使用 Amazon RAM 共享 IPAM 池 - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 Amazon RAM 共享 IPAM 池

按照此部分中的步骤适用 Amazon Resource Access Manager (RAM) 共享 IPAM 池。当您与 RAM 共享 IPAM 池时,“主体”可以将池中的 CIDR 分配给来自各自账户的 Amazon 资源,例如 VPC。主体是 RAM 中的一个概念,表示 Amazon Organizations 中的任何 Amazon 账户、IAM 角色、IAM 角色或组织部门。有关更多信息,请参阅 Amazon RAM 用户指南中的使用共享的共享您的 Amazon 资源

注意

  • 如果您已将 IPAM 与 Amazon Organizations 集成,您只能与 Amazon RAM 共享 IPAM 池。有关更多信息,请参阅 将 IPAM 与 Amazon Organization 中的账户集成。如果您是单个账户 IPAM 用户,则无法与 Amazon RAM 共享 IPAM 池。

  • 您必须启用在 Amazon RAM 中与 Amazon Organizations 共享资源。有关更多信息,请参阅 Amazon RAM 用户指南中的在 Amazon Organizations 内启用资源共享

  • RAM 共享仅在您 IPAM 所在的主 Amazon 区域中可用。您必须在 IPAM 所在的 Amazon 区域创建共享,而不是在 IPAM 池的区域中。

  • 创建和删除 IPAM 池资源共享的账户在附加到其 IAM 角色的 IAM policy 中必须具有以下权限:

    • ec2:PutResourcePolicy

    • ec2:DeleteResourcePolicy

  • 您可以向 RAM 共享添加多个 IPAM 池。

Amazon Management Console
要使用 RAM 共享 IPAM 池

  1. https://console.aws.amazon.com/ipam/ 中打开 IPAM 控制台。

  2. 在导航窗格中,选择 Pools(池)。

  3. 默认情况下,默认的私有范围被选中。如果您不想使用默认的私有范围,请从内容窗格顶部的下拉菜单中选择要使用的范围。有关范围的更多信息,请参阅 IPAM 的工作原理

  4. 在内容窗格中,选择要共享的池,然后选择 Actions(操作)> View details(查看详细信息)。

  5. Resource sharing(资源共享)下,选择 Create resource share(创建资源共享)。因此,Amazon RAM 控制台将打开。您将在 Amazon RAM 中创建共享池。

  6. 选择 Create a Resource Group(创建资源组)。

  7. 为共享资源添加 Name(名称)。

  8. Select resource type(选择资源类型)下,选择 IPAM 池并选择一个或多个 IPAM 池。

  9. 选择 Next(下一步)。

  10. 选择资源共享的权限之一:

    • AWSRAMDefaultPermissionsIpamPool:选择此权限可允许主体查看共享 IPAM 池中的 CIDR 和分配,并在池中分配/释放 CIDR。

    • AWSRAMPermissionIpamPoolByoipCidrImport:选择此权限可允许主体将 BYOIP CIDR 导入共享 IPAM 池中。只有当您具有现有的 BYOIP CIDR 并且想要将它们导入 IPAM 并与主体共享时,才需要此权限。有关 BYOIP CIDR 到 IPAM 的其他信息,请参阅 教程:将 BYOIP IPv4 CIDR 传输到 IPAM

  11. 选择允许访问此资源的主体。如果主体要将现有的 BYOIP CIDR 导入到此共享 IPAM 池中,请将 BYOIP CIDR 所有者账户添加为主体。

  12. 查看资源共享选项和要共享的委托人,然后选择 Create(创建)。

Command line

本部分的命令链接到 Amazon CLI 参考文档。在那里,您可以找到运行命令时可以使用的选项的详细说明。

使用以下 Amazon CLI 命令通过 RAM 共享 IPAM 池:

  1. 获取 IPAM 的 ARN:describe-ipam-pools

  2. 创建资源共享:create-resource-share

  3. 查看资源共享:get-resource-shares

由于在 RAM 中创建资源共享,其他主体现在可以使用 IPAM 池将 CIDR 分配给资源。有关监控主体创建的资源的信息,请参阅 按资源监控 CIDR 使用情况。有关如何从共享 IPAM 池创建 VPC 和分配 CIDR 的更多信息,请参阅 Amazon VPC 用户指南中的创建 VPC