将 IPAM 与 AWS Organization 中的账户集成
或者,您可以按照本部分中的步骤将 IPAM 与 AWS Organizations 集成并委托成员账户作为 IPAM 账户。
IPAM 账户负责创建 IPAM 并使用它来管理和监控 IP 地址的使用情况。
将 IPAM 与 AWS Organizations 集成和委托 IPAM 管理员具有以下益处:
与您的企业共享 IPAM 池:当您委派一个 IPAM 账户时,IPAM 会启用企业中的其他 AWS Organizations 成员账户,用于从使用 AWS Resource Access Manager (RAM) 共享的 IPAM 池中分配 CIDR。有关设置企业的更多信息,请参阅 AWS Organizations 用户指南中的什么是 AWS Organizations?。
监控企业中的 IP 地址使用情况:当您委派 IPAM 账户时,您将授予 IPAM 权限,以监控所有账户的 IP 使用情况。因此,IPAM 会将现有 VPC 在其他 AWS Organizations 成员账户之间使用的 CIDR 自动导入 IPAM 中。
如果您不委派 AWS Organizations 成员账户作为 IPAM 账户,IPAM 将只监控您用于创建 IPAM 的 AWS 账户中的资源。
注意
将与 AWS Organizations 集成时:
-
必须通过在 AWS 管理控制台中使用 IPAM 或 enable-ipam-organization-admin-account AWS CLI 命令来启用与 AWS Organizations 的集成。这将确保创建与
AWSServiceRoleForIPAM
服务相关角色。如果通过使用 AWS Organizations 控制台或 register-delegated-administratorAWS CLI 命令启用对 AWS Organizations 的受信任访问,则不会创建与 AWSServiceRoleForIPAM
服务相关的角色,也无法管理或监控企业内的资源。 -
IPAM 账户必须是 AWS Organizations 成员账户。您不能将 AWS Organizations 管理账户作为 IPAM 账户。要检查您的 IPAM 是否已与 AWS Organizations 集成,请使用以下步骤并在组织设置中查看集成的详细信息。
-
IPAM 针对在企业成员账户中监控的每个活动 IP 地址向您收取费用。有关定价的更多信息,请参阅 IPAM 定价
。 您必须在 AWS Organizations 中拥有账户,以及设置有一个或多个成员账户的管理账户。有关账户类型的更多信息,请参阅 AWS Organizations 用户指南中的术语和概念。有关设置企业的更多信息,请参阅开始使用 AWS Organizations。
-
IPAM 账户必须使用附加了允许
iam:CreateServiceLinkedRole
操作的 IAM policy 的 IAM 角色。创建 IPAM 时,将自动创建 AWSServiceRoleForIPAM 服务相关角色。 与 AWS Organizations 管理账户关联的 IAM 用户必须使用附加了以下 IAM policy 操作的 IAM 角色:
-
ec2:EnableIpamOrganizationAdminAccount
-
organizations:EnableAwsServiceAccess
-
organizations:RegisterDelegatedAdministrator
-
iam:CreateServiceLinkedRole
有关创建 IAM 角色的更多信息,请参阅《IAM 用户指南》中的 创建向 IAM 用户委托权限的角色。
-
-
与 AWS Organizations 管理账户关联的用户可使用附加了以下 IAM 策略操作的 IAM 角色,以列出您当前的 AWS Organizations 委派管理员:
organizations:ListDelegatedAdministrators
当您将 Organizations 成员账户委派为 IPAM 账户时,IPAM 会自动在企业中的所有成员账户中创建服务相关的 IAM 角色。IPAM 通过在每个成员账户中担任服务相关的 IAM 角色、发现资源及其 CIDR 并将其与 IPAM 集成来监控这些账户中的 IP 地址使用情况。无论其企业单位如何,IPAM 都可以发现所有成员账户中的资源。例如,如果有成员账户创建了 VPC,您将在 IPAM 控制台的资源部分中看到 VPC 及其 CIDR。
重要
委派 IPAM 管理员的 AWS Organizations 管理账户的角色现已完成。要继续使用 IPAM,IPAM 管理员账户必须登录 Amazon VPC IPAM 并创建 IPAM。