IP Address Manager (IPAM) da Amazon VPC e AWS Organizations - AWS Organizations

IP Address Manager (IPAM) da Amazon VPC e AWS Organizations

O IP Address Manager da Amazon VPC (IPAM) é um recurso da VPC que facilita o planejamento, o rastreamento e o monitoramento de endereços IP de suas workloads da AWS.

O uso do AWS Organizations permite monitorar o uso de endereços IP em toda a organização e compartilhar grupos de endereços IP entre contas-membro.

Para obter mais informações, consulte Integrar o IPAM ao AWS Organizations no Guia do usuário do IPAM da Amazon VPC.

Use as informações a seguir para ajudá-lo a integrar o IP Address Manager (IPAM) da Amazon VPC ao AWS Organizations.

Funções vinculadas ao serviço, criadas quando você habilitou a integração

A seguinte função vinculada ao serviço é criada automaticamente na conta de gerenciamento da sua organização e em cada conta-membro quando você integra o IPAM ao AWS Organizations usando o console do IPAM ou usando a API EnableIpamOrganizationAdminAccount do IPAM.

  • AWSServiceRoleForIPAM

Para obter mais informações, consulte Funções vinculadas ao serviço para IPAM no Guia do usuário do IPAM da Amazon VPC.

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. As funções vinculadas ao serviço usadas pelo IPAM concedem acesso às seguintes entidades principais de serviço:

  • ipam.amazonaws.com

Para habilitar o acesso confiável no IPAM

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

nota

Quando você designa um administrador delegado para o IPAM, ele habilita automaticamente o acesso confiável para IPAM na sua organização.

O IPAM requer acesso confiável ao AWS Organizations para que você possa designar uma conta-membro como administrador delegado desse serviço na sua organização.

É possível habilitar o acesso confiável usando apenas ferramentas do IP Address Manager (IPAM) da Amazon VPC.

Se você integrar o IPAM ao AWS Organizations usando o console ou a API EnableIpamOrganizationAdminAccount do IPAM, concederá automaticamente acesso confiável ao IPAM. Conceder acesso confiável cria a função vinculada ao serviço AWSServiceRoleForIPAM na conta de gerenciamento e em todas as contas-membro da organização. O IPAM usa a função vinculada ao serviço para monitorar CIDRs associados aos recursos de rede do EC2 em sua organização e para armazenar métricas relacionadas ao IPAM no Amazon CloudWatch. Para obter mais informações, consulte Funções vinculadas ao serviço para IPAM no Guia do usuário do IPAM da Amazon VPC.

Para obter instruções sobre como habilitar o acesso confiável, consulte Integrar o IPAM ao AWS Organizations no Guia do usuário do IPAM da Amazon VPC.

nota

Você não pode habilitar o acesso confiável com o IPAM usando o console do AWS Organizations ou com a API enable-aws-service-access.

Para desabilitar o acesso confiável com o IPAM

Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável.

Apenas um administrador na conta de gerenciamento do AWS Organizations pode desabilitar o acesso confiável no IPAM usando a API disable-aws-service-access do AWS Organizations.

Para obter informações sobre como desabilitar permissões de conta do IPAM e excluir a função vinculada ao serviço, consulte Funções vinculadas ao serviço para IPAM no Guia do usuário do IPAM da Amazon VPC.

Você pode desabilitar o acesso confiável executando um comando da AWS CLI do Organizations, ou chamando uma operação da API do Organizations em um dos AWS SDKs.

AWS CLI, AWS API

Para desabilitar o acesso confiável usando a CLI/SKD do Organizations

Você pode usar os comandos da AWS CLI ou as operações da API a seguir para desabilitar o acesso ao serviço confiável:

  • AWS CLI: disable-aws-service-access

    É possível pode executar o comando a seguir para desabilitar o IP Address Manager (IPAM) da Amazon VPC como um serviço confiável no Organizations.

    $ aws organizations disable-aws-service-access \ --service-principal ipam.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: DisableAWSServiceAccess

Habilitar uma conta de administrador delegado do IPAM

A conta de administrador delegado do IPAM é responsável por criar o IPAM e os grupos de endereços IP, gerenciar e monitorar o uso de endereços IP na organização e compartilhar grupos de endereços IP entre contas-membro. Para obter mais informações, consulte Integrar o IPAM ao AWS Organizations no Guia do usuário do IPAM da Amazon VPC.

Somente um administrador na conta de gerenciamento da organização pode configurar um administrador delegado do IPAM.

É possível especificar uma conta de administrador delegado a partir do console do IPAM ou usando a API enable-ipam-organization-admin-account. Para obter mais informações, consulte enable-ipam-organization-admin-account na Referência de comandos da AWS AWS CLI.

Permissões mínimas

Somente um usuário ou função do IAM na conta de gerenciamento do Organizations pode configurar uma conta-membro como administrador delegado do IPAM na organização.

Para configurar um administrador delegado usando o console do IPAM, consulte Integrar o IPAM ao AWS Organizations no Guia do usuário do IPAM da Amazon VPC.

Desabilitar um administrador delegado do IPAM

Somente um administrador na conta de gerenciamento da organização pode configurar um administrador delegado do IPAM.

Para remover um administrador delegado usando a AWS AWS CLI, consulte disable-ipam-organization-admin-account na Referência de comandos da AWS AWS CLI.

Para desabilitar uma conta de administrador delegado usando o console do IPAM, consulte Integrar o IPAM ao AWS Organizations no Guia do usuário do IPAM da Amazon VPC.