IPAMVerwendung für VPC Kreationen erzwingen mit SCPs - Amazon Virtual Private Cloud
IPAMBeim Erstellen durchsetzen VPCsErzwingen Sie beim Erstellen einen IPAM Pool VPCsErzwingt dies IPAM für alle außer einer bestimmten Liste von OUs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IPAMVerwendung für VPC Kreationen erzwingen mit SCPs

Anmerkung

Dieser Abschnitt gilt nur für Sie, wenn Sie die Integration mit aktiviert IPAM haben AWS Organizations. Weitere Informationen finden Sie unter Integration IPAM mit Konten in einer AWS Organisation.

In diesem Abschnitt wird beschrieben, wie Sie eine Dienststeuerungsrichtlinie erstellen AWS Organizations , nach der Mitglieder in Ihrer Organisation eine verwenden müssenIPAM, wenn sie eine erstellenVPC. Dienststeuerungsrichtlinien (SCPs) sind eine Art von Organisationsrichtlinie, mit der Sie Berechtigungen in Ihrer Organisation verwalten können. Weitere Informationen finden Sie unter Service-Kontrollrichtlinien im AWS Organizations -Benutzerhandbuch.

IPAMBeim Erstellen durchsetzen VPCs

Folgen Sie den Schritten in diesem Abschnitt, um festzulegen, dass Mitglieder in Ihrer Organisation die Daten IPAM bei der Erstellung VPCs verwenden müssen.

Um eine zu erstellen SCP und die VPC Erstellung zu beschränken auf IPAM

  1. Folgen Sie den Schritten unter Erstellen eines SCP im AWS Organizations Benutzerhandbuch und geben Sie den folgenden Text in den JSON Editor ein:

    {
    "Version": "2012-10-17",
    "Statement": [{
       "Effect": "Deny",
        "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
        "Resource": "arn:aws:ec2:*:*:vpc/*",
        "Condition": {
            "Null": {
                "ec2:Ipv4IpamPoolId": "true"
            }
        }
     }]
}

  2. Fügen Sie die Richtlinie einer oder mehreren Organisationseinheiten in Ihrem Unternehmen zu. Weitere Informationen finden Sie unter Anfügen und Trennen von Service-Kontrollrichtlinien im AWS Organizations -Benutzerhandbuch.

Erzwingen Sie beim Erstellen einen IPAM Pool VPCs

Folgen Sie den Schritten in diesem Abschnitt, um zu verlangen, dass Mitglieder in Ihrer Organisation bei der Erstellung VPCs einen bestimmten IPAM Pool verwenden.

Um einen IPAM Pool zu erstellen SCP und die VPC Erstellung auf einen zu beschränken

  1. Folgen Sie den Schritten unter Erstellen eines SCP im AWS Organizations Benutzerhandbuch und geben Sie den folgenden Text in den JSON Editor ein:

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Deny",
        "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
        "Resource": "arn:aws:ec2:*:*:vpc/*",
        "Condition": {
            "StringNotEquals": {
                "ec2:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg"
            }
          }
    }]
}

  2. Ändern Sie den ipam-pool-0123456789abcdefg Beispielwert in die IPv4 Pool-ID, auf die Sie Benutzer beschränken möchten.

  3. Fügen Sie die Richtlinie einer oder mehreren Organisationseinheiten in Ihrem Unternehmen zu. Weitere Informationen finden Sie unter Anfügen und Trennen von Service-Kontrollrichtlinien im AWS Organizations -Benutzerhandbuch.

Erzwingt dies IPAM für alle außer einer bestimmten Liste von OUs

Folgen Sie den Schritten in diesem Abschnitt, um das IPAM Verfahren für alle außer einer bestimmten Liste von Organisationseinheiten durchzusetzen (OUs). Die in diesem Abschnitt beschriebene Richtlinie ist OUs in der Organisation erforderlich, mit Ausnahme derOUs, die Sie angeben, aws:PrincipalOrgPaths um sie IPAM zu erstellen und zu erweiternVPCs. Die aufgeführten OUs Optionen können entweder IPAM bei der Erstellung verwendet VPCs oder manuell angegeben werden.

Um eine Liste zu erstellen SCP und IPAM für alle außer einer bestimmten Liste durchzusetzen OUs

  1. Folgen Sie den Schritten unter Erstellen eines SCP im AWS Organizations Benutzerhandbuch und geben Sie den folgenden Text in den JSON Editor ein:

    {
    "Version": "2012-10-17",
    "Statement": [{
	"Effect": "Deny",
	    "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
	    "Resource": "arn:aws:ec2:*:*:vpc/*",
	    "Condition": {
	        "Null": {
		      "ec2:Ipv4IpamPoolId": "true"
                },
	        "ForAllValues:StringNotLike": {
	            "aws:PrincipalOrgPaths": [
	                "o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/",
	                "o-a1b2c3d4e5/r-ab12/ou-ab13-22222222/ou-ab13-33333333/"
	            ]
                }
            }
     }]
}

  2. Entfernen Sie die Beispielwerte (likeo-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/) und fügen Sie die AWS Organisations-Entitätspfade der OUs Entitäten hinzu, die Sie verwenden möchten (aber nicht benötigen)IPAM. Weitere Informationen zum Entitätspfad finden Sie unter AWS Understand the Organizations entity path und aws: PrincipalOrgPaths im AWS Identity and Access Management Benutzerhandbuch.

  3. Fügen Sie die Richtlinie zum Organisations-Root hinzu. Weitere Informationen finden Sie unter Anfügen und Trennen von Service-Kontrollrichtlinien im AWS Organizations -Benutzerhandbuch.