Cómo funcionan las exclusiones de OU Añadir o eliminar exclusiones de OU

Excluir las unidades organizativas del IPAM

Si su IPAM está integrado con AWS Organizations y añade una exclusión de unidades organizativas (OU), el IPAM no administrará las direcciones IP de las cuentas de esa OU. Esta característica le ofrece mayor flexibilidad a la hora de utilizar el IPAM.

Puede usar las exclusiones de OU de las siguientes maneras:

Habilite el IPAM para partes específicas de su empresa: si tiene varias unidades de negocio o subsidiarias en AWS Organizations, ahora puede usar el IPAM solo para las que lo necesiten.
Mantenga sus cuentas de entorno de pruebas separadas: puede excluir sus cuentas de entorno de pruebas del IPAM y centrarse únicamente en las cuentas que realmente importan para la administración de su IP.

Cómo funcionan las exclusiones de OU

En los diagramas de esta sección, se muestran dos casos de uso diferentes para añadir exclusiones de OU en el IPAM.

En el primer diagrama, se muestra el impacto de añadir una exclusión de unidad organizativa (OU) únicamente en una OU principal. Como resultado, el IPAM no administrará las direcciones IP de las cuentas de la OU principal. El IPAM administrará las direcciones IP de las cuentas de las demás OU fuera de la exclusión.

Diagrama de exclusión de OU en la OU principal

En el segundo diagrama, se muestra el impacto de añadir una exclusión de unidad organizativa (OU) en una OU principal y en todas las OU secundarias. En consecuencia, el IPAM no administrará las direcciones IP de las cuentas de la OU principal ni de las cuentas de ninguna OU secundaria. El IPAM administrará las direcciones IP de las cuentas de las OU fuera de la exclusión.

Diagrama de exclusión de OU en la OU principal y en todas las OU secundarias.

Añadir o eliminar exclusiones de OU

Complete los pasos de esta sección para añadir o eliminar exclusiones de OU.

nota

La cuenta de administrador de IPAM delegada no está excluida, incluso si se encuentra dentro de una OU excluida.
Su IPAM debe estar integrado con AWS Organizations para añadir una exclusión de OU. La organización debe tener OU integradas.
Debe ser el administrador delegado del IPAM para ver, añadir o eliminar las exclusiones de OU.
El IPAM tarda un tiempo en descubrir las unidades organizativas creadas recientemente.
Hay una cuota predeterminada del número de exclusiones que puede añadir por detección de recursos. Para obtener más información, consulte Exclusiones de unidades organizativas por detección de recursos en Cuotas de IPAM.
Si comparte la detección de un recurso con otra cuenta, esa cuenta puede ver las exclusiones de OU que contiene, entre otras cosas, el identificador de la organización, el identificador raíz y los identificadores de las unidades organizativas de la organización del propietario de la detección de recursos.

AWS Management Console

Para añadir o eliminar exclusiones de OU

Abra la consola de IPAM en https://console.aws.amazon.com/ipam/.
En el panel de navegación, elija Detecciones de recursos.
Elija su detección de recursos predeterminada.
Elija Editar.
En Exclusiones de unidades organizativas, haga lo siguiente:
- Para añadir una exclusión de OU:
  - Si desea excluir la OU y todas sus OU secundarias:
    
    Busque la OU en la tabla y marque la casilla de verificación. Todas las OU secundarias se seleccionan automáticamente.
  - Si desea excluir únicamente las cuentas de OU principales:
    
    Busque la OU en la tabla y marque la casilla de verificación. Todas las OU secundarias se seleccionan automáticamente. Deseleccione todas las OU secundarias.
  - Como alternativa, puede usar la columna Acciones para seleccionar solo una OU principal o una OU principal y secundaria:
    
    Seleccionar todas las OU secundarias: incluya las OU secundarias en la exclusión. Al elegir una OU, esta se añade a la pantalla. Cada OU contiene el identificador y la ruta de la entidad de la exclusión de la OU.
    
    Seleccionar solo esta OU: incluya solo esta OU en la exclusión. Al elegir una OU, esta se añade a la pantalla. Cada OU contiene el identificador y la ruta de la entidad de la exclusión de la OU.
    
    Copiar la ruta de la entidad de la OU: copie la ruta de la entidad AWS Organizations para utilizarla según sea necesario.
  - Si ya conoce la ruta de la entidad de AWS Organizations o quiere crearla:
    
    Elija Introducir la exclusión de la unidad organizativa e ingrese la ruta de la entidad de la exclusión de la OU. Cree la ruta para las OU utilizando los identificadores de AWS Organizations separados por una /. Incluya todas las OU secundarias terminando la ruta con /*.
    
    Ejemplo 1
    
    Ruta hacia una OU secundaria: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/
    
    En este ejemplo, o-a1b2c3d4e5 es el ID de la organización, r-f6g7h8i9j0example es el ID raíz, ou-ghi0-awsccccc es un ID de OU y ou-jkl0-awsddddd es un ID de OU secundaria.
    
    El IPAM no administrará las direcciones IP de las cuentas de la OU secundaria.
    
    Ejemplo 2
    
    Ruta en la que todas las OU secundarias formarán parte de la exclusión: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*
    
    En este ejemplo, el IPAM no administrará las direcciones IP de las cuentas de la OU (ou-ghi0-awsccccc) ni de las cuentas de ninguna OU que sea secundaria a la OU.
- Para eliminar una exclusión de una OU:
  - Seleccione la X situada junto a una OU que ya se haya añadido. El /* que aparece después del ID de la OU indica que se trata de una OU principal y que las secundarias forman parte de la exclusión.
Elija Guardar cambios.

Command line

Los comandos de esta sección están vinculados a la documentación de referencia de AWS CLI. La documentación proporciona descripciones detalladas de las opciones que puede utilizar al ejecutar los comandos.

Consulte los detalles de la detección de recursos para obtener el ID de la detección de recursos predeterminada para el siguiente paso con describe-ipam-resource-discovery.

Input:


aws ec2 describe-ipam-resource-discoveries

Salida:


{                                                                                                                              
    "IpamResourceDiscoveries": [                                                                                               
        {                                                                                                                      
            "OwnerId": "111122223333",                                                                                         
            "IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",                                                     
            "IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",  
            "IpamResourceDiscoveryRegion": "us-east-1",                                                                        
            "OperatingRegions": [                                                                                              
                {                                                                                                              
                    "RegionName": "us-east-1"                                                                                  
                },                                                                                                             
                {                                                                                                              
                    "RegionName": "us-west-1"                                                                                  
                },                                                                                                             
                {                                                                                                              
                    "RegionName": "us-west-2"                                                                                  
                }                                                                                                              
            ],                                                                                                                 
            "IsDefault": true,                                                                                                 
            "State": "modify-complete",                                                                                        
            "Tags": []                                                                                                         
        }                                                                                                                      
    ]                                                                                                                          
}

Añada o elimine una exclusión de unidades organizativas de una detección de recursos con modify-ipam-resource-discovery y las opciones --add-organizational-unit-exclusions o --remove-organizational-unit-exclusions. Deberá introducir una ruta de entidad de AWS Organizations. Cree la ruta para las OU utilizando los identificadores de AWS Organizations separados por una /. Incluya todas las OU secundarias terminando la ruta con /*.

Ejemplo 1
- Ruta hacia una OU secundaria: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/
- En este ejemplo, o-a1b2c3d4e5 es el ID de la organización, r-f6g7h8i9j0example es el ID raíz, ou-ghi0-awsccccc es un ID de OU y ou-jkl0-awsddddd es un ID de OU secundaria.
- El IPAM no administrará las direcciones IP de las cuentas de la OU secundaria.
Ejemplo 2
- Ruta en la que todas las OU secundarias formarán parte de la exclusión: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*
- En este ejemplo, el IPAM no administrará las direcciones IP de las cuentas de la OU (ou-ghi0-awsccccc) ni de las cuentas de ninguna OU que sea secundaria a la OU.

Input:


aws ec2 modify-ipam-resource-discovery \
    --ipam-resource-discovery-id ipam-res-disco-1234567890abcdef0 \
    --add-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*' \
    --remove-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/' \
    --region us-east-1

Salida:


{
    "IpamResourceDiscovery": {
        "OwnerId": "111122223333",
        "IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",
        "IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",
        "IpamResourceDiscoveryRegion": "us-east-1",
        "OperatingRegions": [
            {
                "RegionName": "us-east-1"
            }
        ],
        "IsDefault": false,
        "State": "modify-in-progress",
        "OrganizationalUnitExclusions": [
            {
                "OrganizationsEntityPath": "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*"
            }
        ]
    }
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Aplicación del uso del IPAM para la creación de VPC con SCP

Modificar un nivel de IPAM