本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
IPAM 與 AWS 組織中的帳戶整合
或者,您可以按照本節中的步驟IPAM與 AWS Organizations 整合,並將成員帳戶委派為IPAM帳戶。
IPAM 帳戶負責建立 IPAM 並使用它來管理和監控 IP 地址用量。
IPAM 與 AWS Organizations IPAM 整合並委派管理員具有下列優點:
與組織共用IPAM集區:委派IPAM帳戶時, IPAM可讓組織中的其他 AWS Organizations 成員帳戶CIDRs從使用 AWS Resource Access Manager () 共用的IPAM集區進行配置RAM。如需有關設定組織的詳細資訊,請參閱《AWS Organizations 使用者指南》中的什麼是 AWS Organizations?。
監控組織中的 IP 地址用量:委派IPAM帳戶時,您授予IPAM許可來監控所有帳戶的 IP 用量。因此, IPAM 會自動將VPCs其他 AWS Organizations 成員帳戶中現有的 CIDRs匯入 IPAM。
如果您未將 AWS Organizations 成員帳戶委派為 IPAM 帳戶, IPAM 只會監控您用來建立 AWS 的帳戶中的資源IPAM。
注意
與 AWS Organizations 整合時:
-
您必須在 AWS 管理主控台或 enable-ipam-organization-admin-account AWS CLI 命令IPAM中使用 來啟用與 AWS Organizations 的整合。此可確保建立了
AWSServiceRoleForIPAM服務連結角色。如果您使用 AWS Organizations 主控台或 register-delegated-administratorAWS CLI命令啟用 AWS Organizations 的受信任存取,則不會建立 AWSServiceRoleForIPAM服務連結角色,而且您無法管理或監控組織內的資源。 -
IPAM帳戶必須是 AWS Organizations 成員帳戶。您無法使用 AWS Organizations 管理帳戶作為 IPAM帳戶。若要檢查您的 IPAM 是否已與 AWS Organizations 整合,請使用下列步驟,並在 Organization 設定 中檢視整合的詳細資訊。
-
IPAM 會針對其在組織成員帳戶中監控的每個作用中 IP 地址向您收取費用。如需定價的詳細資訊,請參閱IPAM定價。
您必須在 AWS Organizations 中擁有 帳戶,以及具有一或多個成員帳戶的管理帳戶。如需帳戶類型的詳細資訊,請參閱《AWS Organizations 使用者指南》中的術語與概念。如需有關設定組織的詳細資訊,請參閱 《 AWS Organizations 入門》。
-
IPAM 帳戶必須使用已連接允許
iam:CreateServiceLinkedRole動作之IAM政策IAM的角色。當您建立 時IPAM,會自動建立 AWSServiceRoleForIPAM 服務連結角色。 與 AWS Organizations 管理帳戶相關聯的使用者必須使用已附加下列IAM政策動作IAM的角色:
-
ec2:EnableIpamOrganizationAdminAccount -
organizations:EnableAwsServiceAccess -
organizations:RegisterDelegatedAdministrator -
iam:CreateServiceLinkedRole
如需建立IAM角色的詳細資訊,請參閱 IAM 使用者指南 中的建立角色以將許可委派給IAM使用者。
-
-
與 AWS Organizations 管理帳戶相關聯的使用者可以使用已附加下列IAM政策動作IAM的角色,以列出您目前的 AWS Orgs 委派管理員:
organizations:ListDelegatedAdministrators
當您將 Organizations 成員帳戶委派為 IPAM 帳戶時, 會在您組織中所有成員帳戶中IPAM自動建立服務連結IAM角色。IPAM 透過在每個成員帳戶中擔任服務連結IAM角色、探索資源及其 CIDRs,以及將它們與 整合,來監控這些帳戶中的 IP 地址用量IPAM。無論其組織單位IPAM為何,所有成員帳戶中的資源都可以被探索。例如VPC,如果有成員帳戶已建立 ,您會在IPAM主控台的資源區段CIDR中看到 VPC及其 。
重要
委派IPAM管理員的 AWS Organizations 管理帳戶角色現在已完成。若要繼續使用 IPAM,IPAM管理員帳戶必須登入 Amazon VPCIPAM並建立 IPAM。
