IPAM を AWS Organizations 内のアカウントと統合する - Amazon Virtual Private Cloud

IPAM を AWS Organizations 内のアカウントと統合する

必要に応じて、このセクションの手順に従って、IPAM をAWS Organizations と統合し、メンバーアカウントを IPAM アカウントとして委任します。

IPAM アカウントは、IPAM を作成し、それを使用して IP アドレスの使用状況を管理および監視します。

IPAM を AWS Organizations と統合し、IPAM 管理者を委任すると、次の利点があります。

  • IPAM プールを組織と共有する: IPAM アカウントを委任すると、IPAM によって、組織内の他の AWS Organizations メンバーアカウントで、AWS Resource Access Manager (RAM) を使用して共有される IPAM プールから CIDR を割り当てることができるようになります。組織のセットアップの詳細については、AWS Organizations ユーザーガイドAWS Organizations とはを参照してください。

  • 組織内の IP アドレスの使用状況をモニタリングする: IPAM アカウントを委任する場合、すべてのアカウントに IP 使用状況を監視する IPAM アクセス許可を付与します。その結果、IPAM では、他の AWS Organizations メンバーアカウント間で既存の VPC によって使用されている CIDR が自動的にインポートされます。

AWS Organizations メンバーアカウントを IPAM アカウントとして委任しない場合は、IPAM を作成するために使用した AWS アカウント内のみで、リソースが IPAM によって監視されます。

重要

  • AWS マネジメントコンソールで IPAM を使用するか enable-ipam-organization-admin-account AWS CLI コマンドを使用して、AWS Organizations との統合を有効にする必要があります これにより、AWSServiceRoleForIPAM サービスにリンクされたロールが確実に作成されます。AWS Organizations コンソールまたは register-delegated-administrator AWS CLI コマンドを使用して、AWS Organizations への信頼されたアクセスを有効にする場合、AWSServiceRoleForIPAM サービスにリンクされたロールは作成されず、組織内のリソースを管理または監視することはできません。

注記

AWS Organizations と統合する場合:

  • IPAM では、組織のメンバーアカウントで監視するアクティブな IP アドレスごとに課金されます。料金に関する詳細については、IPAM の料金を参照してください。

  • AWS Organizations アカウントおよび 1 つ以上のメンバーアカウントで設定された管理アカウントが必要です。アカウントタイプの詳細については、AWS ユーザーガイド用語とコンセプトを参照してください。詳細については、Organizations ユーザーガイドの AWS Organizations の開始方法を参照してください。

  • IPAM アカウントは AWS Organizations のメンバーアカウントである必要があります。AWS Organizations 管理アカウントを IPAM アカウントとして使用することはできません。

  • IPAM アカウントには、iam:CreateServiceLinkedRole アクションを許可する IAM ポリシーがアタッチされている IAM ロールを使用する必要があります。IPAM を作成した場合、AWSServiceRoleForIPAM サービスにリンクされたロールが自動的に作成されます。

  • AWS Organizations 管理アカウントに関連付けられているユーザーは、次の IAM ポリシーアクションがアタッチされている IAM ロールを使用する必要があります。

    • ec2:EnableIpamOrganizationAdminAccount

    • organizations:EnableAwsServiceAccess

    • organizations:RegisterDelegatedAdministrator

    • iam:CreateServiceLinkedRole

    IAM ロールの作成について詳しくは、「IAM ユーザーガイド」の「IAM ユーザーにアクセス許可を委任するロールの作成」を参照してください。

  • AWS Organizations 管理アカウントに関連付けられているユーザーは、次の IAM ポリシーアクションがアタッチされた IAM ロールを使用して、現在の AWS Orgs の委任された管理者を一覧表示することができます: organizations:ListDelegatedAdministrators

AWS Management Console
IPAM アカウントを選択するには

  1. AWS Organizations 管理アカウントを使用して、IPAM コンソール (https://console.aws.amazon.com/ipam/) を開きます。

  2. AWS マネジメントコンソールで、IPAM を使用する AWS リージョンを選択します。

  3. ナビゲーションペインで [組織の設定] を選択します。

  4. [委任] オプションは、AWS Organizations 管理アカウントでコンソールにログインしている場合にのみ使用できます。[Delegate(委任)] を選択します。

  5. [IPAM account] (IPAM アカウント) に、AWS アカウント ID を入力します。IPAM 管理者は AWS Organizations のメンバーアカウントである必要があります。

  6. [Save changes] (変更の保存) をクリックします。

Command line

このセクションのコマンドは、AWS CLI リファレンスドキュメントに関連しています。ドキュメントには、コマンドの実行時に使用できるオプションの詳細な説明が記載されています。

Organizations メンバーアカウントを IPAM アカウントとして委任すると、組織内のすべてのメンバーアカウントに、サービスにリンクされた IAM ロールが IPAM によって自動的に作成されます。IPAM は、各メンバーアカウント内のサービスにリンクされた IAM ロールを継承して、リソースとその CIDR を検出し、それらを IPAM に統合することによって、これらのアカウントの IP アドレスの使用状況を監視します。組織単位に関係なく、すべてのメンバーアカウント内のリソースは、IPAM によって検出可能になります。例えば、VPC を作成したメンバーアカウントがある場合、IPAM コンソールの [Resources] (リソース) セクションに VPC とその CIDR が表示されます。

重要

IPAM 管理者を委任した AWS Organizations 管理アカウントの役割はこれで完了です。IPAM を引き続き使用するには、IPAM 管理者アカウントで Amazon VPC IPAM にログインし、IPAM を作成する必要があります。