本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 SCP 強制使用 IPAM 建立 VPC
**注意**
本節僅適用於已啟用 IPAM 與 整合的情況 AWS Organizations。如需詳細資訊,請參閱[將 IPAM 與 AWS Organizations 中的帳戶整合](enable-integ-ipam.md)。
本節說明如何在 中建立服務控制政策 AWS Organizations ,要求組織中的成員在建立 VPC 時使用 IPAM。服務控制政策 (SCP) 是一種組織政策類型,可用來管理組織中的許可。如需詳細資訊,請參閱《AWS Organizations 使用者指南》中的[服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
## 強制使用 IPAM 建立 VPC
請依照本節中的步驟來要求組織中的成員使用 IPAM 建立 VPC。
**建立 SCP 並限制為使用 IPAM 建立 VPC**
1. 請遵循 *AWS Organizations User Guide* 中的 [Create a service control policy](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_create.html#create-an-scp) 的步驟進行操作,在 JSON 編輯器中輸入以下文字:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Deny",
"Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
"Resource": "arn:aws:ec2:*:*:vpc/*",
"Condition": {
"Null": {
"ec2:Ipv4IpamPoolId": "true"
}
}
}]
}
```
------
1. 將政策連接至組織中的一個或多個組織單位。如需詳細資訊,請參閱《AWS Organizations 使用者指南**》中的[連接政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_attach.html)與[分離政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_detach.html)。
## 強制使用 IPAM 集區建立 VPC
請依照本節中的步驟來要求組織中的成員使用特定 IPAM 集區建立 VPC。
**建立 SCP 並限制為使用 IPAM 集區建立 VPC**
1. 請遵循 *AWS Organizations User Guide* 中的 [Create a service control policy](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_create.html#create-an-scp) 的步驟進行操作,在 JSON 編輯器中輸入以下文字:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Deny",
"Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
"Resource": "arn:aws:ec2:*:*:vpc/*",
"Condition": {
"StringNotEquals": {
"ec2:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg"
}
}
}]
}
```
------
1. 將 `ipam-pool-0123456789abcdefg` 範例值變更為您想要限制使用者存取的 IPv4 集區 ID。
1. 將政策連接至組織中的一個或多個組織單位。如需詳細資訊,請參閱《AWS Organizations 使用者指南**》中的[連接政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_attach.html)與[分離政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_detach.html)。
## 針對指定 OU 清單以外的所有 OU 強制執行 IPAM
請遵循本節中的步驟,針對指定組織單位 (OU) 清單以外的所有 OU 強制執行 IPAM。本節所述的政策需要組織中OUs,但您在 中指定的 OUs 除外,`aws:PrincipalOrgPaths`才能使用 IPAM 來建立和展開 VPCs。列出的 OU 可以在建立 VPC 時使用 IPAM,或手動指定 IP 地址範圍。
**針對指定 OU 清單以外的所有 OU 建立 SCP 並強制執行 IPAM**
1. 請遵循 *AWS Organizations User Guide* 中的 [Create a service control policy](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_create.html#create-an-scp) 的步驟進行操作,在 JSON 編輯器中輸入以下文字:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Deny",
"Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
"Resource": "arn:aws:ec2:*:*:vpc/*",
"Condition": {
"Null": {
"ec2:Ipv4IpamPoolId": "true"
},
"ForAnyValue:StringNotLike": {
"aws:PrincipalOrgPaths": [
"o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/",
"o-a1b2c3d4e5/r-ab12/ou-ab13-22222222/ou-ab13-33333333/"
]
}
}
}]
}
```
------
1. 移除範例值 (例如 `o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/`),並新增您想要有使用 IPAM 選項 (但不需要) 之 OUs 的 AWS Organizations 實體路徑。如需實體路徑的詳細資訊,請參閱《*IAM 使用者指南*》中的[了解 AWS Organizations 實體路徑](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed-view-data-orgs.html#access_policies_last-accessed-viewing-orgs-entity-path)和 [aws:PrincipalOrgPaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths)。
1. 將此政策連接至組織根目錄。如需詳細資訊,請參閱《AWS Organizations 使用者指南》**中的[連接政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_attach.html)與[分離政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_detach.html)。