使用 SCP 強制使用 IPAM 建立 VPC
注意
本節僅適用於已啟用 IPAM 且使其與 AWS Organizations 整合的情況下。如需更多詳細資訊,請參閱 將 IPAM 與 AWS Organizations 中的帳戶整合。
本節說明如何在 AWS Organizations 中建立服務控制政策,該政策可要求您組織中的成員使用 IPAM 建立 VPC。服務控制政策 (SCP) 是一種組織政策類型,可用來管理組織中的許可。如需詳細資訊,請參閱《AWS Organizations 使用者指南》中的服務控制政策。
強制使用 IPAM 建立 VPC
請依照本節中的步驟來要求組織中的成員使用 IPAM 建立 VPC。
建立 SCP 並限制為使用 IPAM 建立 VPC
請遵循 AWS Organizations User Guide 中的 Create a service control policy 的步驟進行操作,在 JSON 編輯器中輸入以下文字:
-
將政策連接至組織中的一個或多個組織單位。如需詳細資訊,請參閱 AWS Organizations User Guide 中的 Attach policies 與 Detach policies。
強制使用 IPAM 集區建立 VPC
請依照本節中的步驟來要求組織中的成員使用特定 IPAM 集區建立 VPC。
建立 SCP 並限制為使用 IPAM 集區建立 VPC
請遵循 AWS Organizations User Guide 中的 Create a service control policy 的步驟進行操作,在 JSON 編輯器中輸入以下文字:
將
ipam-pool-0123456789abcdefg範例值變更為您想要限制使用者存取的 IPv4 集區 ID。-
將政策連接至組織中的一個或多個組織單位。如需詳細資訊,請參閱 AWS Organizations User Guide 中的 Attach policies 與 Detach policies。
針對指定 OU 清單以外的所有 OU 強制執行 IPAM
請遵循本節中的步驟,針對指定組織單位 (OU) 清單以外的所有 OU 強制執行 IPAM。本節中說明的政策要求組織中的 OU (除了您在 aws:PrincipalOrgPaths 中指定的 OU 以外) 使用 IPAM 建立和擴充 VPC。列出的 OU 可以在建立 VPC 時使用 IPAM,或手動指定 IP 地址範圍。
針對指定 OU 清單以外的所有 OU 建立 SCP 並強制執行 IPAM
-
請遵循 AWS Organizations User Guide 中的 Create a service control policy 的步驟進行操作,在 JSON 編輯器中輸入以下文字:
-
移除範例值 (例如
o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/),並新增您想選擇 (但不需要) 使用 IPAM 之 OU 的 AWS Organizations 組織實體路徑。如需有關實體路徑的詳細資訊,請參閱 IAM User Guide 中的 Understand the AWS Organizations entity path 與 aws:PrincipalOrgPaths。 -
將此政策連接至組織根目錄。如需詳細資訊,請參閱 AWS Organizations User Guide 中的 Attach policies 與 Detach policies。
