將 IPAM 與 AWS 組織中的帳戶整合 - Amazon Virtual Private Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將 IPAM 與 AWS 組織中的帳戶整合

或者,您可以依照本節中的步驟,將 IPAM 與 AWS Organizations 整合,並將成員帳戶委派為 IPAM 帳戶。

IPAM 帳戶負責建立 IPAM,並使用 IPAM 來管理和監控 IP 地址使用情況。

將 IPAM 與 AWS Organizations 整合並委派 IPAM 管理員具有下列優點:

  • 與您的組織共用 IPAM 集區:當您委派 IPAM 帳戶時,IPAM 可讓組織中的其他 AWS Organizations 成員帳戶從使用 AWS Resource Access Manager (RAM) 共用的 IPAM 集區配置 CIDRs。如需有關設定組織的詳細資訊,請參閱《AWS Organizations 使用者指南》中的什麼是 AWS Organizations?

  • 監控組織中的 IP 地址使用情況:當您委派 IPAM 帳戶時,您會授與 IPAM 許可,以監控所有帳戶的 IP 使用情況。因此,IPAM 會自動將其他 AWS Organizations 成員帳戶中現有 VPCs 所使用的 CIDRs 匯入 IPAM。

如果您未將 AWS Organizations 成員帳戶委派為 IPAM 帳戶,IPAM 只會監控您用來建立 IPAM AWS 的帳戶中的資源。

注意

與 AWS Organizations 整合時:

  • 您必須在 AWS 管理主控台或 enable-ipam-organization-admin-account AWS CLI 命令中使用 IPAM 來啟用與 AWS Organizations 的整合。此可確保建立了 AWSServiceRoleForIPAM 服務連結角色。如果您使用 AWS Organizations 主控台或 register-delegated-administrator AWS CLI 命令啟用 AWS Organizations 的受信任存取,則不會建立AWSServiceRoleForIPAM服務連結角色,而且您無法管理或監控組織內的資源。

  • IPAM 帳戶必須是 AWS Organizations 成員帳戶。您不能使用 AWS Organizations 管理帳戶做為 IPAM 帳戶。若要檢查您的 IPAM 是否已與 AWS Organizations 整合,請使用下列步驟,並在 Organization 設定中檢視整合的詳細資訊。

  • IPAM 會針對在組織成員帳戶中監控的每個有效 IP 地址向您收費。如需定價的詳細資訊,請參閱 IPAM 定價

  • 您必須在 AWS Organizations 中擁有 帳戶,以及使用一或多個成員帳戶設定的管理帳戶。如需帳戶類型的詳細資訊,請參閱《AWS Organizations 使用者指南》中的術語與概念。如需有關設定組織的詳細資訊,請參閱 《 AWS Organizations 入門》

  • IPAM 帳戶使用的 IAM 角色所連接的 IAM 政策必須允許 iam:CreateServiceLinkedRole 動作。當您建立 IPAM 時,您將自動建立 AWSServiceRoleForIPAM 服務連結角色。

  • 與 AWS Organizations 管理帳戶相關聯的使用者必須使用已連接下列 IAM 政策動作的 IAM 角色:

    • ec2:EnableIpamOrganizationAdminAccount

    • organizations:EnableAwsServiceAccess

    • organizations:RegisterDelegatedAdministrator

    • iam:CreateServiceLinkedRole

    如需有關建立 IAM 角色的詳細資訊,請參閱《IAM 使用者指南》中的建立角色以委派許可給 IAM 使用者

  • 與 AWS Organizations 管理帳戶相關聯的使用者可以使用 IAM 角色,該角色已連接下列 IAM 政策動作,以列出您目前的 AWS Orgs 委派管理員: organizations:ListDelegatedAdministrators

AWS Management Console
選取 IPAM 帳戶

  1. 使用 AWS Organizations 管理帳戶,在 https://https://console.aws.amazon.com/ipam/ 開啟 IPAM 主控台。

  2. 在 AWS 管理主控台中,選擇您要在其中使用 IPAM AWS 的區域。

  3. 在導覽窗格中,選擇 Organization settings (組織設定)

  4. 委派選項只有在您已以 AWS Organizations 管理帳戶身分登入 主控台時才能使用。選擇委派

  5. 輸入 IPAM AWS 帳戶的帳戶 ID。IPAM 管理員必須是 AWS Organizations 成員帳戶。

  6. 選擇 Save changes (儲存變更)。

Command line

本節中的命令連結至 CLI AWS 參考文件。本文件旨在詳細說明執行命令時可使用的選項。

當您將 Organizations 成員帳戶委派為 IPAM 帳戶時,IPAM 會自動在組織的所有成員帳戶中建立服務連結的 IAM 角色。IPAM 會擔任每個成員帳戶中的服務連結 IAM 角色、探索資源及其 CIDR,並將其與 IPAM 整合,以監控這些帳戶中的 IP 地址使用情況。IPAM 可以探索所有成員帳戶內的資源,無論其 Organizational Unit 為何。例如,如果有已建立 VPC 的成員帳戶,您將會在 IPAM 主控台的 Resources 區段中看到 VPC 及其 CIDR。

重要

委派 IPAM 管理員的 AWS Organizations 管理帳戶角色現在已完成。若要繼續使用 IPAM,IPAM 管理員帳戶必須登入 Amazon VPC IPAM 並建立 IPAM。