Aplicación del uso del IPAM para la creación de VPC con SCP
nota
Esta sección solo se aplica si ha habilitado la integración de IPAM con AWS Organizations. Para obtener más información, consulte Integración de IPAM con cuentas en una organización de AWS.
En esta sección se describe cómo crear una política de control de servicios en AWS Organizations que exige que los miembros de su organización usen IPAM al crear una VPC. Las políticas de control de servicios (SCP) son un tipo de política de organización que le permite administrar permisos en su organización. Para obtener más información, consulte Políticas de control de servicios en la Guía del usuario de AWS Organizations.
Aplicar IPAM al crear VPC
Siga los pasos de esta sección para exigir a los miembros de su organización que usen IPAM al crear VPC.
Para crear una SCP y restringir la creación de VPC a IPAM
Siga los pasos de Creación de una SCP en la AWS Organizations Guía del usuario e ingrese el siguiente texto en el editor JSON:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Deny", "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"], "Resource": "arn:aws:ec2:*:*:vpc/*", "Condition": { "Null": { "ec2:Ipv4IpamPoolId": "true" } } }] }-
Adjunte la política a una o más unidades organizativas de su organización. Para obtener más información, consulte Asociar y desasociar políticas de control de servicios en la Guía del usuario de AWS Organizations.
Aplicar un grupo de IPAM al crear VPC
Siga los pasos de esta sección para exigir a los miembros de su organización que usen un grupo de IPAM específico al crear VPC.
Para crear una SCP y restringir la creación de VPC a un grupo de IPAM
Siga los pasos de Creación de una SCP en la AWS Organizations Guía del usuario e ingrese el siguiente texto en el editor JSON:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Deny", "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"], "Resource": "arn:aws:ec2:*:*:vpc/*", "Condition": { "StringNotEquals": { "ec2:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg" } } }] }Cambie el valor de ejemplo
ipam-pool-0123456789abcdefgdel ID de grupo IPv4 que desea restringir a los usuarios.-
Adjunte la política a una o más unidades organizativas de su organización. Para obtener más información, consulte Asociar y desasociar políticas de control de servicios en la Guía del usuario de AWS Organizations.
Aplicar IPAM a todas las OU excepto a una lista determinada
Siga los pasos de esta sección para aplicar IPAM a todas las Unidades Organizativas (OU) excepto a una lista determinada. La política descrita en esta sección requiere OU en la organización, excepto las OU que usted especifique en aws:PrincipalOrgPaths para usar IPAM para crear y expandir VPC. Las OU listadas pueden utilizar IPAM al crear VPC o especificar un rango de direcciones IP manualmente.
Para crear un SCP y aplicar IPAM a todas las OU excepto a una lista determinada
-
Siga los pasos de Creación de una SCP en la AWS Organizations Guía del usuario e ingrese el siguiente texto en el editor JSON:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Deny", "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"], "Resource": "arn:aws:ec2:*:*:vpc/*", "Condition": { "Null": { "ec2:Ipv4IpamPoolId": "true" }, "ForAllValues:StringNotLike": { "aws:PrincipalOrgPaths": [ "o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/", "o-a1b2c3d4e5/r-ab12/ou-ab13-22222222/ou-ab13-33333333/" ] } } }] } -
Elimine los valores de ejemplo (como
o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/) y añada las rutas de las entidades de las organizaciones AWS de las OU que desee que tengan la opción (pero no la obligación) de utilizar IPAM. Para más información sobre rutas de entidad, consulte Entender las rutas de entidad de las organizaciones AWS y aws:PrincipalOrgPaths en la Guía de Usuario de AWS Identity and Access Management. -
Asocie la política a la raíz de su organización. Para obtener más información, consulte Asociar y desasociar políticas de control de servicios en la Guía del usuario de AWS Organizations.
