Come funzionano le esclusioni delle unità organizzative Aggiungi o rimuovi esclusioni di unità organizzative

Escludi unità organizzative da IPAM

Se IPAM è integrato con AWS Organizations, ora puoi escludere una unità organizzativa (UO) dalla gestione da parte di IPAM. Se viene esclusa un’unità organizzativa, IPAM non gestirà gli indirizzi IP negli account dell’unità organizzativa in questione. Questa funzionalità offre una maggiore flessibilità nella modalità di utilizzo di IPAM.

Puoi utilizzare le esclusioni delle unità organizzative nei seguenti modi:

Abilita IPAM per parti specifiche dell'attività: se hai più unità aziendali o filiali in AWS Organizations, ora puoi utilizzare IPAM solo per quelle che ne hanno bisogno.
Tieni separati gli account sandbox: puoi escludere gli account sandbox da IPAM concentrandoti solo su quelli realmente importanti per la gestione della proprietà intellettuale.

Come funzionano le esclusioni delle unità organizzative

I diagrammi in questa sezione mostrano due casi d’uso per l’esclusione delle unità organizzative in IPAM.

Il primo diagramma mostra l'impatto dell'aggiunta di un'esclusione solo su un'unità organizzativa principale. In questo caso, IPAM non gestirà gli indirizzi IP negli account dell'unità organizzativa principale. Gestirà quindi gli indirizzi IP negli account delle altre unità organizzative al di fuori dell'esclusione.

Diagramma dell'esclusione delle unità organizzative su quella principale

Il secondo diagramma mostra l'impatto dell'esclusione su un'unità organizzativa principale e su tutte le unità organizzative secondarie. In questo caso, IPAM non gestirà gli indirizzi IP negli account dell'unità organizzativa principale né in quelli delle unità organizzative secondarie. Gestirà quindi gli indirizzi IP negli account delle unità organizzative al di fuori dell'esclusione.

Diagramma dell'esclusione delle unità organizzative su quella principale e su tutte quelle secondarie.

Aggiungi o rimuovi esclusioni di unità organizzative

Completa i passaggi descritti in questa sezione per aggiungere o rimuovere esclusioni delle unità organizzative.

Nota

L'account amministratore IPAM delegato non è escluso neanche se si trova all'interno di un'unità organizzativa esclusa.
IPAM deve essere integrato con AWS Organizations per aggiungere un'esclusione dell'unità organizzativa. L'organizzazione deve avere delle unità organizzative al suo interno.
È necessario essere l'amministratore IPAM delegato per poter visualizzare, aggiungere o rimuovere le esclusioni delle unità organizzative.
IPAM impiega tempo per scoprire le unità organizzative create di recente.
Esiste una quota predefinita per il numero di esclusioni che puoi aggiungere per ogni rilevamento di risorse. Per ulteriori informazioni, vedi Esclusioni di unità organizzative per rilevamento di risorse in Quote per l'IPAM.
Se condividi il rilevamento di una risorsa con un altro account, tale account può visualizzare le esclusioni delle unità organizzative al suo interno, dato che contengono informazioni come l’ID dell’organizzazione, l’ID root e gli ID delle unità organizzative dell’organizzazione del proprietario del rilevamento di risorse.

AWS Management Console

Per aggiungere o rimuovere esclusioni delle unità organizzative

Apri la console IPAM all'indirizzo https://console.aws.amazon.com/ipam/.
Nel riquadro di navigazione, scegli Rilevamenti delle risorse.
Scegli il rilevamento di risorse predefinito.
Scegliere Edit (Modifica).
Alla voce Esclusioni di unità organizzative, procedi come segue:
- Per aggiungere l'esclusione di un'unità organizzativa:
  - Se vuoi escludere l'unità organizzativa e tutte le relative unità secondarie:
    
    Trova l'unità organizzativa nella tabella e seleziona la casella di controllo. Tutte le unità organizzative secondarie vengono selezionate automaticamente.
  - Se desideri escludere solo gli account delle unità organizzative principali:
    
    Trova l'unità organizzativa nella tabella e seleziona la casella di controllo. Tutte le unità organizzative secondarie vengono selezionate automaticamente. Deseleziona tutte le unità organizzative secondarie.
  - In alternativa, è possibile utilizzare la colonna Operazioni per selezionare solo un'unità organizzativa principale o delle unità organizzative principali e secondarie:
    
    Seleziona tutte le unità organizzative secondarie: inserisci tutte le unità organizzative secondarie nell'esclusione. Dopo aver scelto un'unità organizzativa, questa viene aggiunta sullo schermo. Ogni unità organizzativa contiene l'ID e il percorso entità della sua esclusione.
    
    Seleziona solo questa unità organizzativa: inserisci solo questa unità nell'esclusione. Dopo aver scelto un'unità organizzativa, questa viene aggiunta sullo schermo. Ogni unità organizzativa contiene l'ID e il percorso entità della sua esclusione.
    
    Copia il percorso di entità dell’unità organizzativa: copia il percorso entità dell’organizzazione da utilizzare in base alle esigenze.
  - Se conosci già il percorso entità di AWS Organizations o desideri crearlo:
    
    Scegli Inserisci esclusione dell'unità organizzativa e inserisci il percorso entità per tale esclusione. Crea il percorso per le unità organizzative utilizzando gli ID di AWS Organizations separati da /. Includi tutte le unità organizzative secondarie terminando il percorso con /*.
    
    Esempio 1
    
    Percorso per un'unità organizzativa secondaria: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/
    
    In questo esempio, o-a1b2c3d4e5 è l’ID dell’organizzazione, r-f6g7h8i9j0example è l’ID root, ou-ghi0-awsccccc è l’ID di un’unità organizzativa e ou-jkl0-awsddddd è l’ID di un’unità organizzativa secondaria.
    
    IPAM non gestirà gli indirizzi IP negli account dell'unità organizzativa secondaria.
    
    Esempio 2
    
    Percorso in cui tutte le unità organizzative secondarie faranno parte dell'esclusione: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*
    
    In questo esempio, IPAM non gestirà gli indirizzi IP negli account dell'unità organizzativa (ou-ghi0-awsccccc) o in quelli delle relative unità organizzative secondarie.
- Per rimuovere l'esclusione di un'unità organizzativa:
  - Seleziona X accanto a un'unità organizzativa già aggiunta. Se /* si trova dopo l'unità organizzativa, significa che si tratta di un'unità organizzativa principale e che le unità organizzative secondarie fanno parte dell'esclusione.
Scegli Save changes (Salva modifiche).

Command line

I comandi in questa sezione rimandano al Riferimento ai comandi AWS CLI. La documentazione fornisce descrizioni dettagliate delle opzioni che è possibile utilizzare quando si eseguono i comandi.

Visualizza i dettagli sul rilevamento delle risorse per ottenere l'ID del rilevamento predefinito per il passaggio successivo con describe-ipam-resource-discoveries.

Input:


aws ec2 describe-ipam-resource-discoveries

Output:


{                                                                                                                              
    "IpamResourceDiscoveries": [                                                                                               
        {                                                                                                                      
            "OwnerId": "111122223333",                                                                                         
            "IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",                                                     
            "IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",  
            "IpamResourceDiscoveryRegion": "us-east-1",                                                                        
            "OperatingRegions": [                                                                                              
                {                                                                                                              
                    "RegionName": "us-east-1"                                                                                  
                },                                                                                                             
                {                                                                                                              
                    "RegionName": "us-west-1"                                                                                  
                },                                                                                                             
                {                                                                                                              
                    "RegionName": "us-west-2"                                                                                  
                }                                                                                                              
            ],                                                                                                                 
            "IsDefault": true,                                                                                                 
            "State": "modify-complete",                                                                                        
            "Tags": []                                                                                                         
        }                                                                                                                      
    ]                                                                                                                          
}

Aggiungi o rimuovi l'esclusione di un'unità organizzativa dal rilevamento di risorse con modify-ipam-resource-discovery e le opzioni --add-organizational-unit-exclusions o --remove-organizational-unit-exclusions. Dovrai inserire un percorso entità di AWS Organizations. Crea il percorso per le unità organizzative utilizzando gli ID di AWS Organizations separati da /. Includi tutte le unità organizzative secondarie terminando il percorso con /*. Non è possibile includere lo stesso percorso entità più di una volta nei parametri di aggiunta o rimozione.
- Esempio 1
  - Percorso per un'unità organizzativa secondaria: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/
  - In questo esempio, o-a1b2c3d4e5 è l’ID dell’organizzazione, r-f6g7h8i9j0example è l’ID root, ou-ghi0-awsccccc è l’ID di un’unità organizzativa e ou-jkl0-awsddddd è l’ID di un’unità organizzativa secondaria.
  - IPAM non gestirà gli indirizzi IP negli account dell'unità organizzativa secondaria.
- Esempio 2
  - Percorso in cui tutte le unità organizzative secondarie faranno parte dell'esclusione: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*
  - In questo esempio, IPAM non gestirà gli indirizzi IP negli account dell'unità organizzativa (ou-ghi0-awsccccc) o in quelli delle relative unità organizzative secondarie.
Nota
L’insieme di esclusioni che ne deriva non deve sovrapporsi, ovvero due o più esclusioni di unità organizzative non devono escludere la stessa unità organizzativa.
Esempio di percorsi di entità non sovrapposti:
- Percorso 1 = “o-1/r-1/ou-1/”
- Percorso 2 = “o-1/r-1/ou-1/ou-2/”
Questi percorsi non si sovrappongono perché il percorso 1 esclude solo gli account alla voce ou-1 e il percorso 2 esclude solo gli account alla voce ou-2.
Esempio di percorsi di entità sovrapposti:
- Percorso 1 = “o-1/r-1/ou-1/*”
- Percorso 2 = “o-1/r-1/ou-1/ou-2/”
Questi percorsi si sovrappongono perché il percorso 1 rappresenta sia “o-1/r-1/ou-1/” che “o-1/r-1/ou-1/ou-2/” e “o-1/r-1/ou-1/ou-2/” si sovrappone con il percorso 2.
Input:
```
aws ec2 modify-ipam-resource-discovery \
    --ipam-resource-discovery-id ipam-res-disco-1234567890abcdef0 \
    --add-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*' \
    --remove-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/' \
    --region us-east-1                    
```
Output:
```
{
    "IpamResourceDiscovery": {
        "OwnerId": "111122223333",
        "IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",
        "IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",
        "IpamResourceDiscoveryRegion": "us-east-1",
        "OperatingRegions": [
            {
                "RegionName": "us-east-1"
            }
        ],
        "IsDefault": false,
        "State": "modify-in-progress",
        "OrganizationalUnitExclusions": [
            {
                "OrganizationsEntityPath": "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*"
            }
        ]
    }
}
```

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Applica l'utilizzo di IPAM per la creazione di VPC con le SCP

Modifica un livello IPAM