# SCP を使用して VPC 作成に IPAM の使用を強制する
<a name="scp-ipam"></a>

**注記**  
 このセクションは、IPAM と AWS Organizations の統合を有効にしている場合にのみ適用されます。詳細については、「[IPAM を AWS Organizations 内のアカウントと統合する](enable-integ-ipam.md)」を参照してください。

このセクションでは、AWS Organizations でサービスコントロールポリシーを作成する方法について説明します。ここでは、組織のメンバーが VPC を作成する際に IPAM を使用する必要があります。サービスコントロールポリシー (SCP) は、組織のアクセス許可を管理できる組織ポリシーの一種です。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。

## VPC の作成時に IPAM の使用を強制する
<a name="scp-ipam-enforce-scen-1"></a>

VPC の作成時に、組織のメンバーに IPAM を使用するよう義務付けるには、このセクションの手順に従います。

**SCP を作成して VPC の作成に IPAM を使用するように制限するには**

1. AWS Organizations ユーザーガイドの「[サービスコントロールポリシーの作成](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_create.html#create-an-scp)」のステップに従って、JSON エディターに以下のテキストを入力してください。**

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [{
          "Effect": "Deny",
           "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
           "Resource": "arn:aws:ec2:*:*:vpc/*",
           "Condition": {
               "Null": {
                   "ec2:Ipv4IpamPoolId": "true"
               }
           }
        }]
   }
   ```

------

1. 組織内の 1 つ以上の組織単位にポリシーをアタッチします。詳細については、AWS Organizations ユーザーガイドの「[ポリシーのアタッチ](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_attach.html)」と「[ポリシーのデタッチ](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_detach.html)」を参照してください。**

## VPC の作成時に IPAM プールの使用を強制する
<a name="scp-ipam-enforce-scen-2"></a>

VPC の作成時に、組織のメンバーに特定の IPAM プールを使用するよう義務付けるには、このセクションの手順に従います。

**SCP を作成して VPC の作成に IPAM プールを使用するように制限するには**

1. AWS Organizations ユーザーガイドの「[サービスコントロールポリシーの作成](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_create.html#create-an-scp)」のステップに従って、JSON エディターに以下のテキストを入力してください。**

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [{
           "Effect": "Deny",
           "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
           "Resource": "arn:aws:ec2:*:*:vpc/*",
           "Condition": {
               "StringNotEquals": {
                   "ec2:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg"
               }
             }
       }]
   }
   ```

------

1. サンプルの値 `ipam-pool-0123456789abcdefg` を、ユーザーを制限したい IPv4 プール ID に変更します。

1. 組織内の 1 つ以上の組織単位にポリシーをアタッチします。詳細については、AWS Organizations ユーザーガイドの「[ポリシーのアタッチ](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_attach.html)」と「[ポリシーのデタッチ](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_detach.html)」を参照してください。**

## 特定の OU リスト以外のすべての OU に IPAM を適用する
<a name="scp-ipam-enforce-scen-3"></a>

このセクションのステップに従い、特定の組織単位 (OU) のリストを除くすべての OU に IPAM を適用します。このセクションで説明するポリシーは、組織内の OU (`aws:PrincipalOrgPaths` で指定した OU を除く) に、IPAM を使用して VPC を作成および拡張することを要求しています。リストにある OU は、VPC の作成時に IPAM を使用するか、IP アドレスの範囲を手動で指定することができます。

**SCP を作成し、特定の OU リストを除くすべての OU に IPAM を適用するには**

1. AWS Organizations ユーザーガイドの「[サービスコントロールポリシーの作成](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_create.html#create-an-scp)」のステップに従って、JSON エディターに以下のテキストを入力してください。**

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [{
   	"Effect": "Deny",
   	    "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
   	    "Resource": "arn:aws:ec2:*:*:vpc/*",
   	    "Condition": {
   	        "Null": {
   		      "ec2:Ipv4IpamPoolId": "true"
                   },
   	        "ForAnyValue:StringNotLike": {
   	            "aws:PrincipalOrgPaths": [
   	                "o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/",
   	                "o-a1b2c3d4e5/r-ab12/ou-ab13-22222222/ou-ab13-33333333/"
   	            ]
                   }
               }
        }]
   }
   ```

------

1. サンプルの値 (`o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/` など) を削除し、IPAM を使用するオプション (必須ではない) を付与する OU の、AWS Organizations エンティティパスを追加します。エンティティパスの詳細については、*IAM ユーザーガイド*の「[AWS Organizations エンティティパスを理解する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed-view-data-orgs.html#access_policies_last-accessed-viewing-orgs-entity-path)」および「[aws: PrincipalOrgPaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths)」を参照してください。

1. ポリシーを組織のルートにアタッチします。詳細については、AWS Organizations ユーザーガイドの「[ポリシーのアタッチ](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_attach.html)」と「[ポリシーのデタッチ](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_detach.html)」を参照してください。**