Integración de IPAM con cuentas en una organización de AWS
Opcionalmente, puede seguir los pasos de esta sección para integrar IPAM con AWS Organizations y delegar una cuenta de miembro como la cuenta de IPAM.
La cuenta de IPAM es responsable de crear un IPAM y utilizarlo para administrar y monitorear el uso de direcciones IP.
La integración de IPAM con AWS Organizations y la delegación de un administrador de IPAM presentan los siguientes beneficios:
Comparta los grupos de IPAM con su organización: cuando delega una cuenta de IPAM, IPAM habilita otras cuentas de miembro de AWS Organizations en la organización para asignar CIDR de grupos de IPAM que se comparten mediante el uso de AWS Resource Access Manager (RAM). Para obtener más información acerca de la configuración de una organización, consulte ¿Qué es AWS Organizations? en la Guía del usuario de AWS Organizations.
Monitoree el uso de direcciones IP en su organización: cuando delega una cuenta de IPAM, concede permiso a IPAM para monitorear el uso de IP en todas sus cuentas. Como resultado, IPAM importa automáticamente los CIDR que utilizan las VPC existentes en otras cuentas de miembro de AWS Organizations en IPAM.
Si no delega una cuenta de miembro de AWS Organizations como cuenta de IPAM, IPAM monitoreará los recursos solo en la cuenta de AWS que utiliza para crear el IPAM.
nota
Al integrarse con AWS Organizations:
-
Debe habilitar la integración con AWS Organizations mediante el uso de IPAM en la consola de administración de AWS o mediante el comando de la AWS CLI enable-ipam-organization-admin-account. Esto garantiza que se cree el rol
AWSServiceRoleForIPAM
vinculado al servicio. Si habilita el acceso de confianza con AWS Organizations mediante la consola de AWS Organizations o mediante el comando de la AWS CLI register-delegated-administrator, el rol AWSServiceRoleForIPAM
vinculado al servicio no se crea y no puede administrar ni supervisar recursos dentro de su organización. -
La cuenta del IPAM debe ser una cuenta de miembro de AWS Organizations. No puede usar la cuenta de administración de AWS Organizations como cuenta de IPAM. Para comprobar si su IPAM ya está integrado con AWS Organizations, siga los pasos que se indican a continuación y consulte los detalles de la integración en Configuración de la organización.
-
IPAM le cobra por cada dirección IP activa que monitorea en las cuentas de miembro de su organización. Para obtener más información acerca de los precios, consulte Precios de IPAM
. Debe tener una cuenta en AWS Organizations y una cuenta de administración configurada con una o varias cuentas de miembro. Para obtener más información sobre los tipos de cuenta, consulte Conceptos y terminología en la Guía del usuario de AWS Organizations. Para obtener más información sobre la configuración de una organización, consulte Introducción a AWS Organizations.
-
La cuenta de IPAM debe utilizar un rol de IAM que tenga asociada una política de IAM que permita la acción
iam:CreateServiceLinkedRole
. Al crear el IPAM, se crea automáticamente el rol vinculado a servicios AWSServiceRoleForIPAM. El usuario asociado a la cuenta de administración de AWS Organizations debe utilizar un rol de IAM que tenga asociadas las siguientes acciones de política de IAM:
-
ec2:EnableIpamOrganizationAdminAccount
-
organizations:EnableAwsServiceAccess
-
organizations:RegisterDelegatedAdministrator
-
iam:CreateServiceLinkedRole
Para obtener más información acerca de la creación de roles de IAM, consulte Creación de un rol para delegar permisos a un usuario de IAM en la Guía del usuario de IAM.
-
-
El usuario asociado a la cuenta de administración de Organizations AWS debe utilizar un rol de IAM que tenga asociadas las siguientes acciones de política de IAM adjuntas para enumerar tus actuales administradores delegados de AWS Orgs:
organizations:ListDelegatedAdministrators
Cuando delega una cuenta de miembro de Organizations como una cuenta de IPAM, IPAM crea automáticamente un rol de IAM vinculado al servicio en todas las cuentas de miembro de su organización. IPAM monitorea el uso de direcciones IP en estas cuentas asumiendo el rol de IAM vinculado al servicio en cada cuenta de miembro, descubre los recursos y sus CIDR, y los integra con IPAM. IPAM podrá detectar los recursos de todas las cuentas de miembro, independientemente de su unidad organizativa. Si hay cuentas de miembro que han creado una VPC, por ejemplo, verá la VPC y su CIDR en la sección Resources (Recursos) de la consola de IPAM.
importante
El rol de la cuenta de administración de AWS Organizations que delegó el administrador de IPAM ya está completo. Para seguir utilizando IPAM, la cuenta de administrador de IPAM debe iniciar sesión en Amazon VPC IPAM y crear un IPAM.