Amazon VPC IP Address Manager (IPAM) と AWS Organizations - AWS Organizations

Amazon VPC IP Address Manager (IPAM) と AWS Organizations

Amazon VPC IP Address Manager (IPAM)は、AWS ワークロードの IP アドレスを計画、追跡、監視しやすくする VPC 機能です。

AWS Organizations を使用すると、組織全体の IP アドレスの使用状況をモニタリングし、メンバーアカウント間で IP アドレスプールを共有することができます。

詳細については、Amazon VPC IPAM ユーザーガイドの「Integrate IPAM with AWS Organizations」を参照してください。

Amazon VPC IP Address Manager (IPAM) と AWS Organizations の統合には、次の情報を参考にしてください。

統合を有効にする際に作成されるサービスにリンクされたロール

IPAM コンソールまたは IPAM の EnableIpamOrganizationAdminAccount API のいずれかを使用して IPAM を AWS Organizations に統合すると、以下のサービスにリンクされたロールが組織の管理アカウントと各メンバーアカウント内に自動的に作成されます。

  • AWSServiceRoleForIPAM

詳細については、Amazon VPC IPAM ユーザーガイドの「Service-linked roles for IPAM」を参照してください。

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。IPAM によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。

  • ipam.amazonaws.com

IPAM で信頼されたアクセスを有効にする

信頼されたアクセスの有効化に必要なアクセス許可に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

注記

IPAM の委任管理者を指定すると、組織の IPAM に対する信頼されたアクセスが自動的に有効になります。

組織でこのサービスの委任管理者にするメンバーアカウントを指定するにあたり、IPAM には AWS Organizations への信頼されたアクセスが必要です。

信頼されたアクセスを有効にするには、Amazon VPC IP Address Manager (IPAM) ツールのみを使用します。

IPAM コンソールまたは IPAM EnableIpamOrganizationAdminAccount API を使用して IPAM と AWS Organizations を統合すると、IPAM への信頼されたアクセスが自動的に付与されます。信頼されたアクセスを付与すると、サービスにリンクされたロール AWSServiceRoleForIPAM が組織の管理アカウントおよびすべてのメンバーアカウントに作成されます。IPAM は、サービスにリンクされたロールを使用して、組織の EC2 ネットワークリソースに関連付けられた CIDR のモニタリングを行い、IPAM に関連付けられたメトリクスを Amazon CloudWatch に保存します。詳細については、Amazon VPC IPAM ユーザーガイドの「Service-linked roles for IPAM」を参照してください。

信頼されたアクセスを有効にする手順については、Amazon VPC IP アドレス管理ユーザーガイドの「Integrate IPAM with AWS Organizations」を参照してください。

注記

AWS Organizations コンソールや enable-aws-service-access API を使用して IPAM との信頼されたアクセスを有効にすることはできません。

IPAM で信頼されたアクセスを無効にするには

信頼されたアクセスの無効化に必要なアクセス許可に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

AWS Organizations disable-aws-service-access API を使用して IPAM との信頼されたアクセスを無効にできるのは、AWS Organizations 管理アカウントの管理者だけです。

IP アドレス管理アカウントのアクセス許可を無効にし、サービスにリンクされたロールの削除の詳細については、Amazon VPC IPAM ユーザーガイドの「Service-linked roles for IPAM」を参照してください。

信頼されたアクセスの無効化には、Organizations の AWS CLI コマンドを実行する方法と、いずれかの AWS SDK で Organizations API オペレーションを呼び出す方法があります。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには

サービスへの信頼されたアクセスを無効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

  • AWS CLI: disable-aws-service-access

    次のコマンドを実行し、Amazon VPC IP Address Manager (IPAM) を Organizations で信頼されたサービスとして無効にすることができます。

    $ aws organizations disable-aws-service-access \ --service-principal ipam.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: DisableAWSServiceAccess

IPAM 用の委任管理者アカウントの有効化

IPAM の委任管理者アカウントは、IPAM および IP アドレスのプールの作成、組織での IP アドレスの使用状況のモニタリング、およびメンバーメンバーアカウント間の IP アドレスプールの共有を行います。詳細については、Amazon VPC IPAM ユーザーガイドの「Integrate IPAM with AWS Organizations」を参照してください。

IPAM の委任管理者を構成できるのは、組織管理アカウントの管理者のみです。

委任された管理者アカウントは、IPAM コンソールから指定するか、enable-ipam-organization-admin-account API を使用して指定します。詳細については、「AWS AWS CLI コマンドリファレンス」の「enable-ipam-organization-admin-account」を参照してください。

最小限必要なアクセス権限

組織内で IPAM の委任管理者としてメンバーアカウントを設定できるのは、Organizations 管理アカウントの IAM ユーザーまたはロールだけです。

IPAM コンソールを使用して委任管理者を設定するには、「Amazon VPC IPAM ユーザーガイド 」の「IPAM を AWS Organizations と統合する」を参照してください。

IPAM の委任された管理者の無効化

IPAM の委任管理者を構成できるのは、組織管理アカウントの管理者のみです。

AWS AWS CLI を使用して委任管理者を削除するには、「AWS AWS CLI コマンドリファレンス」の「disable-ipam-organization-admin-account」を参照してください。

IPAM コンソールを使用して委任管理者 IPAM アカウントを無効にするには、「Amazon VPC IPAM ユーザーガイド」の「IPAM を AWS Organizations と統合する」を参照してください。