# Integrar o IPAM a contas em uma organização da AWS Organizations Opcionalmente, você pode seguir os passos nesta seção para integrar o IPAM ao AWS Organizations e delegar uma conta de membro, como a conta do IPAM. A conta do IPAM é responsável por criar um IPAM e usá-lo para gerenciar e monitorar o uso de endereços IP. Integrar o IPAM ao AWS Organizations e delegar um administrador do IPAM apresentam os seguintes benefícios: + **Compartilhar seus grupos do IPAM com sua organização**: quando você delega uma conta do IPAM, o IPAM habilita outra contas de membros do AWS Organizations na organização para alocar CIDRs de grupos do IPAM que são compartilhados usando o AWS Resource Access Manager (RAM). Para obter mais informações sobre como configurar uma organização, consulte [O que são AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) no *Guia do usuário do AWS Organizations*. + **monitorar o uso de endereços IP em sua organização**: quando você delega uma conta do IPAM, você concede permissão ao IPAM para monitorar o uso de IPs em todas as suas contas. Como resultado, o IPAM importa automaticamente CIDRs que são usados por VPCs existentes em outras contas de membros do AWS Organizations. Se você não delegar uma conta de membro do AWS Organizations como uma conta do IPAM, o IPAM monitorará os recursos somente na conta da AWS que você usa para criar o IPAM. **nota** Ao integrar ao AWS Organizations: É necessário habilitar a integração com o AWS Organizations usando o IPAM no Console de Gerenciamento da AWS ou o comando da AWS CLI [enable-ipam-organization-admin-account](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ipam-organization-admin-account.html). Isso garante que a função vinculada ao serviço `AWSServiceRoleForIPAM` seja criada. Se você habilitar o acesso confiável com o AWS Organizations usando o Console do AWS Organizations ou o comando [register-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/register-delegated-administrator.html) da AWS CLI, a função vinculada a serviços `AWSServiceRoleForIPAM` não foi criada e você não pode gerenciar ou monitorar recursos dentro de sua organização. **A conta do IPAM deve ser uma conta de membro do AWS Organizations.** Não é possível utilizar a conta de gerenciamento do AWS Organizations como a conta do IPAM. Para verificar se seu IPAM já está integrado ao AWS Organizations, use as etapas abaixo e visualize os detalhes da integração nas *configurações da organização*. O IPAM cobra por cada endereço IP ativo que ele monitora nas contas de membros da sua organização. Para obter mais informações sobre a definição de preço, consulte [Preço do IPAM](https://aws.amazon.com/vpc/pricing/). Você deve ter uma conta no AWS Organizations e uma conta de gerenciamento configuradas com uma ou mais contas de membro. Para obter mais informações sobre os tipos de conta, consulte [Terminologia e conceitos](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) no *Guia do usuário do AWS Organizations*. Para obter mais informações sobre a configuração de uma organização, consulte [Conceitos básicos do AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html). A conta IPAM deve ter usar um perfil do IAM com uma política do IAM anexada a ele que permita a ação `iam:CreateServiceLinkedRole`. Ao criar o IPAM, você cria automaticamente a função vinculada ao serviço AWSServiceRoleForIPAM. A conta de usuário associada à conta de gerenciamento do AWS Organizations deve usar um perfil do IAM que tenha as seguintes ações da política do IAM anexadas: `ec2:EnableIpamOrganizationAdminAccount` `organizations:EnableAwsServiceAccess` `organizations:RegisterDelegatedAdministrator` `iam:CreateServiceLinkedRole` Para obter mais informações sobre como criar perfis do IAM, consulte [Criar uma função para delegar permissões a um usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) no *Manual do usuário do IAM*. A conta de usuário associada à conta de gerenciamento do AWS Organizations deve usar um perfil do IAM que tenha as seguintes ações da política do IAM anexadas para listar os administradores delegados do AWS Orgs: `organizations:ListDelegatedAdministrators` ------ #### [ AWS Management Console ] **Para selecionar uma conta do IPAM** 1. Faça login na conta de gerenciamento do AWS Organizations e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/ipam/). 1. No Console de Gerenciamento da AWS, escolha a Região da AWS em que você deseja trabalhar com o IPAM. 1. No painel de navegação, selecione **Organization settings (Configurações da organização)**. 1. A opção **Delegar** apenas estará disponível se você estiver conectado ao console como a conta de gerenciamento do AWS Organizations. Selecione **Delegar**. 1. Insira o ID da conta da AWS para uma conta do IPAM. O administrador do IPAM deve ser uma conta membro do AWS Organizations. 1. Escolha **Salvar alterações**. ------ #### [ Command line ] Os comandos nessa seção são vinculados à *Referência de comando AWS CLI*. A documentação fornece descrições detalhadas das opções que você pode usar ao executar os comandos. + Para delegar uma conta de administrador do IPAM usando a AWS CLI, use o seguinte comando: [enable-ipam-organization-admin-account](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ipam-organization-admin-account.html) ------ Ao delegar uma conta de membro do Organizations como uma conta do IPAM, o IPAM cria automaticamente uma função do IAM vinculada ao serviço em todas as contas de membro em sua organização. O IPAM monitora o uso de endereços IP nessas contas assumindo a função do IAM vinculada ao serviço em cada conta de membro, descobrindo os recursos e respectivos CIDRs e integrando-os ao IPAM. Os recursos em todas as contas de membro poderão ser detectados pelo IPAM, independentemente de sua Unidade Organizacional. Se houver contas de membro que criaram uma VPC, por exemplo, você verá a VPC e o respectivo CIDR na seção “Resources” (Recursos) do console do IPAM. **Importante** A função da conta de gerenciamento do AWS Organizations que delegou o administrador do IPAM está concluída agora. Para continuar usando o IPAM, a conta de administrador do IPAM deve fazer login no IPAM da Amazon VPC e criar um IPAM.