Escludi unità organizzative da IPAM - Amazon Virtual Private Cloud

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Escludi unità organizzative da IPAM

Se IPAM è integrato con AWS Organizations e si aggiunge l'esclusione dell'unità organizzativa, IPAM non gestirà gli indirizzi IP negli account di tale unità esclusa. Questa funzionalità offre una maggiore flessibilità nella modalità di utilizzo di IPAM.

Puoi utilizzare le esclusioni delle unità organizzative nei seguenti modi:

  • Abilita IPAM per parti specifiche dell'attività: se hai più unità aziendali o filiali in AWS Organizations, ora puoi utilizzare IPAM solo per quelle che ne hanno bisogno.

  • Tieni separati gli account sandbox: puoi escludere gli account sandbox da IPAM concentrandoti solo su quelli realmente importanti per la gestione della proprietà intellettuale.

Come funzionano le esclusioni delle unità organizzative

I diagrammi in questa sezione mostrano due diversi casi d'uso per l'esclusione delle unità organizzative in IPAM.

Il primo diagramma mostra l'impatto dell'aggiunta di un'esclusione solo su un'unità organizzativa principale. In questo caso, IPAM non gestirà gli indirizzi IP negli account dell'unità organizzativa principale. Gestirà quindi gli indirizzi IP negli account delle altre unità organizzative al di fuori dell'esclusione.

Diagramma dell'esclusione delle unità organizzative su quella principale

Il secondo diagramma mostra l'impatto dell'esclusione su un'unità organizzativa principale e su tutte le unità organizzative secondarie. In questo caso, IPAM non gestirà gli indirizzi IP negli account dell'unità organizzativa principale né in quelli delle unità organizzative secondarie. Gestirà quindi gli indirizzi IP negli account delle unità organizzative al di fuori dell'esclusione.

Diagramma dell'esclusione delle unità organizzative su quella principale e su tutte quelle secondarie.

Aggiungi o rimuovi esclusioni di unità organizzative

Completa i passaggi descritti in questa sezione per aggiungere o rimuovere esclusioni delle unità organizzative.

Nota
  • L'account amministratore IPAM delegato non è escluso neanche se si trova all'interno di un'unità organizzativa esclusa.

  • IPAM deve essere integrato con AWS Organizations per aggiungere un'esclusione dell'unità organizzativa. L'organizzazione deve avere delle unità organizzative al suo interno.

  • È necessario essere l'amministratore IPAM delegato per poter visualizzare, aggiungere o rimuovere le esclusioni delle unità organizzative.

  • IPAM impiega tempo per scoprire le unità organizzative create di recente.

  • Esiste una quota predefinita per il numero di esclusioni che puoi aggiungere per ogni rilevamento di risorse. Per ulteriori informazioni, vedi Esclusioni di unità organizzative per rilevamento di risorse in Quote per l'IPAM.

  • Se condividi il rilevamento di una risorsa con un altro account, tale account può visualizzare le esclusioni delle unità organizzative al suo interno, dato che contengono informazioni come l'ID dell'organizzazione, l'ID root e gli ID delle unità organizzative dell'organizzazione del proprietario del rilevamento di risorse.

AWS Management Console
Per aggiungere o rimuovere esclusioni delle unità organizzative
  1. Apri la console IPAM all'indirizzo https://console.aws.amazon.com/ipam/.

  2. Nel riquadro di navigazione, scegli Rilevamenti delle risorse.

  3. Scegli il rilevamento di risorse predefinito.

  4. Scegli Modifica.

  5. Alla voce Esclusioni di unità organizzative, procedi come segue:

    • Per aggiungere l'esclusione di un'unità organizzativa:

      • Se vuoi escludere l'unità organizzativa e tutte le relative unità secondarie:

        • Trova l'unità organizzativa nella tabella e seleziona la casella di controllo. Tutte le unità organizzative secondarie vengono selezionate automaticamente.

      • Se desideri escludere solo gli account delle unità organizzative principali:

        • Trova l'unità organizzativa nella tabella e seleziona la casella di controllo. Tutte le unità organizzative secondarie vengono selezionate automaticamente. Deseleziona tutte le unità organizzative secondarie.

      • In alternativa, è possibile utilizzare la colonna Operazioni per selezionare solo un'unità organizzativa principale o delle unità organizzative principali e secondarie:

        • Seleziona tutte le unità organizzative secondarie: inserisci tutte le unità organizzative secondarie nell'esclusione. Dopo aver scelto un'unità organizzativa, questa viene aggiunta sullo schermo. Ogni unità organizzativa contiene l'ID e il percorso entità della sua esclusione.

        • Seleziona solo questa unità organizzativa: inserisci solo questa unità nell'esclusione. Dopo aver scelto un'unità organizzativa, questa viene aggiunta sullo schermo. Ogni unità organizzativa contiene l'ID e il percorso entità della sua esclusione.

        • Copia il percorso entità dell'unità organizzativa: copia il percorso entità AWS Organizations da utilizzare in base alle esigenze.

      • Se conosci già il percorso entità di AWS Organizations o desideri crearlo:

        • Scegli Inserisci esclusione dell'unità organizzativa e inserisci il percorso entità per tale esclusione. Crea il percorso per le unità organizzative utilizzando gli ID di AWS Organizations separati da /. Includi tutte le unità organizzative secondarie terminando il percorso con /*.

          • Esempio 1

            • Percorso per un'unità organizzativa secondaria: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/

            • In questo esempio, o-a1b2c3d4e5 è l'ID dell'organizzazione, r-f6g7h8i9j0example è l'ID root, ou-ghi0-awsccccc è l'ID di un'unità organizzativa e ou-jkl0-awsddddd è l'ID di un'unità organizzativa secondaria.

            • IPAM non gestirà gli indirizzi IP negli account dell'unità organizzativa secondaria.

          • Esempio 2

            • Percorso in cui tutte le unità organizzative secondarie faranno parte dell'esclusione: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*

            • In questo esempio, IPAM non gestirà gli indirizzi IP negli account dell'unità organizzativa (ou-ghi0-awsccccc) o in quelli delle relative unità organizzative secondarie.

    • Per rimuovere l'esclusione di un'unità organizzativa:

      • Seleziona X accanto a un'unità organizzativa già aggiunta. Se /* si trova dopo l'unità organizzativa, significa che si tratta di un'unità organizzativa principale e che le unità organizzative secondarie fanno parte dell'esclusione.

  6. Scegli Save changes (Salva modifiche).

Command line

I comandi di questa sezione rimandano alla documentazione di riferimento alla CLI di AWS. La documentazione fornisce descrizioni dettagliate delle opzioni che è possibile utilizzare quando si eseguono i comandi.

  1. Visualizza i dettagli sul rilevamento delle risorse per ottenere l'ID del rilevamento predefinito per il passaggio successivo con describe-ipam-resource-discoveries.

    Input:

    aws ec2 describe-ipam-resource-discoveries

    Output:

    { "IpamResourceDiscoveries": [ { "OwnerId": "111122223333", "IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0", "IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0", "IpamResourceDiscoveryRegion": "us-east-1", "OperatingRegions": [ { "RegionName": "us-east-1" }, { "RegionName": "us-west-1" }, { "RegionName": "us-west-2" } ], "IsDefault": true, "State": "modify-complete", "Tags": [] } ] }
  2. Aggiungi o rimuovi l'esclusione di un'unità organizzativa dal rilevamento di risorse con modify-ipam-resource-discovery e le opzioni --add-organizational-unit-exclusions o --remove-organizational-unit-exclusions. Dovrai inserire un percorso entità di AWS Organizations. Crea il percorso per le unità organizzative utilizzando gli ID di AWS Organizations separati da /. Includi tutte le unità organizzative secondarie terminando il percorso con /*.

    • Esempio 1

      • Percorso per un'unità organizzativa secondaria: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/

      • In questo esempio, o-a1b2c3d4e5 è l'ID dell'organizzazione, r-f6g7h8i9j0example è l'ID root, ou-ghi0-awsccccc è l'ID di un'unità organizzativa e ou-jkl0-awsddddd è l'ID di un'unità organizzativa secondaria.

      • IPAM non gestirà gli indirizzi IP negli account dell'unità organizzativa secondaria.

    • Esempio 2

      • Percorso in cui tutte le unità organizzative secondarie faranno parte dell'esclusione: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*

      • In questo esempio, IPAM non gestirà gli indirizzi IP negli account dell'unità organizzativa (ou-ghi0-awsccccc) o in quelli delle relative unità organizzative secondarie.

    Input:

    aws ec2 modify-ipam-resource-discovery \ --ipam-resource-discovery-id ipam-res-disco-1234567890abcdef0 \ --add-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*' \ --remove-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/' \ --region us-east-1

    Output:

    { "IpamResourceDiscovery": { "OwnerId": "111122223333", "IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0", "IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0", "IpamResourceDiscoveryRegion": "us-east-1", "OperatingRegions": [ { "RegionName": "us-east-1" } ], "IsDefault": false, "State": "modify-in-progress", "OrganizationalUnitExclusions": [ { "OrganizationsEntityPath": "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*" } ] } }