nota
Esta sección solo se aplica si ha habilitado la integración de IPAM con AWS Organizations. Para obtener más información, consulte Integración de IPAM con cuentas en una organización de AWS.
En esta sección se describe cómo crear una política de control de servicios en AWS Organizations que exige que los miembros de su organización usen IPAM al crear una VPC. Las políticas de control de servicios (SCP) son un tipo de política de organización que le permite administrar permisos en su organización. Para obtener más información, consulte Políticas de control de servicios en la Guía del usuario de AWS Organizations.
Aplicar IPAM al crear VPC
Siga los pasos de esta sección para exigir a los miembros de su organización que usen IPAM al crear VPC.
Para crear una SCP y restringir la creación de VPC a IPAM
Siga los pasos de Creación de una política de control de servicios en la Guía del usuario de AWS Organizations e ingrese el siguiente texto en el editor de JSON:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Deny", "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"], "Resource": "arn:aws:ec2:*:*:vpc/*", "Condition": { "Null": { "ec2:Ipv4IpamPoolId": "true" } } }] }-
Adjunte la política a una o más unidades organizativas de su organización. Para obtener más información, consulte Asociar y Desasociar políticas en la Guía del usuario de AWS Organizations.
Aplicar un grupo de IPAM al crear VPC
Siga los pasos de esta sección para exigir a los miembros de su organización que usen un grupo de IPAM específico al crear VPC.
Para crear una SCP y restringir la creación de VPC a un grupo de IPAM
Siga los pasos de Creación de una política de control de servicios en la Guía del usuario de AWS Organizations e ingrese el siguiente texto en el editor de JSON:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Deny", "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"], "Resource": "arn:aws:ec2:*:*:vpc/*", "Condition": { "StringNotEquals": { "ec2:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg" } } }] }Cambie el valor de ejemplo
ipam-pool-0123456789abcdefgdel ID de grupo IPv4 que desea restringir a los usuarios.-
Adjunte la política a una o más unidades organizativas de su organización. Para obtener más información, consulte Asociar y Desasociar políticas en la Guía del usuario de AWS Organizations.
Aplicar IPAM a todas las OU excepto a una lista determinada
Siga los pasos de esta sección para aplicar IPAM a todas las Unidades Organizativas (OU) excepto a una lista determinada. La política que se describe en esta sección requiere OU en la organización, excepto las OU que usted especifique en aws:PrincipalOrgPaths para usar IPAM para crear y expandir VPC. Las OU listadas pueden utilizar IPAM al crear VPC o especificar un rango de direcciones IP manualmente.
Para crear un SCP y aplicar IPAM a todas las OU excepto a una lista determinada
-
Siga los pasos de Creación de una política de control de servicios en la Guía del usuario de AWS Organizations e ingrese el siguiente texto en el editor de JSON:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Deny", "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"], "Resource": "arn:aws:ec2:*:*:vpc/*", "Condition": { "Null": { "ec2:Ipv4IpamPoolId": "true" }, "ForAllValues:StringNotLike": { "aws:PrincipalOrgPaths": [ "o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/", "o-a1b2c3d4e5/r-ab12/ou-ab13-22222222/ou-ab13-33333333/" ] } } }] } -
Elimine los valores de ejemplo (como
o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/) y añada las rutas de las entidades de las organizaciones AWS de las OU que desee que tengan la opción (pero no la obligación) de utilizar IPAM. Para más información sobre las rutas de entidad, consulte Descripción de la ruta de identidad de AWS Organizations y aws:PrincipalOrgPaths en la Guía del usuario de IAM. -
Asocie la política a la raíz de su organización. Para obtener más información, consulte Asociar y Desasociar políticas en la Guía del usuario de AWS Organizations.
