AWS Organization에서 계정과 IPAM 통합

선택적으로 이 섹션의 단계에 따르면 IPAM을 AWS Organizations와 통합하고 멤버 계정을 IPAM 계정으로 위임할 수 있습니다.

IPAM 계정은 IPAM을 생성하고 이를 사용하여 IP 주소 사용을 관리 및 모니터링하는 일을 담당합니다.

AWS Organizations와 IPAM을 통합하고 IPAM 관리자를 위임하면 다음과 같은 장점이 있습니다.

• IPAM 풀을 조직과 공유: IPAM 계정을 위임하면 IPAM에서 조직의 다른 AWS Organizations 멤버 계정이 AWS RAM(Resource Access Manager)을 사용하여 공유되는 IPAM 풀의 CIDR을 할당하도록 허용합니다. 조직 설정에 대한 자세한 내용은 AWS Organizations 사용 설명서의 AWS Organizations란 무엇인가요?를 참조하세요.

• 조직의 IP 주소 사용량 모니터링: IPAM 계정을 위임하면 모든 계정에서 IP 사용량을 모니터링할 수 있는 권한을 IPAM에 부여합니다. 그러면 IPAM은 다른 AWS Organizations 멤버 계정에서 기존 VPC가 사용하는 CIDR을 IPAM으로 가져옵니다.

AWS Organizations 멤버 계정을 IPAM 계정으로 위임하지 않은 경우 IPAM은 IPAM을 생성하는 데 사용하는 AWS 계정의 리소스만 모니터링합니다.

중요

• AWS 관리 콘솔에서 IPAM을 사용하거나 enable-ipam-organization-admin-account AWS CLI 명령을 사용하여 AWS Organizations와의 통합을 사용 설정해야 합니다. 이렇게 하면 AWSServiceRoleForIPAM 서비스 연결 역할이 생성됩니다. AWS Organizations 콘솔 또는 register-delegated-administrator AWS CLI 명령을 사용하여 AWS Organizations에 대한 신뢰할 수 있는 액세스를 사용 설정하면 AWSServiceRoleForIPAM 서비스 연결 역할이 생성되지 않으며 조직 내 리소스를 관리하거나 모니터링할 수 없습니다.

참고

AWS Organizations와 통합하는 경우

• IPAM은 조직의 멤버 계정에서 모니터링하는 각 활성 IP 주소에 대해 요금을 청구합니다. 요금에 대한 자세한 내용은 IPAM 요금을 참조하세요.

• AWS Organizations의 계정 및 관리 계정이 1개 이상의 멤버 계정으로 설정되어 있어야 합니다. 계정 유형에 대한 자세한 내용은 AWS Organizations 사용 설명서의 용어 및 개념을 참조하세요. 조직 설정에 대한 자세한 내용은 AWS Organizations 시작하기를 참조하세요.

• IPAM 계정은 AWS Organizations 멤버 계정이어야 합니다. AWS Organizations 관리 계정을 IPAM 계정으로 사용할 수 없습니다.

• IPAM 계정은 iam:CreateServiceLinkedRole 작업을 허용하는 IAM 정책이 연결된 IAM 역할을 사용해야 합니다. IPAM을 생성할 경우 AWSServiceRoleForIPAM 서비스 연결 역할이 자동으로 생성됩니다.

• AWS Organizations 관리 계정과 연결된 사용자는 다음과 같은 IAM 정책 작업이 연결된 IAM 역할을 사용해야 합니다.

  • ec2:EnableIpamOrganizationAdminAccount

  • organizations:EnableAwsServiceAccess

  • organizations:RegisterDelegatedAdministrator

  • iam:CreateServiceLinkedRole

  IAM 역할 생성에 대한 자세한 내용은 IAM 사용 설명서의 IAM 사용자에게 권한을 위임하는 역할 생성을 참조하세요.

• AWS Organizations 관리 계정과 연결된 사용자는 현재 AWS Orgs 위임 관리자(organizations:ListDelegatedAdministrators)가 나열되는 다음과 같은 IAM 정책 작업이 연결되어 있는 IAM 역할을 사용할 수 있습니다.

AWS Management Console

IPAM 계정을 선택하려면

1. AWS Organizations 관리 계정을 사용하여 https://console.aws.amazon.com/ipam/에서 IPAM 콘솔을 엽니다.

2. AWS 관리 콘솔에서 IPAM에서 작업하려는 AWS 리전을 선택합니다.

3. 탐색 창에서 조직 설정을 선택합니다.

4. 위임 옵션은 콘솔에 AWS 조직 마스터 계정으로 로그인한 경우에만 사용할 수 있습니다. 위임을 선택합니다.

5. IPAM 계정에 AWS 계정 ID를 입력합니다. IPAM 관리자는 AWS Organizations 멤버 계정이어야 합니다.

6. Save changes(변경 사항 저장)를 선택합니다.

Command line

이 섹션의 명령은 AWS CLI 참조 설명서로 연결됩니다. 이 설명서에서는 명령을 실행할 때 사용할 수 있는 옵션에 대한 자세한 설명을 제공합니다.

• AWS CLI를 사용하여 IPAM 관리자 계정을 위임하려면 enable-ipam-organization-admin-account와 같은 명령을 사용합니다.

Organizations 멤버 계정을 IPAM 계정으로 위임하면 IPAM은 조직의 모든 멤버 계정에서 서비스 연결 IAM 역할을 자동으로 생성합니다. IPAM은 각 멤버 계정에서 서비스 연결 IAM 역할을 맡고, 리소스 및 해당 CIDR을 검색하고, IPAM과 통합하여 이러한 계정의 IP 주소 사용량을 모니터링합니다. 모든 멤버 계정 내의 리소스는 조직 단위에 관계없이 IPAM에서 검색할 수 있습니다. 예를 들어 VPC를 생성한 멤버 계정이 있는 경우 IPAM 콘솔의 리소스 섹션에 VPC와 해당 CIDR이 표시됩니다.

중요

IPAM 관리자를 위임한 AWS Organizations 관리 계정이 이제 완료되었습니다. IPAM을 계속 사용하려면 IPAM 관리자 계정이 Amazon VPC IPAM에 로그인하여 IPAM을 생성해야 합니다.