Intégration d'IPAM aux comptes d'une organisation AWS - Amazon Virtual Private Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Intégration d'IPAM aux comptes d'une organisation AWS

Vous pouvez également suivre les étapes décrites dans cette rubrique pour intégrer IPAM à AWS Organizations et déléguer un compte membre comme compte IPAM.

Le compte IPAM est responsable de la création d'un IPAM et de son utilisation pour gérer et contrôler l'utilisation des adresses IP.

L'intégration d'IPAM à AWS Organizations et la délégation d'un administrateur IPAM présentent les avantages suivants :

  • Partagez vos groupes IPAM avec votre organisation : lorsque vous déléguez un compte IPAM, IPAM active d'autres comptes membres AWS Organizations pour allouer des CIDR à partir de groupes IPAM partagés à l'aide de AWS Resource Access Manager (RAM). Pour plus d'informations sur la configuration d'une organisation, consultez Qu'est-ce qu'AWS Organizations ? dans le Guide de l'utilisateur AWS Organizations.

  • Contrôlez l'utilisation des adresses IP dans votre organisation : lorsque vous déléguez un compte IPAM, vous autorisez IPAM à contrôler l'utilisation de l'IP sur tous vos comptes. Ainsi, IPAM importe automatiquement les CIDR utilisés par les VPC existants sur d'autres comptes membres AWS Organizations dans IPAM.

Si vous ne déléguez pas de compte membre AWS Organizations comme compte IPAM, IPAM ne contrôlera les ressources que dans le compte AWS que vous utilisez pour créer l'IPAM.

Note

Lors de l'intégration à AWS Organizations :

  • Vous devez activer l'intégration avecAWSOrganizations à l'aide d'IPAM dans AWSle console de gestion ou l'interface de ligne de commande enable-ipam-organization-admin-account AWS. Cela garantit que leAWSServiceRoleForIPAM rôle lié à un service est créé. Si vous activez l'accès approuvé avec AWSOrganizations en utilisant leAWSConsole Organizations ou la commande de l'interface de ligne de commanderegister-delegated-administrator AWS, AWSServiceRoleForIPAM le rôle lié au service n'est pas créé et vous ne pouvez ni gérer ni surveiller les ressources au sein de votre organisation.

  • Le compte IPAM doit être un compte membre des organisations AWS. Vous ne pouvez pas utiliser le compte de gestion AWS Organizations comme compte IPAM. Pour vérifier si votre IPAM est déjà intégré aux organisations AWS, suivez les étapes ci-dessous et consultez les détails de l’intégration dans les paramètres de l’organisation.

  • IPAM vous facture chaque adresse IP active qu'il contrôle dans vos comptes membres de votre organisation. Pour plus d'informations sur la tarification, consultez Tarification IPAM.

  • Vous devez posséder un compte dans AWS Organizations et un compte de gestion configuré avec un ou plusieurs comptes membres. Pour plus d'informations sur les différents types de comptes, consultez Terminologie et concepts dans le Guide de l'utilisateur AWS Organizations. Pour plus d'informations sur la configuration d'une organisation, consultez Prise en main d'AWS Organizations.

  • Le compte IPAM doit utilisé un rôle IAM avec une politique IAM, qui lui est attachée, qui autorise l'action iam:CreateServiceLinkedRole. Lorsque vous créez l'IPAM, vous créez automatiquement le rôle lié au service AWSServiceRoleForIPAM.

  • L'utilisateur associé au compte de gestion AWS Organizations doit être utiliser un rôle IAM qui a les actions de politique IAM suivantes attachées :

    • ec2:EnableIpamOrganizationAdminAccount

    • organizations:EnableAwsServiceAccess

    • organizations:RegisterDelegatedAdministrator

    • iam:CreateServiceLinkedRole

    Pour en savoir plus sur la création de rôles IAM, consultez la section Création d'un rôle pour la délégation d'autorisations à un utilisateur IAM dans le Guide de l'utilisateur IAM.

  • L’utilisateur associé au compte de gestion des organisations AWS peut utiliser un rôle IAM auquel sont attachées les actions de politique IAM suivantes pour dresser la liste de vos administrateurs délégués AWS Orgs actuels : organizations:ListDelegatedAdministrators

AWS Management Console
Sélection d'un compte IPAM

  1. À l'aide du compte de gestion AWS Organizations, ouvrez la console IPAM à l'adresse suivante : https://console.aws.amazon.com/ipam/.

  2. Dans la console de gestion AWS, sélectionnez la Région AWS dans laquelle vous souhaitez travailler avec IPAM.

  3. Dans le panneau de navigation, choisissez Organization settings (Paramètres de l'organisation).

  4. L'option Déléguer n'est disponible que si vous êtes connecté à la console en tant que compte de gestion AWS Organizations. Choisisssez Delegate (Déléguer).

  5. Saisissez l'ID de compte AWS d'un compte IPAM. L'administrateur IPAM doit être un compte membre AWS Organizations.

  6. Sélectionnez Enregistrer les modifications.

Command line

Les commandes de cette section renvoient vers la documentation de référence sur les commandes de l’AWS CLI. La documentation fournit des descriptions détaillées des options que vous pouvez utiliser lorsque vous exécutez les commandes.

Lorsque vous déléguez un compte membre Organizations comme compte IPAM, IPAM crée automatiquement un rôle IAM lié au service dans tous les comptes membres de votre organisation. IPAM contrôle l'utilisation des adresses IP dans ces comptes en assumant le rôle IAM lié au service dans chaque compte membre, en découvrant les ressources et leurs CIDR et en les intégrant à IPAM. Les ressources de tous les comptes membres pourront être découvertes par IPAM, quelle que soit leur unité organisationnelle. Si des comptes membres ont créé un VPC, par exemple, vous verrez le VPC et son CIDR dans la section Ressources de la console IPAM.

Important

Le rôle du compte de gestion AWS Organizations qui a délégué l'administrateur IPAM est maintenant terminé. Pour poursuivre l'utilisation d'IPAM, le compte administrateur IPAM doit se connecter à Amazon VPC IPAM et créer un IPAM.