Excluir unidades organizacionais do IPAM - Amazon Virtual Private Cloud
Como funcionam as exclusões de UOAdicionar ou remover exclusões de UO

Excluir unidades organizacionais do IPAM

Se o IPAM for integrado ao AWS Organizations, você poderá excluir uma unidade organizacional (UO) do gerenciamento pelo IPAM. Quando você exclui uma UO, o IPAM não gerenciará os endereços IP nas contas dessa UO. Esse atributo oferece mais flexibilidade no uso do IPAM.

Você pode usar exclusões de UO das seguintes maneiras:

  • Habilitar o IPAM para partes específicas da empresa: se tiver várias unidades de negócios ou subsidiárias no AWS Organizations, agora você poderá usar o IPAM apenas nas que precisarem dele.

  • Manter as contas de sandbox separadas: você pode excluir as contas de sandbox do IPAM, concentrando-se apenas nas contas que realmente importam para o gerenciamento de endereços IP.

Como funcionam as exclusões de UO

Os diagramas desta seção demonstram dois casos de uso da adição de exclusões de UO no IPAM.

O primeiro diagrama mostra o impacto da adição de uma exclusão de unidade organizacional (UO) em uma UO superior apenas. Como resultado, o IPAM não gerenciará os endereços IP nas contas da UO superior. O IPAM gerenciará os endereços IP nas contas das outras UOs não incluídas na exclusão.

Diagrama de exclusão de UO em uma UO superior

O segundo diagrama mostra o impacto da adição de uma exclusão de uma unidade organizacional (UO) superior e de todas as UOs subordinadas. Como resultado, o IPAM não gerenciará os endereços IP nas contas da UO superior nem nas contas das UOs subordinadas. O IPAM gerenciará os endereços IP nas contas das UOs fora da exclusão.

Diagrama de exclusão de UO em UO superior e em todas as UOs subordinadas.

Adicionar ou remover exclusões de UO

Conclua as etapas desta seção para adicionar ou remover exclusões de UO.

nota

  • A conta de administrador delegado do IPAM não é excluída, mesmo que esteja em uma UO que é excluída.

  • O IPAM deve ser integrado com o AWS Organizations para adicionar uma exclusão de UO seja adicionada. A organização deve conter UOs.

  • Você deve ser o administrador delegado do IPAM para visualizar, adicionar ou remover exclusões de UO.

  • O IPAM leva algum tempo para descobrir unidades organizacionais recém-criadas.

  • Existe uma cota padrão para o número de exclusões que você pode adicionar por descoberta de recursos. Para obter mais informações, consulte Exclusões de unidade organizacional por descoberta de recursos em Cotas para o IPAM.

  • Se você compartilhar uma descoberta de recursos com outra conta, essa outra conta poderá ver as exclusões de UO, as quais contêm informações como o ID da organização, o ID da raiz e os IDs das unidades organizacionais da organização do proprietário da descoberta de recursos.

AWS Management Console
Para adicionar ou remover exclusões de UO

  1. Abra o console do IPAM em https://console.aws.amazon.com/ipam/.

  2. No painel de navegação, escolha Descobertas de recursos.

  3. Escolha a descoberta de recursos padrão.

  4. Escolha Edit.

  5. Em Exclusões de unidades organizacionais, faça o seguinte:

    • Para adicionar uma exclusão de UO:

      • Se você quiser excluir a UO e todas as suas UOs subordinadas:

        • Localize a UO na tabela e marque a caixa de seleção correspondente. Todas as UOs subordinadas serão selecionadas automaticamente.

      • Se você quiser excluir apenas as contas da UO superior:

        • Localize a UO na tabela e marque a caixa de seleção correspondente. Todas as UOs subordinadas serão selecionadas automaticamente. Desmarque todas as UOs subordinadas.

      • Como alternativa, você pode usar a coluna Ações para selecionar apenas uma UO superior ou uma UO superior e suas subordinadas:

        • Selecionar todas as UOs subordinadas: inclua todas as UOs subordinadas na exclusão. Como resultado da escolha de uma UO, ela é adicionada na tela. Cada UO contém o ID e o caminho da entidade da exclusão de UO.

        • Selecionar apenas essa UO: inclua somente essa UO na exclusão. Como resultado da escolha de uma UO, ela é adicionada na tela. Cada UO contém o ID e o caminho da entidade da exclusão de UO.

        • Copiar caminho de entidade da UO: copie o caminho da entidade da organização para usar conforme necessário.

      • Se você já souber o caminho da entidade do AWS Organizations ou desejar criá-lo:

        • Escolha Inserir exclusão da unidade organizacional e insira o caminho da entidade da exclusão de UO. Crie o caminho para as UOs usando os IDs do AWS Organizations separados por uma /. Inclua todas as UOs subordinadas terminando o caminho com /*.

          • Exemplo 1

            • Caminho para uma UO subordinada: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/

            • Neste exemplo, o-a1b2c3d4e5 é o ID da organização, r-f6g7h8i9j0example é o ID da raiz, ou-ghi0-awsccccc é o ID de uma UO e ou-jkl0-awsddddd é o ID de uma UO subordinada.

            • O IPAM não gerenciará os endereços IP nas contas da UO subordinada.

          • Exemplo 2

            • Caminho no qual todas as UOs subordinadas serão incluídas na exclusão: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*

            • Neste exemplo, o IPAM não gerenciará os endereços IP nas contas da UO (ou-ghi0-awsccccc) nem nas contas das UOs subordinadas a ela.

    • Para remover uma exclusão de UO:

      • Escolha o X ao lado de uma UO que já foi adicionada. A /* depois do ID da UO indica que é se trata de uma UO superior e que as UOs subordinadas estão incluídas da exclusão de UO.

  6. Escolha Salvar alterações.

Command line

Os comandos nessa seção são vinculados à Referência de comando AWS CLI. A documentação fornece descrições detalhadas das opções que você pode usar ao executar os comandos.

  1. Visualize os detalhes da descoberta de recursos para obter o ID da descoberta de recursos padrão para a próxima etapa com describe-ipam-resource-discoveries.

    Entrada:

    aws ec2 describe-ipam-resource-discoveries

    Resultado:

    {                                                                                                                              
    "IpamResourceDiscoveries": [                                                                                               
        {                                                                                                                      
            "OwnerId": "111122223333",                                                                                         
            "IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",                                                     
            "IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",  
            "IpamResourceDiscoveryRegion": "us-east-1",                                                                        
            "OperatingRegions": [                                                                                              
                {                                                                                                              
                    "RegionName": "us-east-1"                                                                                  
                },                                                                                                             
                {                                                                                                              
                    "RegionName": "us-west-1"                                                                                  
                },                                                                                                             
                {                                                                                                              
                    "RegionName": "us-west-2"                                                                                  
                }                                                                                                              
            ],                                                                                                                 
            "IsDefault": true,                                                                                                 
            "State": "modify-complete",                                                                                        
            "Tags": []                                                                                                         
        }                                                                                                                      
    ]                                                                                                                          
}

  2. Adicione ou remova uma exclusão de unidade organizacional de uma descoberta de recursos com modify-ipam-resource-discovery e as opções --add-organizational-unit-exclusions ou --remove-organizational-unit-exclusions. Você precisará inserir um caminho de entidade do AWS Organizations. Crie o caminho para as UOs usando os IDs do AWS Organizations separados por uma /. Inclua todas as UOs subordinadas terminando o caminho com /*. Não é possível incluir o mesmo caminho de entidade mais de uma vez nos parâmetros de adição ou remoção.

    • Exemplo 1

      • Caminho para uma UO subordinada: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/

      • Neste exemplo, o-a1b2c3d4e5 é o ID da organização, r-f6g7h8i9j0example é o ID da raiz, ou-ghi0-awsccccc é o ID de uma UO e ou-jkl0-awsddddd é o ID de uma UO subordinada.

      • O IPAM não gerenciará os endereços IP nas contas da UO subordinada.

    • Exemplo 2

      • Caminho no qual todas as UOs subordinadas serão incluídas na exclusão: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*

      • Neste exemplo, o IPAM não gerenciará os endereços IP nas contas da UO (ou-ghi0-awsccccc) nem nas contas das UOs subordinadas a ela.

    nota

    O conjunto resultante de exclusões não deve "se sobrepor", o que significa que duas ou mais exclusões de UO não devem excluir a mesma UO.

    Exemplo de caminhos de entidade não sobrepostos:

    • Caminho 1 = "o-1/r-1/ou-1/"

    • Caminho 2 = "o-1/r-1/ou-1/ou-2/"

    Esses caminhos não se sobrepõem porque Caminho 1 exclui somente as contas sob ou-1 e Caminho 2 exclui somente as contas sob ou-2.

    Exemplo de caminhos de entidade sobrepostos:

    • Caminho 1 = "o-1/r-1/ou-1/*"

    • Caminho 2 = "o-1/r-1/ou-1/ou-2/"

    Esses caminhos se sobrepõem porque Caminho 1 representa tanto "o-1/r-1/ou-1/" quanto "o-1/r-1/ou-1/ou-2/" e "o-1/r-1/ou-1/ou-2/" se sobrepõe a Caminho 2.

    Entrada:

    aws ec2 modify-ipam-resource-discovery \
    --ipam-resource-discovery-id ipam-res-disco-1234567890abcdef0 \
    --add-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*' \
    --remove-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/' \
    --region us-east-1

    Resultado:

    {
    "IpamResourceDiscovery": {
        "OwnerId": "111122223333",
        "IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",
        "IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",
        "IpamResourceDiscoveryRegion": "us-east-1",
        "OperatingRegions": [
            {
                "RegionName": "us-east-1"
            }
        ],
        "IsDefault": false,
        "State": "modify-in-progress",
        "OrganizationalUnitExclusions": [
            {
                "OrganizationsEntityPath": "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*"
            }
        ]
    }
}