# Impor o uso do IPAM para a criação de VPCs com SCPs
**nota**
Esta seção só se aplica a você se você tiver habilitado o IPAM para se integrar ao AWS Organizations. Para obter mais informações, consulte [Integrar o IPAM a contas em uma organização da AWS Organizations](enable-integ-ipam.md).
Esta seção descreve como criar uma política de controle de serviço no AWS Organizations que exija que os integrantes da organização usem o IPAM quando criarem uma VPC. Políticas de controle de serviço (SCPs) são um tipo de política organizacional que permite gerenciar permissões na organização. Para obter mais informações, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations*.
## Aplicar o IPAM ao criar VPCs
Siga as etapas desta seção para exigir que os integrantes da organização usem o IPAM quando criarem VPCs.
**Para criar um SCP e restringir a criação de VPCs ao IPAM**
1. Siga as etapas descritas em [Create a service control policy](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_create.html#create-an-scp) no *Guia do usuário do AWS Organizations* e adicione o seguinte texto no editor JSON:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Deny",
"Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
"Resource": "arn:aws:ec2:*:*:vpc/*",
"Condition": {
"Null": {
"ec2:Ipv4IpamPoolId": "true"
}
}
}]
}
```
------
1. Anexe a política a uma ou mais unidades organizacionais da organização. Para obter mais informações, consulte [Attach policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_attach.html) e [Detach policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_detach.html) no *Guia do usuário do AWS Organizations*.
## Aplique um grupo do IPAM ao criar VPCs
Siga as etapas desta seção para exigir que os integrantes da organização usem um grupo específico do IPAM quando criarem VPCs.
**Para criar um SCP e restringir a criação de VPCs a um grupo do IPAM**
1. Siga as etapas descritas em [Create a service control policy](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_create.html#create-an-scp) no *Guia do usuário do AWS Organizations* e adicione o seguinte texto no editor JSON:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Deny",
"Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
"Resource": "arn:aws:ec2:*:*:vpc/*",
"Condition": {
"StringNotEquals": {
"ec2:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg"
}
}
}]
}
```
------
1. Altere o valor de exemplo `ipam-pool-0123456789abcdefg` para o ID do grupo IPv4 ao qual você gostaria de restringir os usuários.
1. Anexe a política a uma ou mais unidades organizacionais da organização. Para obter mais informações, consulte [Attach policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_attach.html) e [Detach policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_detach.html) no *Guia do usuário do AWS Organizations*.
## Aplique o IPAM para todas, exceto uma determinada lista de UOs
Siga as etapas desta seção para aplicar o IPAM para todas as UOs (unidades organizacionais), exceto uma determinada lista. A política descrita nesta seção requer que as unidades organizacionais (UOs) na organização, exceto as que você especificar em `aws:PrincipalOrgPaths`, usem o IPAM para criar e para ampliar as VPCs. As UOs listadas podem usar o IPAM ao criar VPCs ou especificar um intervalo de endereços IP manualmente.
**Para criar uma SCP e aplicar o IPAM para todas, exceto uma determinada lista de UOs**
1. Siga as etapas descritas em [Create a service control policy](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_create.html#create-an-scp) no *Guia do usuário do AWS Organizations* e adicione o seguinte texto no editor JSON:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Deny",
"Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
"Resource": "arn:aws:ec2:*:*:vpc/*",
"Condition": {
"Null": {
"ec2:Ipv4IpamPoolId": "true"
},
"ForAnyValue:StringNotLike": {
"aws:PrincipalOrgPaths": [
"o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/",
"o-a1b2c3d4e5/r-ab12/ou-ab13-22222222/ou-ab13-33333333/"
]
}
}
}]
}
```
------
1. Remova os valores de exemplo (como `o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/`) e adicione os caminhos da entidade do AWS Organizations das UOs que você deseja ter a opção (mas não exigir) de usar o IPAM. Para obter mais informações sobre o caminho da entidade, consulte [Compreender o caminho da entidade do AWS Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed-view-data-orgs.html#access_policies_last-accessed-viewing-orgs-entity-path) e [aws:PrincipalOrgPaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths) no *Guia do usuário do IAM*.
1. Anexe a política à raiz da sua organização. Para obter mais informações, consulte [Attach policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_attach.html) e [Detach policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_detach.html) no *Guia do usuário do AWS Organizations*.