限制池访问 - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

限制池访问

注意

此部分介绍如何在 Amazon Organizations 中创建服务控制策略以限制了对 IPAM 池的访问。此部分仅在您启用了 IPAM 与 Amazon Organizations 集成时适用您。有关更多信息,请参阅 将 IPAM 与 Amazon Organizations 集成

Amazon Organizations 中的服务控制策略 (SCP) 是一种企业策略,您可以通过它管理企业中的权限。按照此部分中的步骤创建 SCP 并限制您的 Amazon Organizations 账户中的用户使用特定 IPv4 池中的 CIDR 创建 VPC,以及将 CIDR 与池中的 VPC 关联起来。账户中的用户将无法使用 CIDR 创建 VPC,也无法将 CIDR 与您选择的池中的任何其他池的 VPC 关联。

创建 SCP 并限制用户对池的访问

  1. 按照创建 SCP 中的步骤操作,并在 JSON 编辑器中输入以下文本:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"], "Resource": "arn:aws:ec2:*:*:vpc/*", "Condition": { "StringNotEquals": { "ec2:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg" } } } ] }
  2. ipam-pool-0123456789abcdefg 示例值更改为您希望对用户进行限制的 IPv4 池 ID。

  3. 或者,您也可以添加对 ec2:Ipv6IpamPoolId 的条件以限制对特定 IPv6 池的访问。