本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 從 IPAM 排除組織單位
如果您的 IPAM 已與 AWS Organizations 整合,您可以排除由 IPAM 管理[的組織單位 (OU)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#organizationalunit)。排除組織單位後,IPAM 就不會管理該組織單位帳戶中的 IP 位址。此功能可讓您更靈活地使用 IPAM。
您可以透過以下方式使用 OU 排除:
+ **為業務的特定部分啟用 IPAM**:如果您在 AWS Organizations 中多個業務部門或子公司,您現在可以只為需要的部門使用 IPAM。
+ **保持沙盒帳戶分離**:您可以將沙盒帳戶排除在 IPAM 之外,只專注於對 IP 管理真正重要的帳戶。
## OU 排除的運作方式
本節中的圖表示範了在 IPAM 中新增組織單位排除的兩個使用案例。
第一個圖表顯示僅在父級 OU 上新增組織單位 (OU) 排除的影響。結果是,IPAM 不會管理父級 OU 中帳戶的 IP 位址。IPAM 會管理其他不在排除範圍內的 OU 中帳戶的 IP 位址。
![\[父級 OU 上的 OU 排除圖表\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/ipam-ou-1.png)
第二個圖表顯示在父級 OU *和*所有子級 OU 上新增組織單位 (OU) 排除的影響。結果是,IPAM 不會管理父級 OU 中帳戶的 IP 位址,也不會管理任何子級 OU 中帳戶的 IP 位址。IPAM 仍然會管理不在排除範圍內的其他 OU 中帳戶的 IP 位址。
![\[父級 OU 和所有子級 OU 上的 OU 排除圖表。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/ipam-ou-2.png)
## 新增或移除 OU 排除
完成本節中的步驟,以新增或移除 OU 排除。
**注意**
即使委派的 IPAM 管理帳戶位於已排除的 OU 中,也不會被排除。
您的 IPAM 必須與 整合 AWS Organizations ,才能新增 OU 排除。組織中必須有 OU。
您必須是委派 IPAM 管理員,才能檢視、新增或移除 OU 排除。
IPAM 需要一些時間來發現最近建立的組織單位。
每次資源發現會有一個預設配額,限制您能夠新增的排除數量。如需詳細資訊,請參閱 [IPAM 的配額](quotas-ipam.md)中*每個資源發現的組織單位排除*。
如果您[將資源探索共享給另一個帳戶](res-disc-work-with-share.md),則該帳戶可以看到與資源發現相關的組織單位排除,並能查看其中包含的資源發現擁有者的組織 ID、根 ID 以及組織單位 ID 等資訊。
------
#### [ AWS Management Console ]
**新增或移除 OU 排除**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中,選擇**尋找探索**。
1. 選擇預設資源發現。
1. 選擇**編輯**。
1. 在 **組織單位排除** 下,執行以下操作:
+ **新增 OU 排除**:
+ 如果要排除 OU 及其所有子級 OU:
+ 在資料表中尋找 OU,然後選取核取方塊。系統會自動選取所有子級 OU。
+ 如果只想要排除父級 OU 帳戶:
+ 在資料表中尋找 OU,然後選取核取方塊。系統會自動選取所有子級 OU。取消選取所有子級 OU。
+ 或者,您可以使用**動作**欄來僅選取父級 OU,或父級和子級 OU:
+ **選取所有子級 OU**:在排除範圍中包含所有子級 OU。選擇一個 OU 之後,該 OU 會被顯示在畫面上。每個 OU 都包含該 OU 排除的 ID 和[實體路徑](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_last-accessed-view-data-orgs.html#access_policies_last-accessed-viewing-orgs-entity-path)。
+ **僅選取此 OU**:在排除範圍中僅包含此 OU。選擇一個 OU 之後,該 OU 會被顯示在畫面上。每個 OU 都包含該 OU 排除的 ID 和[實體路徑](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_last-accessed-view-data-orgs.html#access_policies_last-accessed-viewing-orgs-entity-path)。
+ **複製組織單位實體路徑**:視需要複製要使用的組織實體路徑。
+ 如果您已經知道 AWS Organizations 實體路徑,或想要建置它:
+ 選擇 **輸入組織單位排除**,然後輸入 OU 排除的[實體路徑](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_last-accessed-view-data-orgs.html#access_policies_last-accessed-viewing-orgs-entity-path)。使用 AWS Organizations ID 建立 OU 路徑,並以 `/` 分隔。若要包含所有子級 OU,請將路徑結尾加上 `/*`。
+ 範例 1
+ 子級 OU 的路徑:`o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/`
+ 在此範例中,`o-a1b2c3d4e5` 是組織 ID,`r-f6g7h8i9j0example` 是根 ID,`ou-ghi0-awsccccc` 是組織單位 ID,`ou-jkl0-awsddddd` 是子組織單位 ID。
+ IPAM 不會管理子級 OU 中帳戶的 IP 位址。
+ 範例 2
+ 所有子級 OU 都包含在排除範圍內的路徑:`o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*`
+ 在此範例中,IPAM 不會管理 OU (`ou-ghi0-awsccccc`) 中帳戶的 IP 位址,也不會管理任何其子級 OU 中帳戶的 IP 位址。
+ **移除 OU 排除**:
+ 選擇已新增的 OU 旁的 **X**。OU ID 後的 `/*` 表示它是父級 OU,並且其子級 OU 在排除範圍內。
1. 選擇**儲存變更**。
------
#### [ Command line ]
本節中的命令與《AWS CLI 命令參考》**連結。本文件旨在詳細說明執行命令時可使用的選項。
1. 使用 [describe-ipam-resource-discoveries](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-ipam-resource-discoveries.html) 查看資源發現詳細資訊,以取得預設資源發現的 ID 供後續步驟使用。
輸入:
```
aws ec2 describe-ipam-resource-discoveries
```
輸出:
```
{
"IpamResourceDiscoveries": [
{
"OwnerId": "111122223333",
"IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",
"IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",
"IpamResourceDiscoveryRegion": "us-east-1",
"OperatingRegions": [
{
"RegionName": "us-east-1"
},
{
"RegionName": "us-west-1"
},
{
"RegionName": "us-west-2"
}
],
"IsDefault": true,
"State": "modify-complete",
"Tags": []
}
]
}
```
1. 使用 [modify-ipam-resource-discovery](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/modify-ipam-resource-discovery.html) 以及 `--add-organizational-unit-exclusions` 或 `--remove-organizational-unit-exclusions` 選項,在資源發現中新增或移除組織單位排除。您需要輸入 AWS Organizations 實體路徑。使用以 分隔 AWS 的組織 IDs 來建置 OU 的路徑 (OU)`/`。若要包含所有子級 OU,請將路徑結尾加上 `/*`。無法在新增或移除參數中多次包含相同的實體路徑。
+ 範例 1
+ 子級 OU 的路徑:`o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/`
+ 在此範例中,`o-a1b2c3d4e5` 是組織 ID,`r-f6g7h8i9j0example` 是根 ID,`ou-ghi0-awsccccc` 是組織單位 ID,`ou-jkl0-awsddddd` 是子組織單位 ID。
+ IPAM 不會管理子級 OU 中帳戶的 IP 位址。
+ 範例 2
+ 所有子級 OU 都包含在排除範圍內的路徑:`o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*`
+ 在此範例中,IPAM 不會管理 OU (`ou-ghi0-awsccccc`) 中帳戶的 IP 位址,也不會管理任何其子級 OU 中帳戶的 IP 位址。
**注意**
產生的排除項目集不得「重疊」,這表示兩個或多個組織單位排除項目不得排除相同的組織單位。
**非重疊實體路徑的範例:**
路徑 1 ="o-1/r-1/ou-1/"
路徑 2 ="o-1/r-1/ou-1/ou-2/"
這些路徑不重疊,因為路徑 1 僅排除 ou-1 下的帳戶,而路徑 2 僅排除 ou-2 下的帳戶。
**重疊實體路徑的範例:**
路徑 1 ="o-1/r-1/ou-1/\$1"
路徑 2 ="o-1/r-1/ou-1/ou-2/"
這些路徑重疊,因為路徑 1 同時代表 "o-1/r-1/ou-1/" 和 "o-1/r-1/ou-1/ou-2/",而 "o-1/r-1/ou-1/ou-2/" 與路徑 2 重疊。
輸入:
```
aws ec2 modify-ipam-resource-discovery \
--ipam-resource-discovery-id ipam-res-disco-1234567890abcdef0 \
--add-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*' \
--remove-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/' \
--region us-east-1
```
輸出:
```
{
"IpamResourceDiscovery": {
"OwnerId": "111122223333",
"IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",
"IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",
"IpamResourceDiscoveryRegion": "us-east-1",
"OperatingRegions": [
{
"RegionName": "us-east-1"
}
],
"IsDefault": false,
"State": "modify-in-progress",
"OrganizationalUnitExclusions": [
{
"OrganizationsEntityPath": "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*"
}
]
}
}
```
------