Durchsetzen der IPAM-Verwendung für die VPC-Erstellung mit SCPs - Amazon Virtual Private Cloud
IPAM beim Erstellen von VPCs erzwingenIPAM-Pool beim Erstellen von VPCs erzwingenErzwingen der Nutzung von IPAM für alle Organisationseinheiten außer einer bestimmten Liste von Organisationseinheiten

Durchsetzen der IPAM-Verwendung für die VPC-Erstellung mit SCPs

Anmerkung

Dieser Abschnitt gilt nur für Sie, wenn Sie IPAM für die Integration mit aktiviert haben AWS Organizations. Weitere Informationen finden Sie unter Integration von IPAM mit Konten in AWS Organizations.

In diesem Abschnitt wird beschrieben, wie Sie eine Dienstkontrollrichtlinie in AWS Organizations erstellen, die die Mitglieder Ihrer Organisation verpflichtet, IPAM zu verwenden, wenn sie eine VPC erstellen. Service-Kontrollrichtlinien (Service Control Policies, SCPs) sind eine Art von Organisationsrichtlinien, die Sie zum Verwalten von Berechtigungen in Ihrer Organisation verwenden können. Weitere Informationen finden Sie unter Service-Kontrollrichtlinien im AWS Organizations-Benutzerhandbuch.

IPAM beim Erstellen von VPCs erzwingen

Führen Sie die Schritte in diesem Abschnitt aus, um zu verlangen, dass Mitglieder Ihrer Organisation IPAM verwenden, wenn Sie VPCs erstellen.

So erstellen Sie einen SCP und beschränken die VPC-Erstellung auf IPAM

  1. Befolgen Sie die Schritte unter Erstellen einer Service-Kontrollrichtlinie im AWS Organizations-Benutzerhandbuch und geben Sie den folgenden Text in den JSON-Editor ein:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
       "Effect": "Deny",
        "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
        "Resource": "arn:aws:ec2:*:*:vpc/*",
        "Condition": {
            "Null": {
                "ec2:Ipv4IpamPoolId": "true"
            }
        }
     }]
}

  2. Fügen Sie die Richtlinie einer oder mehreren Organisationseinheiten in Ihrem Unternehmen zu. Weitere Informationen finden Sie unter Anfügen und Trennen von Richtlinien im AWS Organizations-Benutzerhandbuch.

IPAM-Pool beim Erstellen von VPCs erzwingen

Führen Sie die Schritte in diesem Abschnitt aus, um zu verlangen, dass Mitglieder Ihrer Organisation bei der Erstellung von VPCs einen bestimmten IPAM-Pool verwenden.

So erstellen Sie einen SCP und beschränken die VPC-Erstellung auf einen IPAM-Pool

  1. Befolgen Sie die Schritte unter Erstellen einer Service-Kontrollrichtlinie im AWS Organizations-Benutzerhandbuch und geben Sie den folgenden Text in den JSON-Editor ein:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Deny",
        "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
        "Resource": "arn:aws:ec2:*:*:vpc/*",
        "Condition": {
            "StringNotEquals": {
                "ec2:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg"
            }
          }
    }]
}

  2. Ändern Sie den ipam-pool-0123456789abcdefg-Beispielwert für die IPv4-Pool-ID, auf die Sie Benutzer beschränken möchten.

  3. Fügen Sie die Richtlinie einer oder mehreren Organisationseinheiten in Ihrem Unternehmen zu. Weitere Informationen finden Sie unter Anfügen und Trennen von Richtlinien im AWS Organizations-Benutzerhandbuch.

Erzwingen der Nutzung von IPAM für alle Organisationseinheiten außer einer bestimmten Liste von Organisationseinheiten

Führen Sie die Schritte in diesem Abschnitt aus, um IPAM für alle Organisationseinheiten außer einer bestimmten Liste von Organisationseinheiten zu erzwingen. Gemäß der in diesem Abschnitt beschriebenen Richtlinie müssen mit Ausnahme der Organisationseinheiten, die Sie in aws:PrincipalOrgPaths festlegen, alle Organisationseinheiten in der Organisation VPCs mithilfe von IPAM erstellen und erweitern. Die aufgelisteten Organisationseinheiten können beim Erstellen von VPCs entweder IPAM nutzen oder einen IP-Adressbereich manuell angeben.

So erstellen Sie eine SCP und erzwingen die Nutzung von IPAM für alle Organisationseinheiten außer einer bestimmten Liste von Organisationseinheiten

  1. Befolgen Sie die Schritte unter Erstellen einer Service-Kontrollrichtlinie im AWS Organizations-Benutzerhandbuch und geben Sie den folgenden Text in den JSON-Editor ein:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
	"Effect": "Deny",
	    "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
	    "Resource": "arn:aws:ec2:*:*:vpc/*",
	    "Condition": {
	        "Null": {
		      "ec2:Ipv4IpamPoolId": "true"
                },
	        "ForAnyValue:StringNotLike": {
	            "aws:PrincipalOrgPaths": [
	                "o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/",
	                "o-a1b2c3d4e5/r-ab12/ou-ab13-22222222/ou-ab13-33333333/"
	            ]
                }
            }
     }]
}

  2. Entfernen Sie die Beispielwerte (wie o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/) und fügen Sie die AWS-Organizations-Entitätspfade der Organisationseinheiten hinzu, bei denen die Option (aber nicht der Zwang) zur Nutzung von IPAM bestehen soll. Weitere Informationen zum Entitätspfad finden Sie unter Erläuterung des Entitätspfads von AWS Organizations und aws:PrincipalOrgPaths im Benutzerhandbuch von IAM.

  3. Fügen Sie die Richtlinie zum Organisations-Root hinzu. Weitere Informationen finden Sie unter Anfügen und Trennen von Richtlinien im AWS Organizations-Benutzerhandbuch.