IPAM を AWS Organizations 内のアカウントと統合する
必要に応じて、このセクションの手順に従って、IPAM をAWS Organizations と統合し、メンバーアカウントを IPAM アカウントとして委任します。
IPAM アカウントは、IPAM を作成し、それを使用して IP アドレスの使用状況を管理および監視します。
IPAM を AWS Organizations と統合し、IPAM 管理者を委任すると、次の利点があります。
IPAM プールを組織と共有する: IPAM アカウントを委任すると、IPAM によって、組織内の他の AWS Organizations メンバーアカウントで、AWS Resource Access Manager (RAM) を使用して共有される IPAM プールから CIDR を割り当てることができるようになります。組織のセットアップの詳細については、AWS Organizations ユーザーガイドの AWS Organizations とはを参照してください。
組織内の IP アドレスの使用状況をモニタリングする: IPAM アカウントを委任する場合、すべてのアカウントに IP 使用状況を監視する IPAM アクセス許可を付与します。その結果、IPAM では、他の AWS Organizations メンバーアカウント間で既存の VPC によって使用されている CIDR が自動的にインポートされます。
AWS Organizations メンバーアカウントを IPAM アカウントとして委任しない場合は、IPAM を作成するために使用した AWS アカウント内のみで、リソースが IPAM によってモニタリングされます。
注記
AWS Organizations と統合する場合:
-
AWS マネジメントコンソールで IPAM を使用するか enable-ipam-organization-admin-account AWS CLI コマンドを使用して、AWS Organizations との統合を有効にする必要があります これにより、
AWSServiceRoleForIPAM
サービスにリンクされたロールが確実に作成されます。AWS Organizations コンソールまたは register-delegated-administratorAWS CLI コマンドを使用して、AWS Organizations への信頼されたアクセスを有効にする場合、 AWSServiceRoleForIPAM
サービスにリンクされたロールは作成されず、組織内のリソースを管理または監視することはできません。 -
IPAM アカウントは AWS Organizations のメンバーアカウントである必要があります。AWS Organizations 管理アカウントを IPAM アカウントとして使用することはできません。IPAM が AWS Organizations と既に統合されているかどうかを確認するには、以下のステップを使用して、[Organization の設定] で統合の詳細を表示します。
-
IPAM では、組織のメンバーアカウントで監視するアクティブな IP アドレスごとに課金されます。料金に関する詳細については、IPAM の料金
を参照してください。 AWS Organizations アカウントおよび 1 つ以上のメンバーアカウントで設定された管理アカウントが必要です。アカウントタイプの詳細については、AWS ユーザーガイドの用語とコンセプトを参照してください。詳細については、Organizations ユーザーガイドの AWS Organizations の開始方法を参照してください。
-
IPAM アカウントには、
iam:CreateServiceLinkedRole
アクションを許可する IAM ポリシーがアタッチされている IAM ロールを使用する必要があります。IPAM を作成した場合、AWSServiceRoleForIPAM サービスにリンクされたロールが自動的に作成されます。 AWS Organizations 管理アカウントに関連付けられているユーザーは、次の IAM ポリシーアクションがアタッチされている IAM ロールを使用する必要があります。
-
ec2:EnableIpamOrganizationAdminAccount
-
organizations:EnableAwsServiceAccess
-
organizations:RegisterDelegatedAdministrator
-
iam:CreateServiceLinkedRole
IAM ロールの作成について詳しくは、「IAM ユーザーガイド」の「IAM ユーザーにアクセス許可を委任するロールの作成」を参照してください。
-
-
AWS Organizations 管理アカウントに関連付けられているユーザーは、次の IAM ポリシーアクションがアタッチされた IAM ロールを使用して、現在の AWS Orgs の委任された管理者を一覧表示することができます:
organizations:ListDelegatedAdministrators
Organizations メンバーアカウントを IPAM アカウントとして委任すると、組織内のすべてのメンバーアカウントに、サービスにリンクされた IAM ロールが IPAM によって自動的に作成されます。IPAM は、各メンバーアカウント内のサービスにリンクされた IAM ロールを継承して、リソースとその CIDR を検出し、それらを IPAM に統合することによって、これらのアカウントの IP アドレスの使用状況を監視します。組織単位に関係なく、すべてのメンバーアカウント内のリソースは、IPAM によって検出可能になります。例えば、VPC を作成したメンバーアカウントがある場合、IPAM コンソールの [Resources] (リソース) セクションに VPC とその CIDR が表示されます。
重要
IPAM 管理者を委任した AWS Organizations 管理アカウントの役割はこれで完了です。IPAM を引き続き使用するには、IPAM 管理者アカウントで Amazon VPC IPAM にログインし、IPAM を作成する必要があります。