将 IPAM 与 Amazon Organizations 集成 - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

将 IPAM 与 Amazon Organizations 集成

或者,您可以按照本部分中的步骤将 IPAM 与 Amazon Organizations 集成并委托成员账户作为 IPAM 账户。

IPAM 账户负责创建 IPAM 并使用它来管理和监控 IP 地址的使用情况。

将 IPAM 与 Amazon Organizations 集成和委托 IPAM 管理员具有以下益处:

  • 与您的企业共享 IPAM 池:当您委派一个 IPAM 账户时,IPAM 会启用企业中的其他 Amazon Organizations 成员账户,用于从使用 Amazon Resource Access Manager (RAM) 共享的 IPAM 池中分配 CIDR。有关设置企业的更多信息,请参阅 Amazon Organizations 用户指南中的什么是 Amazon Organizations?

  • 监控企业中的 IP 地址使用情况:当您委派 IPAM 账户时,您将授予 IPAM 权限,以监控所有账户的 IP 使用情况。因此,IPAM 会将现有 VPC 在其他 Amazon Organizations 成员账户之间使用的 CIDR 自动导入 IPAM 中。

如果您不委派 Amazon Organizations 成员账户作为 IPAM 账户,IPAM 将只监控您用于创建 IPAM 的 Amazon 账户中的资源。

重要
  • 必须通过在 Amazon 管理控制台中使用 IPAM 或 enable-ipam-organization-admin-account Amazon CLI 命令来启用与 Amazon Organizations 的集成。这将确保创建与 AWSServiceRoleForIPAM 服务相关角色。如果通过使用 Amazon Organizations 控制台或 register-delegated-administrator Amazon CLI 命令启用对 Amazon Organizations 的受信任访问,则不会创建与 AWSServiceRoleForIPAM 服务相关的角色,也无法管理或监控企业内的资源。

注意

将与 Amazon Organizations 集成时:

  • 您不能使用 IPAM 跨多个 Amazon Organizations 管理 IP 地址。

  • IPAM 针对在企业成员账户中监控的每个活动 IP 地址向您收取费用。有关定价的更多信息,请参阅 IPAM 定价

  • 您必须在 Amazon Organizations 中拥有账户,以及设置有一个或多个成员账户的管理账户。有关账户类型的更多信息,请参阅 Amazon Organizations 用户指南中的术语和概念。有关设置企业的更多信息,请参阅开始使用 Amazon Organizations

  • IPAM 账户必须是 Amazon Organizations 成员账户。您不能将 Amazon Organizations 管理账户作为 IPAM 账户。

  • IPAM 账户必须附加允许 iam:CreateServiceLinkedRole 操作的 IAM 策略。创建 IPAM 时,将自动创建 AWSServiceRoleForIPAM 服务相关角色。

  • 与 Amazon Organizations 管理账户关联的 IAM 用户账户必须附加以下 IAM 策略操作:

    • ec2:EnableIpamOrganizationAdminAccount

    • organizations:EnableAwsServiceAccess

    • organizations:RegisterDelegatedAdministrator

    • iam:CreateServiceLinkedRole

    有关管理 IAM 策略的更多信息,请参阅 IAM 用户指南中的编辑 IAM 策略

Amazon Management Console

要选择 IPAM 账户

  1. https://console.aws.amazon.com/ipam/ 中打开 IPAM 控制台。

  2. 在 Amazon 管理控制台中,选择您要在其中与 IPAM 合作的 Amazon 区域。

  3. 在导航窗格中,选择 Settings (设置)

  4. 对于 IPAM 账户,输入 Amazon 账户 ID。IPAM 管理员必须是 Amazon Organizations 成员账户。

  5. 选择 Delegate (委派)

Command line

本部分的命令链接到 Amazon CLI 参考文档。本文档提供了运行命令时可以使用的选项的详细说明。

当您将 Organizations 成员账户委派为 IPAM 账户时,IPAM 会自动在企业中的所有成员账户中创建服务相关的 IAM 角色。IPAM 通过在每个成员账户中担任服务相关的 IAM 角色、发现资源及其 CIDR 并将其与 IPAM 集成来监控这些账户中的 IP 地址使用情况。无论其企业单位如何,IPAM 都可以发现所有成员账户中的资源。例如,如果有成员账户创建了 VPC,您将在 IPAM 控制台的资源部分中看到 VPC 及其 CIDR。

重要

委派 IPAM 管理员的 Amazon Organizations 管理账户的角色现已完成。要继续使用 IPAM,IPAM 管理员账户必须登录 Amazon VPC IPAM 并创建 IPAM。