将 IPAM 与 Amazon Organization 中的账户集成 - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

将 IPAM 与 Amazon Organization 中的账户集成

或者,您可以按照本部分中的步骤将 IPAM 与 Amazon Organizations 集成并委托成员账户作为 IPAM 账户。

IPAM 账户负责创建 IPAM 并使用它来管理和监控 IP 地址的使用情况。

将 IPAM 与 Amazon Organizations 集成和委托 IPAM 管理员具有以下益处:

  • 与您的企业共享 IPAM 池:当您委派一个 IPAM 账户时,IPAM 会启用企业中的其他 Amazon Organizations 成员账户,用于从使用 Amazon Resource Access Manager (RAM) 共享的 IPAM 池中分配 CIDR。有关设置企业的更多信息,请参阅 Amazon Organizations 用户指南中的什么是 Amazon Organizations?

  • 监控企业中的 IP 地址使用情况:当您委派 IPAM 账户时,您将授予 IPAM 权限,以监控所有账户的 IP 使用情况。因此,IPAM 会将现有 VPC 在其他 Amazon Organizations 成员账户之间使用的 CIDR 自动导入 IPAM 中。

如果您不委派 Amazon Organizations 成员账户作为 IPAM 账户,IPAM 将只监控您用于创建 IPAM 的 Amazon 账户中的资源。

重要

  • 必须通过在 Amazon 管理控制台中使用 IPAM 或 enable-ipam-organization-admin-account Amazon CLI 命令来启用与 Amazon Organizations 的集成。这将确保创建与 AWSServiceRoleForIPAM 服务相关角色。如果通过使用 Amazon Organizations 控制台或 register-delegated-administrator Amazon CLI 命令启用对 Amazon Organizations 的受信任访问,则不会创建与 AWSServiceRoleForIPAM 服务相关的角色,也无法管理或监控企业内的资源。

注意

将与 Amazon Organizations 集成时:

  • IPAM 针对在企业成员账户中监控的每个活动 IP 地址向您收取费用。有关定价的更多信息,请参阅 IPAM 定价

  • 您必须在 Amazon Organizations 中拥有账户,以及设置有一个或多个成员账户的管理账户。有关账户类型的更多信息,请参阅 Amazon Organizations 用户指南中的术语和概念。有关设置企业的更多信息,请参阅开始使用 Amazon Organizations

  • IPAM 账户必须是 Amazon Organizations 成员账户。您不能将 Amazon Organizations 管理账户作为 IPAM 账户。

  • IPAM 账户必须使用附加了允许 iam:CreateServiceLinkedRole 操作的 IAM policy 的 IAM 角色。创建 IPAM 时,将自动创建 AWSServiceRoleForIPAM 服务相关角色。

  • 与 Amazon Organizations 管理账户关联的 IAM 用户必须使用附加了以下 IAM policy 操作的 IAM 角色:

    • ec2:EnableIpamOrganizationAdminAccount

    • organizations:EnableAwsServiceAccess

    • organizations:RegisterDelegatedAdministrator

    • iam:CreateServiceLinkedRole

    有关创建 IAM 角色的更多信息,请参阅《IAM 用户指南》中的 创建向 IAM 用户委托权限的角色

  • 与 Amazon Organizations 管理账户关联的用户可使用附加了以下 IAM 策略操作的 IAM 角色,以列出您当前的 AWS Organizations 委派管理员:organizations:ListDelegatedAdministrators

Amazon Management Console
要选择 IPAM 账户

  1. 使用 Amazon Organizations 管理账户打开 IPAM 控制台,地址:https://console.aws.amazon.com/ipam/

  2. 在 Amazon 管理控制台中,选择您要在其中与 IPAM 合作的 Amazon 区域。

  3. 在导航面板中选择组织设置

  4. 仅当您以 Amazon Organizations 管理账户身份登录控制台时,委派选项才可用。选择 Delegate(委派)

  5. 对于 IPAM 账户,输入 Amazon 账户 ID。IPAM 管理员必须是 Amazon Organizations 成员账户。

  6. 选择 Save changes(保存更改)

Command line

本部分的命令链接到 Amazon CLI 参考文档。本文档提供了运行命令时可以使用的选项的详细说明。

当您将 Organizations 成员账户委派为 IPAM 账户时,IPAM 会自动在企业中的所有成员账户中创建服务相关的 IAM 角色。IPAM 通过在每个成员账户中担任服务相关的 IAM 角色、发现资源及其 CIDR 并将其与 IPAM 集成来监控这些账户中的 IP 地址使用情况。无论其企业单位如何,IPAM 都可以发现所有成员账户中的资源。例如,如果有成员账户创建了 VPC,您将在 IPAM 控制台的资源部分中看到 VPC 及其 CIDR。

重要

委派 IPAM 管理员的 Amazon Organizations 管理账户的角色现已完成。要继续使用 IPAM,IPAM 管理员账户必须登录 Amazon VPC IPAM 并创建 IPAM。