Ausschließen von Organisationseinheiten von IPAM - Amazon Virtual Private Cloud
So funktionieren OU-AusschlüsseHinzufügen oder Entfernen von OU-Ausschlüssen

Ausschließen von Organisationseinheiten von IPAM

Wenn Ihr IPAM in AWS Organizations integriert ist, können Sie jetzt eine Organisationseinheit (OU) von der Verwaltung durch IPAM ausschließen. Wenn Sie eine OU ausschließen, verwaltet IPAM die IP-Adressen der Konten in dieser OU nicht. Dieses Feature bietet Ihnen mehr Flexibilität bei der Verwendung von IPAM.

Sie können OU-Ausschlüsse auf folgende Weise verwenden:

  • Aktivieren Sie IPAM für bestimmte Teile Ihres Unternehmens: Wenn Sie mehrere Geschäftsbereiche oder Tochtergesellschaften in AWS Organizations haben, können Sie IPAM jetzt nur für die Bereiche nutzen, die es benötigen.

  • Halten Sie Ihre Sandbox-Konten getrennt: Sie können Ihre Sandbox-Konten von IPAM ausschließen und sich nur auf die Konten konzentrieren, die für Ihr IP-Management wirklich wichtig sind.

So funktionieren OU-Ausschlüsse

Die Diagramme in diesem Abschnitt veranschaulichen zwei Anwendungsfälle für das Hinzufügen von OU-Ausschlüssen in IPAM.

Das erste Diagramm zeigt die Auswirkungen des Hinzufügens eines Ausschlusses einer Organisationseinheit (OU) nur auf eine übergeordnete OU. Infolgedessen verwaltet IPAM die IP-Adressen in Konten in der übergeordneten OU nicht. IPAM verwaltet die IP-Adressen der Konten in den anderen OUs außerhalb des Ausschlusses.

Diagramm des OU-Ausschlusses auf der übergeordneten OU

Das zweite Diagramm zeigt die Auswirkungen des Hinzufügens eines Ausschlusses einer Organisationseinheit (OU) auf eine übergeordnete OU und alle untergeordneten OUs. Infolgedessen verwaltet IPAM nicht die IP-Adressen in Konten in der übergeordneten OU oder in Konten in untergeordneten OUs. IPAM verwaltet die IP-Adressen der Konten in den OUs außerhalb des Ausschlusses.

Diagramm des OU-Ausschlusses für die übergeordnete OU und alle untergeordneten OUs.

Hinzufügen oder Entfernen von OU-Ausschlüssen

Führen Sie die Schritte in diesem Abschnitt aus, um OU-Ausschlüsse hinzuzufügen oder zu entfernen.

Anmerkung

  • Das delegierte IPAM-Administratorkonto wird nicht ausgeschlossen, auch wenn es sich in einer ausgeschlossenen OU befindet.

  • Ihr IPAM muss in AWS Organizations integriert sein, um einen OU-Ausschluss hinzuzufügen. Die Organisation muss über OUs verfügen.

  • Sie müssen der delegierte IPAM-Administrator sein, um OU-Ausschlüsse anzuzeigen, hinzuzufügen oder zu entfernen.

  • Es dauert einige Zeit, bis IPAM kürzlich erstellte Organisationseinheiten erkennt.

  • Es gibt ein Standardkontingent für die Anzahl der Ausschlüsse, die Sie pro Ressourcenerkennung hinzufügen können. Weitere Informationen finden Sie unter Ausschlüsse von Organisationseinheiten pro Ressourcenerkennung in Kontingente für Ihr IPAM.

  • Wenn Sie eine Ressourcenerkennung für ein anderes Konto freigeben, kann dieses Konto die OU-Ausschlüsse sehen, die Informationen wie die Organisations-ID, die Stamm-ID und die Organisationseinheits-IDs der Organisation des Eigentümers der Ressourcenerkennung enthalten.

AWS Management Console
So fügen Sie OU-Ausschlüsse hinzu oder entfernen sie

  1. Öffnen Sie die IPAM-Konsole unter https://console.aws.amazon.com/ipam/.

  2. Wählen Sie im Navigationsbereich Ressourcenergebnisse aus.

  3. Wählen Sie Ihre standardmäßige Ressourcenerkennung aus.

  4. Wählen Sie Bearbeiten aus.

  5. Gehen Sie unter Ausschlüsse von Organisationseinheiten wie folgt vor:

    • So fügen Sie einen OU-Ausschluss hinzu:

      • Wenn Sie die OU und alle ihre untergeordneten OUs ausschließen möchten:

        • Suchen Sie die OU in der Tabelle und aktivieren Sie das Kontrollkästchen. Alle untergeordneten OUs werden automatisch ausgewählt.

      • Wenn Sie nur übergeordnete OU-Konten ausschließen möchten:

        • Suchen Sie die OU in der Tabelle und aktivieren Sie das Kontrollkästchen. Alle untergeordneten OUs werden automatisch ausgewählt. Heben Sie die Auswahl aller untergeordneten OUs auf.

      • Verwenden Sie alternativ die Spalte Aktionen, um nur eine übergeordnete OU oder übergeordnete und untergeordnete OUs auszuwählen:

        • Alle untergeordneten OUs auswählen: Beziehen Sie alle untergeordneten OUs in den Ausschluss ein. Nach der Auswahl einer OU wird die OU auf dem Bildschirm hinzugefügt. Jede OU enthält die ID und den Pfad der Entität des OU-Ausschlusses.

        • Nur diese OU auswählen: Beziehen Sie nur diese OU in den Ausschluss ein. Nach der Auswahl einer OU wird die OU auf dem Bildschirm hinzugefügt. Jede OU enthält die ID und den Pfad der Entität des OU-Ausschlusses.

        • Pfad der OU-Entität kopieren: Kopieren Sie den Organisations-Entitätspfad, um ihn bei Bedarf zu verwenden.

      • Wenn Sie den Entitätspfad der AWS Organizations bereits kennen oder ihn erstellen möchten:

        • Wählen Sie Ausschluss der Organisationseinheit eingeben aus und geben Sie den Pfad der Entität des OU-Ausschlusses ein. Erstellen Sie den Pfad für die OU(s) unter Verwendung von AWS-Organizations-IDs, die durch einen / getrennt sind. Schließen Sie alle untergeordneten OUs ein, indem Sie den Pfad mit /* beenden.

          • Beispiel 1

            • Pfad zu einer untergeordneten OU: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/

            • In diesem Beispiel ist o-a1b2c3d4e5 die Organisations-ID, r-f6g7h8i9j0example ist die Stamm-ID, ou-ghi0-awsccccc ist eine OU-ID und ou-jkl0-awsddddd ist eine untergeordnete OU-ID.

            • IPAM verwaltet die IP-Adressen der Konten in der untergeordneten OU nicht.

          • Beispiel 2

            • Pfad, in dem alle untergeordneten OUs Teil des Ausschlusses sind: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*

            • In diesem Beispiel verwaltet IPAM nicht die IP-Adressen in Konten in der OU (ou-ghi0-awsccccc) oder in Konten in anderen OUs, die der OU untergeordnet sind.

    • So entfernen Sie einen OU-Ausschluss:

      • Wählen Sie das X neben einer OU aus, die bereits hinzugefügt wurde. Das /* nach der OU-ID zeigt an, dass es sich um eine übergeordnete OU handelt und dass untergeordnete OUs Teil des OU-Ausschlusses sind.

  6. Wählen Sie Änderungen speichern aus.

Command line

Die Befehle in diesem Abschnitt sind mit der AWS CLI-Befehlsreferenz verknüpft. Die Dokumentation enthält detaillierte Beschreibungen der Optionen, die Sie beim Ausführen der Befehle verwenden können.

  1. Zeigen Sie die Details der Ressourcenerkennung an, um die ID der Standard-Ressourcenerkennung für den nächsten Schritt mit describe-ipam-resource-discoveries abzurufen.

    Eingabe:

    aws ec2 describe-ipam-resource-discoveries

    Ausgabe:

    {                                                                                                                              
    "IpamResourceDiscoveries": [                                                                                               
        {                                                                                                                      
            "OwnerId": "111122223333",                                                                                         
            "IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",                                                     
            "IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",  
            "IpamResourceDiscoveryRegion": "us-east-1",                                                                        
            "OperatingRegions": [                                                                                              
                {                                                                                                              
                    "RegionName": "us-east-1"                                                                                  
                },                                                                                                             
                {                                                                                                              
                    "RegionName": "us-west-1"                                                                                  
                },                                                                                                             
                {                                                                                                              
                    "RegionName": "us-west-2"                                                                                  
                }                                                                                                              
            ],                                                                                                                 
            "IsDefault": true,                                                                                                 
            "State": "modify-complete",                                                                                        
            "Tags": []                                                                                                         
        }                                                                                                                      
    ]                                                                                                                          
}

  2. Fügen Sie mit modify-ipam-resource-discovery und den Optionen --add-organizational-unit-exclusions oder --remove-organizational-unit-exclusions einen Ausschluss einer Organisationseinheit zu einer Ressourcenerkennung hinzu oder entfernen Sie ihn. Sie müssen einen Pfad für eine AWS-Organisationseinheit eingeben. Erstellen Sie den Pfad für die OU(s) unter Verwendung von AWS-Organizations-IDs, die durch einen / getrennt sind. Schließen Sie alle untergeordneten OUs ein, indem Sie den Pfad mit /* beenden. Sie können denselben Entitätspfad nicht mehr als einmal in die Parameter zum Hinzufügen oder Entfernen aufnehmen.

    • Beispiel 1

      • Pfad zu einer untergeordneten OU: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/

      • In diesem Beispiel ist o-a1b2c3d4e5 die Organisations-ID, r-f6g7h8i9j0example ist die Stamm-ID, ou-ghi0-awsccccc ist eine OU-ID und ou-jkl0-awsddddd ist eine untergeordnete OU-ID.

      • IPAM verwaltet die IP-Adressen der Konten in der untergeordneten OU nicht.

    • Beispiel 2

      • Pfad, in dem alle untergeordneten OUs Teil des Ausschlusses sind: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*

      • In diesem Beispiel verwaltet IPAM nicht die IP-Adressen in Konten in der OU (ou-ghi0-awsccccc) oder in Konten in anderen OUs, die der OU untergeordnet sind.

    Anmerkung

    Der resultierende Satz von Ausschlüssen darf sich nicht „überschneiden“, d. h. zwei oder mehr OU-Ausschlüsse dürfen nicht dieselbe OU ausschließen.

    Beispiel für sich nicht überschneidende Entitätspfade:

    • Pfad 1 =„o-1/r-1/ou-1/“

    • Pfad 2 =„o-1/r-1/ou-1/ou-2/“

    Diese Pfade überschneiden sich nicht, da Pfad 1 nur die Konten unter ou-1 und Pfad 2 nur Konten unter ou-2 ausschließt.

    Beispiel für sich überschneidende Entitätspfade:

    • Pfad 1 =„o-1/r-1/ou-1/*“

    • Pfad 2 =„o-1/r-1/ou-1/ou-2/“

    Diese Pfade überschneiden sich, weil Pfad 1 sowohl für „o-1/r-1/ou-1/“ als auch für „o-1/r-1/ou-1/ou-2/“ steht und „o-1/r-1/ou-1/ou-2/“ sich mit Pfad 2 überschneidet.

    Eingabe:

    aws ec2 modify-ipam-resource-discovery \
    --ipam-resource-discovery-id ipam-res-disco-1234567890abcdef0 \
    --add-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*' \
    --remove-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/' \
    --region us-east-1

    Ausgabe:

    {
    "IpamResourceDiscovery": {
        "OwnerId": "111122223333",
        "IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",
        "IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",
        "IpamResourceDiscoveryRegion": "us-east-1",
        "OperatingRegions": [
            {
                "RegionName": "us-east-1"
            }
        ],
        "IsDefault": false,
        "State": "modify-in-progress",
        "OrganizationalUnitExclusions": [
            {
                "OrganizationsEntityPath": "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*"
            }
        ]
    }
}