Exclure les unités organisationnelles d’IPAM - Amazon Virtual Private Cloud
Comment fonctionnent les exclusions UOAjouter ou supprimer des exclusions d’UO

Exclure les unités organisationnelles d’IPAM

Si votre IPAM est intégré à AWS Organizations , vous pouvez désormais exclure une unité organisationnelle (UO) de la gestion par l’IPAM. Si vous excluez une UO, l’IPAM ne gérera pas les adresses IP des comptes de cette UO. Cette fonctionnalité vous donne une plus grande flexibilité dans la façon dont vous utilisez IPAM.

Vous pouvez utiliser les exclusions d’UO comme suit :

  • Activer IPAM pour des secteurs spécifiques de votre entreprise : si vous avez plusieurs unités commerciales ou filiales dans les organisations AWS, vous pouvez désormais utiliser IPAM uniquement pour celles qui en ont besoin.

  • Séparer vos comptes d’environnement de test (sandbox) : vous pouvez exclure vos comptes d’environnement de test (sandbox) d’IPAM, en vous concentrant uniquement sur les comptes réellement importants pour la gestion de votre IP.

Comment fonctionnent les exclusions UO

Les diagrammes de cette section illustrent deux cas d’utilisation permettant d’ajouter des exclusions UO dans l’IPAM.

Le premier diagramme montre l’impact de l’ajout d’une exclusion d’unité organisationnelle (UO) sur une UO parent uniquement. Par conséquent, IPAM ne gérera pas les adresses IP des comptes de l’UO parent. IPAM gérera les adresses IP des comptes des autres UO en dehors de l’exclusion.

Schéma de l’exclusion d’UO sur l’UO parent

Le deuxième diagramme montre l’impact de l’ajout d’une exclusion d’unité organisationnelle (UO) sur une UO parent et sur toutes les UO enfants. Par conséquent, IPAM ne gérera pas les adresses IP des comptes de l’UO parent ou des comptes des UO enfants. IPAM gérera les adresses IP des comptes des UO en dehors de l’exclusion.

Schéma de l’exclusion des UO sur les UO parents et sur toutes les UO enfants.

Ajouter ou supprimer des exclusions d’UO

Suivez les étapes de cette section pour ajouter ou supprimer des exclusions d’UO.

Note

  • Le compte administrateur IPAM délégué n’est pas exclu même s’il se trouve au sein d’une UO exclue.

  • Votre IPAM doit être intégré à AWS Organizations pour ajouter une exclusion d’UO. L’organisation doit comporter des UO.

  • Vous devez être l’administrateur IPAM délégué pour afficher, ajouter ou supprimer des exclusions d’UO.

  • IPAM met du temps à découvrir les unités organisationnelles récemment créées.

  • Il existe un quota par défaut pour le nombre d’exclusions que vous pouvez ajouter par découverte de ressources. Pour plus d’informations, consultez la section Exclusions d’unités organisationnelles par découverte de ressources dans Quotas pour votre IPAM.

  • En cas de partage d’une découverte de ressources avec un autre compte, ce compte peut voir les exclusions d’UO, qui contiennent des informations telles que l’ID de l’organisation, l’ID racine et les ID des UO de l’organisation du propriétaire de la découverte de ressources.

AWS Management Console
Ajout ou suppression des exclusions d’UO

  1. Ouvrez la console IPAM à partir de l'adresse https://console.aws.amazon.com/ipam/.

  2. Dans le volet de navigation, sélectionnez Découvertes de ressources.

  3. Sélectionnez votre découverte de ressources par défaut.

  4. Choisissez Modifier.

  5. Sous Exclusions des unités organisationnelles, procédez comme suit :

    • Pour ajouter une exclusion d’UO:

      • Si vous souhaitez exclure l’UO et toutes ses UO secondaires :

        • Trouvez l’UO dans le tableau et cochez la case. Toutes les UO enfants sont automatiquement sélectionnées.

      • Si vous souhaitez exclure uniquement les comptes de l’UO parent :

        • Trouvez l’UO dans le tableau et cochez la case. Toutes les UO enfants sont automatiquement sélectionnées. Désélectionnez toutes les UO enfants.

      • Vous pouvez également utiliser la colonne Actions pour sélectionner uniquement une UO parent ou des UO parent-enfant :

        • Sélectionner toutes les UO enfants : incluez toutes les UO enfants dans l’exclusion. À la suite du choix d’une UO, celle-ci est ajoutée à l’écran. Chaque UO contient l’ID et le chemin d’entité de l’exclusion de l’UO.

        • Sélectionner uniquement cette UO : incluez uniquement cette UO dans l’exclusion. À la suite du choix d’une UO, celle-ci est ajoutée à l’écran. Chaque UO contient l’ID et le chemin d’entité de l’exclusion de l’UO.

        • Copier le chemin de l’entité UO : copiez le chemin de l’entité d’organisation à utiliser selon les besoins.

      • Si vous connaissez déjà le chemin d’entité des organisations AWS ou si vous souhaitez le créer :

        • Choisissez Exclusion de l’UO d’entrée et entrez le chemin d’entité de l’exclusion de l’UO. Créez le chemin pour la ou les UO à l’aide des identifiants d’organisations AWS séparés par un /. Incluez toutes les UO enfants en terminant le chemin par /*.

          • Exemple 1

            • Chemin d’accès à une UO enfant : o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/

            • Dans cet exemple, o-a1b2c3d4e5 est l’ID de l’organisation, r-f6g7h8i9j0example est l’ID racine, ou-ghi0-awsccccc est l’ID d’une UO et ou-jkl0-awsddddd est l’ID d’une UO enfant.

            • IPAM ne gérera pas les adresses IP des comptes de l’UO enfant.

          • Exemple 2

            • Parcours dans lequel toutes les UO enfants feront partie de l’exclusion : o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*

            • Dans cet exemple, IPAM ne gérera pas les adresses IP des comptes de l’UO (ou-ghi0-awsccccc) ni des comptes des UO qui sont des enfants de l’UO.

    • Pour supprimer une exclusion d’UO:

      • Choisissez le X à côté d’une UO déjà ajoutée. La mention /* après l’ID de l’UO indique qu’il s’agit d’une UO parent et que les UO enfants font partie de l’exclusion de l’UO.

  6. Sélectionnez Enregistrer les modifications.

Command line

Les commandes de cette section renvoient vers la documentation de référence sur les commandes de l’AWS CLI. La documentation fournit des descriptions détaillées des options que vous pouvez utiliser lorsque vous exécutez les commandes.

  1. Consultez les détails de la découverte des ressources pour obtenir l’ID de la découverte de ressources par défaut pour l’étape suivante avec describe-ipam-resource-discovery.

    Entrée :

    aws ec2 describe-ipam-resource-discoveries

    Sortie :

    {                                                                                                                              
    "IpamResourceDiscoveries": [                                                                                               
        {                                                                                                                      
            "OwnerId": "111122223333",                                                                                         
            "IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",                                                     
            "IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",  
            "IpamResourceDiscoveryRegion": "us-east-1",                                                                        
            "OperatingRegions": [                                                                                              
                {                                                                                                              
                    "RegionName": "us-east-1"                                                                                  
                },                                                                                                             
                {                                                                                                              
                    "RegionName": "us-west-1"                                                                                  
                },                                                                                                             
                {                                                                                                              
                    "RegionName": "us-west-2"                                                                                  
                }                                                                                                              
            ],                                                                                                                 
            "IsDefault": true,                                                                                                 
            "State": "modify-complete",                                                                                        
            "Tags": []                                                                                                         
        }                                                                                                                      
    ]                                                                                                                          
}

  2. Ajoutez ou supprimez une exclusion d’unité organisationnelle dans une découverte de ressources à l’aide de modify-ipam-resource-discovery et des options --add-organizational-unit-exclusions ou --remove-organizational-unit-exclusions. Vous devez saisir un chemin d’entité pour les organisations AWS. Créez le chemin pour la ou les UO à l’aide des identifiants d’organisations AWS séparés par un /. Incluez toutes les UO enfants en terminant le chemin par /*. Vous ne pouvez pas inclure le même chemin d’entité plusieurs fois dans les paramètres d’ajout ou de suppression.

    • Exemple 1

      • Chemin d’accès à une UO enfant : o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/

      • Dans cet exemple, o-a1b2c3d4e5 est l’ID de l’organisation, r-f6g7h8i9j0example est l’ID racine, ou-ghi0-awsccccc est l’ID d’une UO et ou-jkl0-awsddddd est l’ID d’une UO enfant.

      • IPAM ne gérera pas les adresses IP des comptes de l’UO enfant.

    • Exemple 2

      • Parcours dans lequel toutes les UO enfants feront partie de l’exclusion : o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*

      • Dans cet exemple, IPAM ne gérera pas les adresses IP des comptes de l’UO (ou-ghi0-awsccccc) ni des comptes des UO qui sont des enfants de l’UO.

    Note

    L’ensemble d’exclusions qui en résulte ne doit pas générer de « chevauchement », c’est-à-dire que deux exclusions d’UO ou plus ne doivent pas exclure la même UO.

    Exemple de chemins d’entités ne se chevauchant pas :

    • Chemin 1 = « o-1/r-1/ou-1/ »

    • Chemin 2 = « o-1/r-1/ou-1/ou-2/ »

    Ces chemins ne se chevauchent pas du fait que le chemin 1 exclut uniquement les comptes présents sous « ou-1 » et que le chemin 2 exclut uniquement les comptes présents sous « ou-2 ».

    Exemple de chemins d’entités se chevauchant :

    • Chemin 1 = « o-1/r-1/ou-1/* »

    • Chemin 2 = « o-1/r-1/ou-1/ou-2/ »

    Ces chemins se chevauchent du fait que le chemin 1 représente à la fois « o-1/r-1/ou-1/ » et « o-1/r-1/ou-1/ou-2/ », et que « o-1/r-1/ou-1/ou-2/ » est en situation de chevauchement avec le chemin 2.

    Entrée :

    aws ec2 modify-ipam-resource-discovery \
    --ipam-resource-discovery-id ipam-res-disco-1234567890abcdef0 \
    --add-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*' \
    --remove-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/' \
    --region us-east-1

    Sortie :

    {
    "IpamResourceDiscovery": {
        "OwnerId": "111122223333",
        "IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",
        "IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",
        "IpamResourceDiscoveryRegion": "us-east-1",
        "OperatingRegions": [
            {
                "RegionName": "us-east-1"
            }
        ],
        "IsDefault": false,
        "State": "modify-in-progress",
        "OrganizationalUnitExclusions": [
            {
                "OrganizationsEntityPath": "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*"
            }
        ]
    }
}