强制使用 IPAM 进行 VPC 创建 - Amazon Virtual Private Cloud
创建 VPC 时强制使用 IPAM创建 VPC 时强制使用 IPAM 池对除给定 OU 列表之外的所有 OU 强制实施 IPAM
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

强制使用 IPAM 进行 VPC 创建

注意

此部分仅在您启用了 IPAM 与 Amazon Organizations 集成时适用您。有关更多信息,请参阅 将 IPAM 与 Amazon Organization 中的账户集成

此部分描述如何在 Amazon Organizations 中创建服务控制策略,从而要求组织中的成员在创建 VPC 时使用 IPAM。服务控制策略 (SCP) 是一种组织策略,使您能够管理组织中的权限。有关更多信息,请参阅 Amazon Organizations 用户指南中的服务控制策略

创建 VPC 时强制使用 IPAM

按照本部分中的步骤,要求组织中的成员在创建 VPC 时使用 IPAM。

要创建 SCP 并将 VPC 创建限制为 IPAM

  1. 按照创建《Amazon Organizations 用户指南》中的创建 SCP 中的步骤操作,并在 JSON 编辑器中输入以下文本:

    {
    "Version": "2012-10-17",
    "Statement": [{
       "Effect": "Deny",
        "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
        "Resource": "arn:aws:ec2:*:*:vpc/*",
        "Condition": {
            "Null": {
                "ec2:Ipv4IpamPoolId": "true"
            }
        }
     }]
}

  2. 将策略附加到组织中的一个或多个组织单位。有关更多信息,请参阅 Amazon Organizations 用户指南中的附加和分离服务控制策略

创建 VPC 时强制使用 IPAM 池

按照本部分中的步骤,要求组织中的成员在创建 VPC 时使用特定 IPAM 池。

要创建 SCP 并将 VPC 创建限制为 IPAM 池

  1. 按照创建《Amazon Organizations 用户指南》中的创建 SCP 中的步骤操作,并在 JSON 编辑器中输入以下文本:

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Deny",
        "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
        "Resource": "arn:aws:ec2:*:*:vpc/*",
        "Condition": {
            "StringNotEquals": {
                "ec2:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg"
            }
          }
    }]
}

  2. ipam-pool-0123456789abcdefg 示例值更改为您希望对用户进行限制的 IPv4 池 ID。

  3. 将策略附加到组织中的一个或多个组织单位。有关更多信息,请参阅 Amazon Organizations 用户指南中的附加和分离服务控制策略

对除给定 OU 列表之外的所有 OU 强制实施 IPAM

按照本部分中的步骤,对除给定组织单位(OU)列表之外的所有组织单位强制实施 IPAM。本部分介绍的策略需要组织中您在 aws:PrincipalOrgPaths 中指定的 OU 之外的 OU 使用 IPAM 创建和扩展 VPC。列出的 OU 可以在创建 VPC 时使用 IPAM,也可以手动指定 IP 地址范围。

创建 SCP 并对除给定 OU 列表之外的所有 OU 强制实施 IPAM

  1. 按照创建《Amazon Organizations 用户指南》中的创建 SCP 中的步骤操作,并在 JSON 编辑器中输入以下文本:

    {
    "Version": "2012-10-17",
    "Statement": [{
	"Effect": "Deny",
	    "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
	    "Resource": "arn:aws:ec2:*:*:vpc/*",
	    "Condition": {
	        "Null": {
		      "ec2:Ipv4IpamPoolId": "true"
                },
	        "ForAllValues:StringNotLike": {
	            "aws:PrincipalOrgPaths": [
	                "o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/",
	                "o-a1b2c3d4e5/r-ab12/ou-ab13-22222222/ou-ab13-33333333/"
	            ]
                }
            }
     }]
}

  2. 删除示例值(例如 o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/)并添加您希望可以选择(但不要求)使用 IPAM 的 OU 的 Amazon Organizations 实体路径。有关实体路径的更多信息,请参阅《Amazon Identity and Access Management 用户指南》中的了解 Amazon Organizations 实体路径aws:PrincipalOrgPaths

  3. 将策略附加到组织根。有关更多信息,请参阅 Amazon Organizations 用户指南中的附加和分离服务控制策略