  • Le compte IPAM doit être un compte membre d' AWS Organizations. Vous ne pouvez pas utiliser le compte de gestion AWS Organizations comme compte IPAM.

  • Le compte IPAM doit utilisé un rôle IAM avec une politique IAM, qui lui est attachée, qui autorise l'action iam:CreateServiceLinkedRole. Lorsque vous créez l'IPAM, vous créez automatiquement le rôle lié au AWSServiceRoleForIPAM service.

  • L'utilisateur associé au compte de gestion des AWS Organizations doit utiliser un rôle IAM auquel sont associées les actions de politique IAM suivantes :

    • ec2:EnableIpamOrganizationAdminAccount

    • organizations:EnableAwsServiceAccess

    • organizations:RegisterDelegatedAdministrator

    • iam:CreateServiceLinkedRole

    Pour en savoir plus sur la création de rôles IAM, consultez la section Création d'un rôle pour la délégation d'autorisations à un utilisateur IAM dans le Guide de l'utilisateur IAM.

  • L'utilisateur associé au compte de gestion des AWS Organizations peut utiliser un rôle IAM auquel sont associées les actions de politique IAM suivantes pour répertorier vos administrateurs délégués AWS Orgs actuels : organizations:ListDelegatedAdministrators

AWS Management Console
Sélection d'un compte IPAM

  1. À l'aide du compte de gestion AWS Organizations, ouvrez la console IPAM à l'adresse https://console.aws.amazon.com/ipam/.

  2. Dans la console AWS de gestion, choisissez la AWS région dans laquelle vous souhaitez travailler avec IPAM.

  3. Dans le panneau de navigation, choisissez Organization settings (Paramètres de l'organisation).

  4. L'option Delegate n'est disponible que si vous vous êtes connecté à la console en tant que compte de gestion des AWS Organizations. Choisisssez Delegate (Déléguer).

  5. Entrez l'identifiant d'un AWS compte IPAM. L'administrateur IPAM doit être membre d'un compte AWS Organizations.

  6. Sélectionnez Enregistrer les modifications.

Command line

Les commandes de cette section renvoient à la documentation de référence de la AWS CLI. La documentation fournit des descriptions détaillées des options que vous pouvez utiliser lorsque vous exécutez les commandes.

Lorsque vous déléguez un compte membre Organizations comme compte IPAM, IPAM crée automatiquement un rôle IAM lié au service dans tous les comptes membres de votre organisation. IPAM contrôle l'utilisation des adresses IP dans ces comptes en assumant le rôle IAM lié au service dans chaque compte membre, en découvrant les ressources et leurs CIDR et en les intégrant à IPAM. Les ressources de tous les comptes membres pourront être découvertes par IPAM, quelle que soit leur unité organisationnelle. Si des comptes membres ont créé un VPC, par exemple, vous verrez le VPC et son CIDR dans la section Ressources de la console IPAM.

Important

Le rôle du compte de AWS Organizations gestion qui a délégué l'administrateur IPAM est désormais complet. Pour poursuivre l'utilisation d'IPAM, le compte administrateur IPAM doit se connecter à Amazon VPC IPAM et créer un IPAM.