Integration von IPAM mit Konten in AWS Organizations - Amazon Virtual Private Cloud

Integration von IPAM mit Konten in AWS Organizations

Optional können Sie die Schritte in diesem Abschnitt ausführen, um IPAM in AWS Organizations zu integrieren und ein Mitgliedskonto als IPAM-Konto zu delegieren.

Das IPAM-Konto ist dafür verantwortlich, ein IPAM zu erstellen und es zum Verwalten und Überwachen der IP-Adressnutzung zu verwenden.

Die Integration von IPAM mit AWS Organizations und das Delegieren eines IPAM-Administrators hat die folgenden Vorteile:

  • Geben Sie Ihre IPAM-Pools für Ihre Organisation frei: Wenn Sie ein IPAM-Konto delegieren, ermöglicht IPAM anderen AWS-Organizations-Mitgliedskonten in der Organisation, CIDRs aus IPAM-Pools zuzuweisen, die mit AWS Resource Access Manager (RAM) gemeinsam genutzt werden. Weitere Informationen zur Einstellung von Organizations finden Sie unter Was ist AWS Organizations? im Benutzerhandbuch zu AWS Organizations.

  • Überwachen der IP-Adressnutzung in Ihrer Organisation: Wenn Sie ein IPAM-Konto delegieren, erteilen Sie IPAM die Berechtigung, die IP-Nutzung über alle Ihre Konten hinweg zu überwachen. Infolgedessen importiert IPAM automatisch CIDRs, die von vorhandenen VPCs in anderen Mitgliedskonten von AWS Organizations verwendet werden, in IPAM.

Wenn Sie ein AWS-Organizations-Mitgliedskonto nicht als IPAM-Konto delegieren, überwacht IPAM die Ressourcen nur in dem AWS-Konto, das Sie zum Erstellen des IPAM verwenden.

Anmerkung

Bei der Integration mit AWS-Organizations:

  • Sie müssen die Integration mit AWS-Organizations aktivieren, indem Sie IPAM in der AWS-Managementkonsole oder den AWS-CLI-Befehl enable-ipam-organization-admin-account verwenden. Dadurch wird sichergestellt, dass die AWSServiceRoleForIPAM-serviceverknüpfte Rolle erstellt wird. Wenn Sie den vertrauenswürdigen Zugriff mit AWS-Organizations mithilfe der AWS-Organizations-Konsole oder des AWS-CLI-Befehls register-delegated-administrator aktivieren, wird die AWSServiceRoleForIPAM-serviceverknüpfte Rolle nicht erstellt, und Sie können keine Ressourcen innerhalb Ihrer Organisation verwalten oder überwachen.

  • Das IPAM-Konto muss ein Mitgliedskonto der AWS-Organizations sein. Sie können das AWS-Organizations-Verwaltungskonto nicht als IPAM-Konto verwenden. Um zu überprüfen, ob Ihr IPAM bereits in AWS-Organizations integriert ist, führen Sie die folgenden Schritte aus und zeigen Sie die Details der Integration in den Organisationseinstellungen an.

  • IPAM belastet Sie für jede aktive IP-Adresse, die es in den Mitgliedskonten Ihrer Organisation überwacht. Weitere Informationen zu Preisen finden Sie unter IPAM-Preise.

  • Sie müssen ein Konto in AWS-Organizations und ein Verwaltungskonto, das mit einem oder mehreren Mitgliedskonten eingerichtet wurde haben. Weitere Informationen zu den verschiedenen Kontotypen finden Sie unter Terminologie und Konzepte im Benutzerhandbuch zu AWS Organizations. Weitere Informationen zum Einrichten einer Organisation finden Sie unter Erste Schritte mit AWS-Organizations.

  • Das IPAM-Konto muss eine IAM-Rolle verwenden, der eine IAM-Richtlinie beigefügt ist, welche die Aktion iam:CreateServiceLinkedRole erlaubt. Wenn Sie das IPAM erstellen, erstellen Sie automatisch die serviceverknüpfte Rolle AWSServiceRoleForIPAM.

  • Der Benutzer, der mit dem AWS-Organizations-Verwaltungskonto verknüpft ist, muss eine IAM-Rolle verwenden, an der die folgenden IAM-Richtlinienaktionen angehängt sind:

    • ec2:EnableIpamOrganizationAdminAccount

    • organizations:EnableAwsServiceAccess

    • organizations:RegisterDelegatedAdministrator

    • iam:CreateServiceLinkedRole

    Weitere Informationen zum Erstellen einer IAM-Rolle finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer im IAM-Benutzerhandbuch.

  • Der Benutzer, der mit dem Verwaltungskonto der AWS Organizations verknüpft ist, kann eine IAM-Rolle verwenden, der die folgenden IAM-Richtlinienaktionen zugeordnet sind, um Ihre aktuellen delegierten Administratoren der AWS Organizations aufzulisten: organizations:ListDelegatedAdministrators

AWS Management Console
So wählen Sie ein IPAM-Konto aus

  1. Melden Sie sich mit dem AWS-Organizations-Verwaltungskonto an und öffnen Sie die IPAM-Konsole unter https://console.aws.amazon.com/ipam/.

  2. Wählen Sie in der AWS-Managementkonsole die AWS-Region, in der Sie mit IPAM arbeiten möchten.

  3. Klicken Sie im Navigationsbereich auf Organization settings (Organisationseinstellungen).

  4. Die Option Delegieren ist nur verfügbar, wenn Sie sich mit dem Verwaltungskonto von AWS Organizations bei der Konsole angemeldet haben. Wählen Sie Delegieren.

  5. Geben Sie die AWS-Konto-ID für in IPAM-Konto ein. Der IPAM-Administrator muss ein Mitgliedskontoinhaber von AWS Organizations sein.

  6. Wählen Sie Änderungen speichern aus.

Command line

Die Befehle in diesem Abschnitt sind mit der AWS CLI-Befehlsreferenz verknüpft. Die Dokumentation enthält detaillierte Beschreibungen der Optionen, die Sie beim Ausführen der Befehle verwenden können.

Wenn Sie ein Mitgliedskonto für Organizations als IPAM-Konto delegieren, erstellt IPAM automatisch eine dienstgebundene IAM-Rolle in allen Mitgliedskonten in Ihrer Organisation. IPAM überwacht die Verwendung der IP-Adresse in diesen Konten, indem es die dienstgebundene IAM-Rolle in jedem Mitgliedskonto übernimmt, die Ressourcen und ihre CIDRs erkennt und sie in IPAM integriert. Die Ressourcen in allen Mitgliedskonten können von IPAM unabhängig von ihrer Organisationseinheit gefunden werden. Wenn es beispielsweise Mitgliedskonten gibt, die eine VPC erstellt haben, sehen Sie die VPC und ihr CIDR im Abschnitt Ressourcen der IPAM-Konsole.

Wichtig

Die Rolle des AWS Organizations-Verwaltungskonto, das den IPAM-Administrator delegiert hat, ist jetzt abgeschlossen. Um IPAM weiterhin verwenden zu können, muss sich das IPAM-Administratorkonto bei Amazon VPC IPAM anmelden und ein IPAM erstellen.