Ausschließen von Organisationseinheiten von IPAM - Amazon Virtual Private Cloud
So funktionieren OU-AusschlüsseHinzufügen oder Entfernen von OU-Ausschlüssen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ausschließen von Organisationseinheiten von IPAM

Wenn Ihr IPAM in AWS Organizations integriert ist, können Sie eine Organisationseinheit (OU) von der Verwaltung durch IPAM ausschließen. Wenn Sie eine Organisationseinheit ausschließen, verwaltet IPAM die IP-Adressen der Konten in dieser Organisationseinheit nicht. Dieses Feature bietet Ihnen mehr Flexibilität bei der Verwendung von IPAM.

Sie können OU-Ausschlüsse auf folgende Weise verwenden:

  • Aktivieren Sie IPAM für bestimmte Teile Ihres Unternehmens: Wenn Sie mehrere Geschäftsbereiche oder Tochtergesellschaften in AWS Organizations haben, können Sie IPAM jetzt nur für die Bereiche nutzen, die es benötigen.

  • Halten Sie Ihre Sandbox-Konten getrennt: Sie können Ihre Sandbox-Konten von IPAM ausschließen und sich nur auf die Konten konzentrieren, die für Ihr IP-Management wirklich wichtig sind.

So funktionieren OU-Ausschlüsse

Die Diagramme in diesem Abschnitt zeigen zwei Anwendungsfälle für das Hinzufügen von OU-Ausschlüssen in IPAM.

Das erste Diagramm zeigt die Auswirkungen des Hinzufügens eines Ausschlusses einer Organisationseinheit (OU) nur auf eine übergeordnete OU. Infolgedessen verwaltet IPAM die IP-Adressen in Konten in der übergeordneten OU nicht. IPAM verwaltet die IP-Adressen der Konten in den anderen Konten OUs außerhalb der Ausnahmeregelung.

Diagramm des OU-Ausschlusses auf der übergeordneten OU

Das zweite Diagramm zeigt, wie sich das Hinzufügen eines Ausschlusses aus Organisationseinheiten (OU) auf eine übergeordnete Organisationseinheit und alle OUs untergeordneten Einheiten auswirkt. Daher verwaltet IPAM nicht die IP-Adressen in Konten in der übergeordneten Organisationseinheit oder in Konten OUs untergeordneter Organisationen. IPAM verwaltet die IP-Adressen in Konten OUs außerhalb der Ausnahmeregelung.

Diagramm des Ausschlusses von Organisationseinheiten für übergeordnete Organisationseinheiten und alle Kinder OUs.

Hinzufügen oder Entfernen von OU-Ausschlüssen

Führen Sie die Schritte in diesem Abschnitt aus, um OU-Ausschlüsse hinzuzufügen oder zu entfernen.

Anmerkung

  • Das delegierte IPAM-Administratorkonto wird nicht ausgeschlossen, auch wenn es sich in einer ausgeschlossenen OU befindet.

  • Ihr IPAM muss integriert sein AWS Organizations , um einen OU-Ausschluss hinzuzufügen. Die Organisation muss etwas OUs enthalten.

  • Sie müssen der delegierte IPAM-Administrator sein, um OU-Ausschlüsse anzuzeigen, hinzuzufügen oder zu entfernen.

  • Es dauert einige Zeit, bis IPAM kürzlich erstellte Organisationseinheiten erkennt.

  • Es gibt ein Standardkontingent für die Anzahl der Ausschlüsse, die Sie pro Ressourcenerkennung hinzufügen können. Weitere Informationen finden Sie unter Ausschlüsse von Organisationseinheiten pro Ressourcenerkennung in Kontingente für Ihr IPAM.

  • Wenn Sie eine Resource Discovery mit einem anderen Konto teilen, kann dieses Konto die zugehörigen OU-Ausschlüsse sehen, die Informationen wie die Organisations- und Root-ID sowie die Organisationseinheit IDs der Organisation des Besitzers der Resource Discovery enthalten.

AWS Management Console
So fügen Sie OU-Ausschlüsse hinzu oder entfernen sie

  1. Öffnen Sie die IPAM-Konsole unter. https://console.aws.amazon.com/ipam/

  2. Wählen Sie im Navigationsbereich Ressourcenergebnisse aus.

  3. Wählen Sie Ihre standardmäßige Ressourcenerkennung aus.

  4. Wählen Sie Bearbeiten aus.

  5. Gehen Sie unter Ausschlüsse von Organisationseinheiten wie folgt vor:

    • So fügen Sie einen OU-Ausschluss hinzu:

      • Gehen Sie wie folgt vor, wenn Sie die Organisationseinheit und ihr gesamtes OUs untergeordnetes Element ausschließen möchten:

        • Suchen Sie die OU in der Tabelle und aktivieren Sie das Kontrollkästchen. Alle untergeordneten OUs Elemente werden automatisch ausgewählt.

      • Wenn Sie nur übergeordnete OU-Konten ausschließen möchten:

        • Suchen Sie die OU in der Tabelle und aktivieren Sie das Kontrollkästchen. Alle Kinder OUs werden automatisch ausgewählt. Alle Kinder OUs abwählen.

      • Alternativ können Sie die Spalte Aktionen verwenden, um nur eine übergeordnete Organisationseinheit oder ein Elternteil und ein Kind OUs auszuwählen:

        • Alle Kinder auswählen OUs: Schließt jedes Kind OUs in den Ausschluss ein. Nach der Auswahl einer OU wird die OU auf dem Bildschirm hinzugefügt. Jede OU enthält die ID und den Pfad der Entität des OU-Ausschlusses.

        • Nur diese OU auswählen: Beziehen Sie nur diese OU in den Ausschluss ein. Nach der Auswahl einer OU wird die OU auf dem Bildschirm hinzugefügt. Jede OU enthält die ID und den Pfad der Entität des OU-Ausschlusses.

        • Pfad der OU-Entität kopieren: Kopieren Sie den Pfad der Organisationseinheit, um ihn nach Bedarf zu verwenden.

      • Wenn Sie den Entitätspfad der AWS Organizations bereits kennen oder ihn erstellen möchten:

        • Wählen Sie Ausschluss der Organisationseinheit eingeben aus und geben Sie den Pfad der Entität des OU-Ausschlusses ein. Erstellen Sie den Pfad für die OU (s) mithilfe von AWS Organizations, die durch a IDs getrennt sind/. Schließen Sie alle untergeordneten OUs Elemente ein, indem Sie den Pfad mit beenden/*.

          • Beispiel 1

            • Pfad zu einer untergeordneten OU: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/

            • In diesem Beispiel o-a1b2c3d4e5 ist es die Organisations-ID, r-f6g7h8i9j0example ist die Root-ID, ou-ghi0-awsccccc ist eine OU-ID und ou-jkl0-awsddddd ist eine untergeordnete OU-ID.

            • IPAM verwaltet die IP-Adressen der Konten in der untergeordneten OU nicht.

          • Beispiel 2

            • Pfad, in dem alle untergeordneten Elemente Teil des Ausschlusses sein OUs werden: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*

            • In diesem Beispiel verwaltet IPAM nicht die IP-Adressen in Konten in der Organisationseinheit (ou-ghi0-awsccccc) oder in Konten in Konten in Konten OUs , die der Organisationseinheit untergeordnet sind.

    • So entfernen Sie einen OU-Ausschluss:

      • Wählen Sie das X neben einer OU aus, die bereits hinzugefügt wurde. Die ID /* hinter der Organisationseinheit gibt an, dass es sich um eine übergeordnete Organisationseinheit OUs handelt und dass das untergeordnete Unternehmen Teil des Ausschlusses der Organisationseinheit ist.

  6. Wählen Sie Änderungen speichern aus.

Command line

Die Befehle in diesem Abschnitt sind mit der AWS CLI Befehlsreferenz verknüpft. Die Dokumentation enthält detaillierte Beschreibungen der Optionen, die Sie beim Ausführen der Befehle verwenden können.

  1. Zeigen Sie die Details zur Ressourcenerkennung an, um die ID der Standardressourcensuche für den nächsten Schritt mit abzurufen describe-ipam-resource-discoveries.

    Eingabe:

    aws ec2 describe-ipam-resource-discoveries

    Ausgabe:

    {                                                                                                                              
    "IpamResourceDiscoveries": [                                                                                               
        {                                                                                                                      
            "OwnerId": "111122223333",                                                                                         
            "IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",                                                     
            "IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",  
            "IpamResourceDiscoveryRegion": "us-east-1",                                                                        
            "OperatingRegions": [                                                                                              
                {                                                                                                              
                    "RegionName": "us-east-1"                                                                                  
                },                                                                                                             
                {                                                                                                              
                    "RegionName": "us-west-1"                                                                                  
                },                                                                                                             
                {                                                                                                              
                    "RegionName": "us-west-2"                                                                                  
                }                                                                                                              
            ],                                                                                                                 
            "IsDefault": true,                                                                                                 
            "State": "modify-complete",                                                                                        
            "Tags": []                                                                                                         
        }                                                                                                                      
    ]                                                                                                                          
}

  2. Fügen Sie mit den --remove-organizational-unit-exclusions Optionen oder oder einen Ausschluss einer Organisationseinheit zu einer modify-ipam-resource-discoveryRessourcensuche hinzu --add-organizational-unit-exclusions oder entfernen Sie ihn. Sie müssen einen Entitätspfad für AWS Organizations eingeben. Erstellen Sie den Pfad für die OU (s) mithilfe von AWS Organizations, die durch a IDs getrennt sind/. Schließen Sie alle untergeordneten OUs Elemente ein, indem Sie den Pfad mit beenden/*. Sie können denselben Entitätspfad nicht mehr als einmal in die Parameter zum Hinzufügen oder Entfernen aufnehmen.

    • Beispiel 1

      • Pfad zu einer untergeordneten OU: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/

      • In diesem Beispiel o-a1b2c3d4e5 ist es die Organisations-ID, r-f6g7h8i9j0example ist die Root-ID, ou-ghi0-awsccccc ist eine OU-ID und ou-jkl0-awsddddd ist eine untergeordnete OU-ID.

      • IPAM verwaltet die IP-Adressen der Konten in der untergeordneten OU nicht.

    • Beispiel 2

      • Pfad, in dem alle untergeordneten Elemente Teil des Ausschlusses sein OUs werden: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*

      • In diesem Beispiel verwaltet IPAM nicht die IP-Adressen in Konten in der Organisationseinheit (ou-ghi0-awsccccc) oder in Konten in Konten in Konten OUs , die der Organisationseinheit untergeordnet sind.

    Anmerkung

    Die sich daraus ergebenden Ausschlüsse dürfen sich nicht „überschneiden“, d. h. zwei oder mehr Ausschlüsse aus der Organisationseinheit dürfen dieselbe Organisationseinheit nicht ausschließen.

    Beispiel für sich nicht überschneidende Entitätspfade:

    • Pfad 1 ="o-1/r-1/ou-1/“

    • Pfad 2 ="o-1/r-1/ou-1/ou-2/“

    Diese Pfade überschneiden sich nicht, da Pfad 1 nur die Konten unter ou-1 und Pfad 2 nur Konten unter ou-2 ausschließt.

    Beispiel für überlappende Entitätspfade:

    • Pfad 1 ="o-1/r-1/ou-1/*“

    • Pfad 2 ="o-1/r-1/ou-1/ou-2/“

    Diese Pfade überschneiden sich, weil Pfad 1 sowohl für „o-1/r-1/ou-1/“ als auch für „o-1/r-1/ou-1/ou-2/“ steht und „o-1/r-1/ou-1/ou-2/“ sich mit Pfad 2 überschneidet.

    Eingabe:

    aws ec2 modify-ipam-resource-discovery \
    --ipam-resource-discovery-id ipam-res-disco-1234567890abcdef0 \
    --add-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*' \
    --remove-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/' \
    --region us-east-1

    Ausgabe:

    {
    "IpamResourceDiscovery": {
        "OwnerId": "111122223333",
        "IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",
        "IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",
        "IpamResourceDiscoveryRegion": "us-east-1",
        "OperatingRegions": [
            {
                "RegionName": "us-east-1"
            }
        ],
        "IsDefault": false,
        "State": "modify-in-progress",
        "OrganizationalUnitExclusions": [
            {
                "OrganizationsEntityPath": "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*"
            }
        ]
    }
}