VPC の作成時に IPAM の使用を強制する VPC の作成時に IPAM プールの使用を強制する特定の OU リスト以外のすべての OU に IPAM を適用する

VPC 作成に対して IPAM の使用を強制する

注記

このセクションは、IPAM と AWS Organizations の統合を有効にしている場合にのみ適用されます。詳細については、「IPAM を AWS Organizations 内のアカウントと統合する」を参照してください。

このセクションでは、AWS Organizations でサービスコントロールポリシーを作成する方法について説明します。ここでは、組織のメンバーが VPC を作成する際に IPAM を使用する必要があります。サービスコントロールポリシー (SCP) は、組織のアクセス許可を管理できる組織ポリシーの一種です。詳細については、AWS Organizations ユーザーガイドの「サービスコントロールポリシー」を参照してください。

VPC の作成時に IPAM の使用を強制する

VPC の作成時に、組織のメンバーに IPAM を使用するよう義務付けるには、このセクションの手順に従います。

SCP を作成して VPC の作成に IPAM を使用するように制限するには

「AWS Organizations ユーザーガイド」の[Creating an SCP] (SCP の作成) のステップに従って、JSON エディターに以下のテキストを入力してください。


{
    "Version": "2012-10-17",
    "Statement": [{
       "Effect": "Deny",
        "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
        "Resource": "arn:aws:ec2:*:*:vpc/*",
        "Condition": {
            "Null": {
                "ec2:Ipv4IpamPoolId": "true"
            }
        }
     }]
}

組織内の 1 つ以上の組織単位にポリシーをアタッチします。詳細については、「AWS Organizations ユーザーガイド」の「サービスコントロールポリシーのアタッチとデタッチ」を参照してください。

VPC の作成時に IPAM プールの使用を強制する

VPC の作成時に、組織のメンバーに特定の IPAM プールを使用するよう義務付けるには、このセクションの手順に従います。

SCP を作成して VPC の作成に IPAM プールを使用するように制限するには

「AWS Organizations ユーザーガイド」の[Creating an SCP] (SCP の作成) のステップに従って、JSON エディターに以下のテキストを入力してください。


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Deny",
        "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
        "Resource": "arn:aws:ec2:*:*:vpc/*",
        "Condition": {
            "StringNotEquals": {
                "ec2:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg"
            }
          }
    }]
}

サンプルの値 ipam-pool-0123456789abcdefg を、ユーザーを制限したい IPv4 プール ID に変更します。
組織内の 1 つ以上の組織単位にポリシーをアタッチします。詳細については、「AWS Organizations ユーザーガイド」の「サービスコントロールポリシーのアタッチとデタッチ」を参照してください。

特定の OU リスト以外のすべての OU に IPAM を適用する

このセクションのステップに従い、特定の組織単位 (OU) のリストを除くすべての OU に IPAM を適用します。このセクションで説明するポリシーは、組織内の OU (aws:PrincipalOrgPaths で指定した OU を除く) に、IPAM を使用して VPC を作成および拡張することを要求しています。リストにある OU は、VPC の作成時に IPAM を使用するか、IP アドレスの範囲を手動で指定することができます。

SCP を作成し、特定の OU リストを除くすべての OU に IPAM を適用するには

「AWS Organizations ユーザーガイド」の[Creating an SCP] (SCP の作成) のステップに従って、JSON エディターに以下のテキストを入力してください。


{
    "Version": "2012-10-17",
    "Statement": [{
	"Effect": "Deny",
	    "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
	    "Resource": "arn:aws:ec2:*:*:vpc/*",
	    "Condition": {
	        "Null": {
		      "ec2:Ipv4IpamPoolId": "true"
                },
	        "ForAllValues:StringNotLike": {
	            "aws:PrincipalOrgPaths": [
	                "o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/",
	                "o-a1b2c3d4e5/r-ab12/ou-ab13-22222222/ou-ab13-33333333/"
	            ]
                }
            }
     }]
}

サンプルの値 (o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/ など) を削除し、IPAM を使用するオプション (必須ではない) を付与する OU の、AWS Organizations エンティティパスを追加します。エンティティパスの詳細については、「AWS Identity and Access Management ユーザーガイド」の「AWS Organizations エンティティパスを理解する」および「aws: PrincipalOrgPaths」を参照してください。
ポリシーを組織のルートにアタッチします。詳細については、「AWS Organizations ユーザーガイド」の「サービスコントロールポリシーのアタッチとデタッチ」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

IPAM で IP アドレス空間を管理する

プライベート IPv6 GUA CIDR のプロビジョニングを有効にする