IPAM を AWS Organizations と統合する - Amazon Virtual Private Cloud

IPAM を AWS Organizations と統合する

必要に応じて、このセクションの手順に従って、IPAM をAWS Organizations と統合し、メンバーアカウントを IPAM アカウントとして委任します。

IPAM アカウントは、IPAM を作成し、それを使用して IP アドレスの使用状況を管理およびモニタリングします。

IPAM を AWS Organizations と統合し、IPAM 管理者を委任すると、次の利点があります。

  • IPAM プールを組織と共有する: IPAM アカウントを委任すると、IPAM によって、組織内の他の AWS Organizations メンバーアカウントで、AWS Resource Access Manager (RAM) を使用して共有される IPAM プールから CIDR を割り当てることができるようになります。組織のセットアップの詳細については、AWS Organizations ユーザーガイドAWS Organizations とはを参照してください。

  • 組織内の IP アドレスの使用状況をモニタリングする: IPAM アカウントを委任する場合、すべてのアカウントに IP 使用状況をモニタリングする IPAM アクセス許可を付与します。その結果、IPAM では、他の AWS Organizations メンバーアカウント間で既存の VPC によって使用されている CIDR が自動的にインポートされます。

AWS Organizations メンバーアカウントを IPAM アカウントとして委任しない場合は、IPAM を作成するために使用した AWS アカウント内のみで、リソースが IPAM によってモニタリングされます。

重要
  • AWS マネジメントコンソールで IPAM を使用するか enable-ipam-organization-admin-account AWS CLI コマンドを使用して、AWS Organizations との統合を有効にする必要があります これにより、AWSServiceRoleForIPAM サービスにリンクされたロールが確実に作成されます。AWS Organizations コンソールまたは register-delegated-administrator AWS CLI コマンドを使用して、AWS Organizations への信頼されたアクセスを有効にする場合、AWSServiceRoleForIPAM サービスにリンクされたロールは作成されず、組織内のリソースを管理または監視することはできません。

注記

AWS Organizations と統合する場合:

  • IPAM を使用して、複数の AWS Organizations のIP アドレスを管理することはできません。

  • IPAM では、組織のメンバーアカウントでモニタリングするアクティブな IP アドレスごとに課金されます。料金に関する詳細については、IPAM の料金を参照してください。

  • AWS Organizations アカウントおよび 1 つ以上のメンバーアカウントで設定された管理アカウントが必要です。アカウントタイプの詳細については、AWS ユーザーガイド用語とコンセプトを参照してください。詳細については、Organizations ユーザーガイドの AWS Organizations の開始方法を参照してください。

  • IPAM アカウントは AWS Organizations のメンバーアカウントである必要があります。AWS Organizations 管理アカウントを IPAM アカウントとして使用することはできません。

  • IPAM アカウントには、iam:CreateServiceLinkedRole アクションを許可する IAM ポリシーがアタッチされている必要があります。IPAM を作成した場合、AWSServiceRoleForIPAM サービスにリンクされたロールが自動的に作成されます。

  • AWS Organizations 管理アカウントに関連付けられている IAM ユーザーアカウントは、次の IAM ポリシーアクションがアタッチされている必要があります。

    • ec2:EnableIpamOrganizationAdminAccount

    • organizations:EnableAwsServiceAccess

    • organizations:RegisterDelegatedAdministrator

    • iam:CreateServiceLinkedRole

    IAM ユーザーポリシーの管理の詳細については、「IAM ユーザーガイド」の「IAM ポリシーの編集」を参照してください。

AWS Management Console

IPAM アカウントを選択するには

  1. IPAM コンソール (https://console.aws.amazon.com/ipam/) を開きます。

  2. AWS マネジメントコンソールで、IPAM を使用する AWS リージョンを選択します。

  3. ナビゲーションペインで [Settings] (設定) をクリックします。

  4. [IPAM account] (IPAM アカウント) に、AWS アカウント ID を入力します。IPAM 管理者は AWS Organizations のメンバーアカウントである必要があります。

  5. [Delegate] (委任) を選択します。

Command line

このセクションのコマンドは、AWS CLI リファレンスドキュメントに関連しています。ドキュメントには、コマンドの実行時に使用できるオプションの詳細な説明が記載されています。

Organizations メンバーアカウントを IPAM アカウントとして委任すると、組織内のすべてのメンバーアカウントに、サービスにリンクされた IAM ロールが IPAM によって自動的に作成されます。IPAM は、各メンバーアカウント内のサービスにリンクされた IAM ロールを継承して、リソースとその CIDR を検出し、それらを IPAM に統合することによって、これらのアカウントの IP アドレスの使用状況をモニタリングします。組織単位に関係なく、すべてのメンバーアカウント内のリソースは、IPAM によって検出可能になります。例えば、VPC を作成したメンバーアカウントがある場合、IPAM コンソールの [Resources] (リソース) セクションに VPC とその CIDR が表示されます。

重要

IPAM 管理者を委任した AWS Organizations 管理アカウントの役割はこれで完了です。IPAM を引き続き使用するには、IPAM 管理者アカウントで Amazon VPC IPAM にログインし、IPAM を作成する必要があります。