Amazon VPC IP Address Manager (IPAM) y AWS Organizations

Amazon VPC IP Address Manager (IPAM) es una característica de VPC que facilita la planificación, el seguimiento y el monitoreo de las direcciones IP de las cargas de trabajo de AWS.

Utilizar AWS Organizations permite monitorear el uso de direcciones IP en toda la organización y compartir grupos de direcciones IP entre las cuentas de miembro.

Para obtener más información, consulte Integración de IPAM con AWS Organizations en la Guía del usuario de Amazon VPC IPAM.

Utilice la siguiente información como ayuda para integrar Amazon VPC IP Address Manager (IPAM) con AWS Organizations.

Roles vinculados al servicio creados al habilitar la integración

El siguiente rol vinculado a servicio se crea automáticamente en la cuenta de administración de su organización y en cada cuenta de miembro cuando se integra IPAM con AWS Organizations bien mediante la consola de IPAM o bien utilizando la API EnableIpamOrganizationAdminAccount de IPAM.

Para obtener más información, consulte Roles vinculados a servicios de IPAM en la Guía del usuario de Amazon VPC IPAM.

Los principales de servicios utilizados por los roles vinculados a servicios

El rol vinculado al servicio de la sección anterior solo puede ser asumido por las entidades de servicio autorizadas por las relaciones de confianza definidas para el rol. Los roles vinculados a servicios utilizados por IPAM conceden acceso a las siguientes entidades principales de servicio:

Para habilitar el acceso de confianza con IPAM

Para obtener información acerca de los permisos necesarios para habilitar el acceso de confianza, consulte Permisos necesarios para habilitar el acceso de confianza.

Puede habilitar el acceso de confianza utilizando únicamente las herramientas de Amazon VPC IP Address Manager (IPAM).

Si se integra IPAM con AWS Organizations mediante la consola de IPAM o utilizando la API EnableIpamOrganizationAdminAccount de IPAM, automáticamente se concede acceso de confianza a IPAM. Conceder acceso de confianza crea el rol vinculado a servicio AWSServiceRoleForIPAM en la cuenta de administración y en todas las cuentas de miembro de la organización. IPAM utiliza el rol vinculado a servicio para monitorear los CIDR asociados a los recursos de red de EC2 de su organización y para almacenar métricas relacionadas con IPAM en Amazon CloudWatch. Para obtener más información, consulte Roles vinculados a servicios de IPAM en la Guía del usuario de Amazon VPC IPAM.

Para obtener instrucciones sobre cómo habilitar el acceso de confianza, consulte Integración de IPAM con AWS Organizations en la Guía del usuario de Amazon VPC IPAM.

Para desactivar el acceso de confianza con IPAM

Para obtener información acerca de los permisos necesarios para deshabilitar el acceso de confianza, consulte Permisos necesarios para deshabilitar el acceso de confianza.

Solo un administrador de la cuenta de administración de AWS Organizations puede desactivar el acceso de confianza con IPAM mediante la API disable-aws-service-access de AWS Organizations.

Para obtener información sobre cómo desactivar los permisos de cuentas de IPAM y eliminar el rol vinculado a servicio, consulte Roles vinculados a servicios de IPAM en la Guía del usuario de Amazon VPC IPAM.

Puede deshabilitar el acceso de confianza ejecutando un comando de Organizations AWS CLI, o bien llamando a una operación de API de Organizations en uno de los AWS SDK.

AWS CLI, AWS API

Para deshabilitar el acceso de confianza mediante Organizations CLI/SDK

Puede utilizar los siguientes comandos de la AWS CLI o las operaciones de API para deshabilitar el acceso del servicio de confianza:

• AWS CLI: disable-aws-service-access

  Puede ejecutar el siguiente comando para desactivar Amazon VPC IP Address Manager (IPAM) como servicio de confianza con Organizations.

  $ aws organizations disable-aws-service-access \
      --service-principal ipam.amazonaws.com

  Este comando no genera ninguna salida si se realiza correctamente.

• API de AWS: DisableAWSServiceAccess

Habilitación de una cuenta de administrador delegado para IPAM

La cuenta de administrador delegado de IPAM es responsable de crear los grupos de IPAM y de direcciones IP, administrar y monitorear el uso de direcciones IP en la organización, y compartir grupos de direcciones IP entre las cuentas de miembro. Para obtener más información, consulte Integración de IPAM con AWS Organizations en la Guía del usuario de Amazon VPC IPAM.

Solo un administrador de la cuenta de administración de la organización puede configurar un administrador delegado para IPAM.

Puede especificar una cuenta de administrador delegado desde la consola de IPAM o mediante la API enable-ipam-organization-admin-account. Para obtener más información, consulte enable-ipam-organization-admin-account en la Referencia de los comandos de AWS AWS CLI.

Para configurar un administrador delegado mediante la consola de IPAM, consulte Integración de IPAM con AWS Organizations en la Guía del usuario de Amazon VPC IPAM.

Desactivación de un administrador delegado para IPAM

Solo un administrador de la cuenta de administración de la organización puede configurar un administrador delegado para IPAM.

Para eliminar un administrador delegado mediante AWS AWS CLI, consulte disable-ipam-organization-admin-account en la Referencia de los comandos de AWS AWS CLI .

Para desactivar la cuenta de IPAM de administrador delegado mediante la consola de IPAM, consulte (Integración de IPAM con AWS Organizations en la Guía del usuario de Amazon VPC IPAM.