# 从 IPAM 中排除组织单位
如果您的 IPAM 与 AWS Organizations 集成,则可以将[组织单位 (OU)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#organizationalunit) 排除在 IPAM 管理之外。排除 OU 时,IPAM 不会管理该 OU 中账户的 IP 地址。此功能使您可以更灵活地使用 IPAM。
您可以通过以下方式使用 OU 排除项:
+ **为业务的特定部分启用 IPAM**:如果您在 AWS Organizations 中有多个业务部门或子公司,则现在可以将 IPAM 仅用于需要该功能的业务部门或子公司。
+ **将沙盒账户分开**:您可以从 IPAM 排除沙盒账户,只关注对 IP 管理真正重要的账户。
## OU 排除项工作原理
本节中的图演示了在 IPAM 中添加 OU 排除项的两个使用案例。
第一张图显示仅对父 OU 添加组织单位(OU)排除项的影响。因此,IPAM 不会管理父 OU 中账户的 IP 地址。IPAM 将管理排除项之外的其他 OU 中账户的 IP 地址。
![\[父 OU 上的 OU 排除项示意图\]](http://docs.aws.amazon.com/zh_cn/vpc/latest/ipam/images/ipam-ou-1.png)
第二张图显示对父 OU *和*所有子 OU 添加组织单位(OU)排除项的影响。因此,IPAM 不会管理父 OU 中账户或任意子 OU 中账户的 IP 地址。IPAM 将管理排除项之外的 OU 中账户的 IP 地址。
![\[父 OU 和所有子 OU 上的 OU 排除项示意图。\]](http://docs.aws.amazon.com/zh_cn/vpc/latest/ipam/images/ipam-ou-2.png)
## 添加或移除 OU 排除项
完成本节中的步骤以添加或移除 OU 排除项。
**注意**
即使委托的 IPAM 管理员账户位于已排除 OU 中,也不会将其排除在外。
您的 IPAM 必须与 AWS Organizations 集成才能添加 OU 排除项。组织中必须有 OU。
您必须是委托的 IPAM 管理员才能查看、添加或移除 OU 排除项。
IPAM 需要时间才能发现最近创建的组织单位。
每次资源发现可以添加的排除项数量有默认配额。有关更多信息,请参阅 [IPAM 的配额](quotas-ipam.md)中的*每次资源发现的组织单位排除项数*。
如果您[与其他账户共享资源发现](res-disc-work-with-share.md),则该账户可以看到其上的 OU 排除项,其中包含资源发现所有者组织的组织 ID、根 ID 和组织单位 ID 等信息。
------
#### [ AWS Management Console ]
**要添加或移除 OU 排除项**
1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。
1. 在导航窗格中,选择**资源发现**。
1. 选择默认资源发现。
1. 选择**编辑**。
1. 在**组织单位排除项**下,执行以下操作:
+ **要添加 OU 排除项**:
+ 如果要排除 OU 及其所有子 OU:
+ 在表中找到该 OU 并选中该复选框。系统会自动选择所有子 OU。
+ 如果想仅排除父 OU 账户:
+ 在表中找到该 OU 并选中该复选框。系统会自动选择所有子 OU。取消选择所有子 OU。
+ 或者,您可以使用**操作**列仅选择父 OU 或选择父 OU 和子 OU:
+ **选择所有子 OU**:在排除项中包含所有子 OU。选择 OU 后,屏幕上会添加该 OU。每个 OU 均包含 OU 排除项的 ID 和[实体路径](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_last-accessed-view-data-orgs.html#access_policies_last-accessed-viewing-orgs-entity-path)。
+ **仅选择此 OU**:在排除项中仅包含此 OU。选择 OU 后,屏幕上会添加该 OU。每个 OU 均包含 OU 排除项的 ID 和[实体路径](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_last-accessed-view-data-orgs.html#access_policies_last-accessed-viewing-orgs-entity-path)。
+ **复制 OU 实体路径**:复制组织实体路径以根据需要使用。
+ 如果您已经知道 AWS Organizations 实体路径或者想要构建该路径:
+ 选择**输入组织单位排除项**,然后输入 OU 排除项的[实体路径](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_last-accessed-view-data-orgs.html#access_policies_last-accessed-viewing-orgs-entity-path)。使用由 `/` 分隔的 AWS Organizations ID 构建 OU 的路径。以 `/*` 结尾的路径包含所有子 OU。
+ 示例 1
+ 子 OU 的路径:`o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/`
+ 在此示例中,`o-a1b2c3d4e5` 是组织 ID,`r-f6g7h8i9j0example` 是根 ID,`ou-ghi0-awsccccc` 是 OU ID,`ou-jkl0-awsddddd` 是子 OU ID。
+ IPAM 不会管理子 OU 中账户的 IP 地址。
+ 示例 2
+ 所有子 OU 都将成为排除项一部分的路径:`o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*`
+ 在此示例中,IPAM 不会管理 OU(`ou-ghi0-awsccccc`)中账户的 IP 地址,也不会管理 OU 所属任何子 OU 中账户的 IP 地址。
+ **要移除 OU 排除项**:
+ 选择已添加的 OU 旁边的 **X**。OU ID 之后的 `/*` 表示其是父 OU,而子 OU 是 OU 排除项的一部分。
1. 选择**保存更改**。
------
#### [ Command line ]
本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。
1. 使用 [describe-ipam-resource-discoveries](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-ipam-resource-discoveries.html) 查看资源发现详细信息,以获取下一步的默认资源发现的 ID。
输入:
```
aws ec2 describe-ipam-resource-discoveries
```
输出:
```
{
"IpamResourceDiscoveries": [
{
"OwnerId": "111122223333",
"IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",
"IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",
"IpamResourceDiscoveryRegion": "us-east-1",
"OperatingRegions": [
{
"RegionName": "us-east-1"
},
{
"RegionName": "us-west-1"
},
{
"RegionName": "us-west-2"
}
],
"IsDefault": true,
"State": "modify-complete",
"Tags": []
}
]
}
```
1. 使用 [modify-ipam-resource-discovery](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/modify-ipam-resource-discovery.html) 以及 `--add-organizational-unit-exclusions` 或 `--remove-organizational-unit-exclusions` 选项,在资源发现中添加或移除组织单位排除项。您需要输入 AWS Organizations 实体路径。使用由 `/` 分隔的 AWS Organizations ID 构建 OU 的路径。以 `/*` 结尾的路径包含所有子 OU。在添加或移除参数中不能多次包含相同的实体路径。
+ 示例 1
+ 子 OU 的路径:`o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/`
+ 在此示例中,`o-a1b2c3d4e5` 是组织 ID,`r-f6g7h8i9j0example` 是根 ID,`ou-ghi0-awsccccc` 是 OU ID,`ou-jkl0-awsddddd` 是子 OU ID。
+ IPAM 不会管理子 OU 中账户的 IP 地址。
+ 示例 2
+ 所有子 OU 都将成为排除项一部分的路径:`o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*`
+ 在此示例中,IPAM 不会管理 OU(`ou-ghi0-awsccccc`)中账户的 IP 地址,也不会管理 OU 所属任何子 OU 中账户的 IP 地址。
**注意**
生成的排除项集不得“重叠”,这意味着两个或多个 OU 排除项不得排除同一 OU。
**不重叠的实体路径示例:**
路径 1 =“o-1/r-1/ou-1/”
路径 2 =“o-1/r-1/ou-1/ou-2/”
这些路径不重叠,因为路径 1 仅排除 ou-1 下的账户,而路径 2 仅排除 ou-2 下的账户。
**重叠的实体路径示例:**
路径 1 =“o-1/r-1/ou-1/\$1”
路径 2 =“o-1/r-1/ou-1/ou-2/”
这些路径重叠,因为路径 1 同时表示“o-1/r-1/ou-1/”和“o-1/r-1/ou-1/ou-2/”,而“o-1/r-1/ou-1/ou-2/”与路径 2 重叠。
输入:
```
aws ec2 modify-ipam-resource-discovery \
--ipam-resource-discovery-id ipam-res-disco-1234567890abcdef0 \
--add-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*' \
--remove-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/' \
--region us-east-1
```
输出:
```
{
"IpamResourceDiscovery": {
"OwnerId": "111122223333",
"IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",
"IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",
"IpamResourceDiscoveryRegion": "us-east-1",
"OperatingRegions": [
{
"RegionName": "us-east-1"
}
],
"IsDefault": false,
"State": "modify-in-progress",
"OrganizationalUnitExclusions": [
{
"OrganizationsEntityPath": "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*"
}
]
}
}
```
------