將 IPAM 與 AWS Organizations 中的帳戶整合 - Amazon Virtual Private Cloud

將 IPAM 與 AWS Organizations 中的帳戶整合

或者,您可以依照本節中的步驟,將 IPAM 與 AWS Organizations 整合,並將成員帳戶委派為 IPAM 帳戶。

IPAM 帳戶負責建立 IPAM,並使用 IPAM 來管理和監控 IP 地址使用情況。

將 IPAM 與 AWS Organizations 整合並委派 IPAM 管理員的優點如下:

  • 與您的組織共用 IPAM 集區:當您委派 IPAM 帳戶時,IPAM 可讓組織中的其他 AWS Organizations 成員帳戶從使用 AWS Resource Access Manager (RAM) 共用的 IPAM 集區來配置 CIDR。如需有關設定組織的詳細資訊,請參閱《AWS Organizations 使用者指南》中的什麼是 AWS Organizations?

  • 監控組織中的 IP 地址使用情況:當您委派 IPAM 帳戶時,您會授與 IPAM 許可,以監控所有帳戶的 IP 使用情況。因此,IPAM 會自動將由現有 VPC 跨其他 AWS Organizations 成員帳戶使用的 CIDR 匯入 IPAM。

如果您未將 AWS Organizations 成員帳戶委派為 IPAM 帳戶時,IPAM 將僅監控您用於建立 IPAM 的 AWS 帳戶中的資源。

注意

與 AWS Organizations 整合:

  • 您必須使用 AWS 管理主控台中的 IPAM 或 enable-ipam-organization-admin-account AWS CLI 命令來啟用與 AWS Organizations 的整合。此可確保建立了 AWSServiceRoleForIPAM 服務連結角色。若使用 AWS Organizations 主控台或 register-delegated-administrator AWS CLI 命令來啟用 AWS Organizations 的受信任存取,則不會建立 AWSServiceRoleForIPAM 服務連結角色,而您也無法在組織內管理或監控資源。

  • IPAM 帳戶必須是 AWS Organizations 成員帳戶。您無法使用 AWS Organizations 管理帳戶作為 IPAM 帳戶。若要檢查您的 IPAM 是否已與 AWS Organizations 整合,請執行下列步驟,並在 Organization 設定中檢視與整合相關的詳細資訊。

  • IPAM 會針對在組織成員帳戶中監控的每個有效 IP 地址向您收費。如需定價的詳細資訊,請參閱 IPAM 定價

  • 您必須在 AWS Organizations 中擁有帳戶,並擁有設定有一或多個成員帳戶的管理帳戶。如需帳戶類型的詳細資訊,請參閱《AWS Organizations 使用者指南》中的術語與概念。如需有關設定組織的詳細資訊,請參閱 《AWS Organizations 入門》

  • IPAM 帳戶使用的 IAM 角色所連接的 IAM 政策必須允許 iam:CreateServiceLinkedRole 動作。當您建立 IPAM 時,您將自動建立 AWSServiceRoleForIPAM 服務連結角色。

  • 與 AWS Organizations 管理帳戶關聯的使用者使用的 IAM 角色必須連接有下列 IAM 政策動作:

    • ec2:EnableIpamOrganizationAdminAccount

    • organizations:EnableAwsServiceAccess

    • organizations:RegisterDelegatedAdministrator

    • iam:CreateServiceLinkedRole

    如需有關建立 IAM 角色的詳細資訊,請參閱《IAM 使用者指南》中的建立角色以委派許可給 IAM 使用者

  • 與 AWS Organizations 管理帳戶關聯的使用者可以使用連接有下列 IAM 政策動作的 IAM 角色,來列出您目前的 AWS Orgs 委派管理員:organizations:ListDelegatedAdministrators

AWS Management Console
選取 IPAM 帳戶

  1. 使用 AWS Organizations 管理帳戶,造訪 https://console.aws.amazon.com/iam/ 開啟 IPAM 主控台。

  2. 在 AWS 管理主控台中,選擇欲使用 IPAM 的 AWS 區域。

  3. 在導覽窗格中,選擇 Organization settings (組織設定)

  4. 只有在您已經以 AWS 組織管理帳戶的身分登入主控台後,才能使用 Delegate (委派) 選項。選擇委派

  5. 針對 IPAM 帳戶,輸入 AWS 帳戶 ID。IPAM 管理員必須是 AWS Organizations 成員帳戶。

  6. 選擇儲存變更

Command line

本節中的命令與 AWS CLI Command Reference 連結。本文件旨在詳細說明執行命令時可使用的選項。

當您將 Organizations 成員帳戶委派為 IPAM 帳戶時,IPAM 會自動在組織的所有成員帳戶中建立服務連結的 IAM 角色。IPAM 會擔任每個成員帳戶中的服務連結 IAM 角色、探索資源及其 CIDR,並將其與 IPAM 整合,以監控這些帳戶中的 IP 地址使用情況。IPAM 可以探索所有成員帳戶內的資源,無論其 Organizational Unit 為何。例如,如果有已建立 VPC 的成員帳戶,您將會在 IPAM 主控台的 Resources 區段中看到 VPC 及其 CIDR。

重要

委派 IPAM 管理員的 AWS Organizations 管理帳戶的角色現已完成。若要繼續使用 IPAM,IPAM 管理員帳戶必須登入 Amazon VPC IPAM 並建立 IPAM。