Intégration IPAM aux comptes d'une AWS organisation - Amazon Virtual Private Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Intégration IPAM aux comptes d'une AWS organisation

Vous pouvez éventuellement suivre les étapes décrites dans cette section pour intégrer IPAM AWS Organizations et déléguer un compte membre en tant que IPAM compte.

Le IPAM compte est chargé de créer une adresse IP IPAM et de l'utiliser pour gérer et surveiller l'utilisation des adresses IP.

L'intégration IPAM à AWS Organizations et la délégation d'un IPAM administrateur présentent les avantages suivants :

  • Partagez vos IPAM pools avec votre organisation : lorsque vous déléguez un IPAM compte, cela IPAM permet aux comptes membres d'autres AWS Organizations de l'organisation d'allouer des fonds à CIDRs partir de IPAM pools partagés à l'aide de AWS Resource Access Manager (RAM). Pour plus d'informations sur la configuration d'une organisation, consultez Qu'est-ce qu' AWS  Organizations ? dans le Guide de l'utilisateur AWS  Organizations.

  • Surveillez l'utilisation des adresses IP dans votre organisation : lorsque vous déléguez un IPAM compte, vous IPAM autorisez le suivi de l'utilisation des adresses IP sur tous vos comptes. Par conséquent, les IPAM données utilisées par CIDRs les comptes membres d'autres VPCs AWS Organizations sont automatiquement importées dansIPAM.

Si vous ne déléguez pas un compte membre d' AWS Organizations en tant que IPAM compte, vous ne IPAM surveillerez les ressources que dans le AWS compte que vous avez utilisé pour créer leIPAM.

Note

Lors de l'intégration à des AWS Organizations :

  • Vous devez activer l'intégration avec AWS Organizations IPAM à l'aide de la console AWS de gestion ou de la AWS CLI commande enable-ipam-organization-admin-account. Cela garantit que leAWSServiceRoleForIPAM rôle lié à un service est créé. Si vous activez l'accès sécurisé avec AWS Organizations à l'aide de la console AWS Organizations ou de la register-delegated-administrator AWS CLIcommande, le rôle AWSServiceRoleForIPAM lié au service n'est pas créé et vous ne pouvez ni gérer ni surveiller les ressources au sein de votre organisation.

  • Le IPAM compte doit être un compte membre d' AWS Organizations. Vous ne pouvez pas utiliser le compte de gestion des AWS Organizations comme IPAM compte. Pour vérifier si vous êtes IPAM déjà intégré à AWS Organizations, suivez les étapes ci-dessous et consultez les détails de l'intégration dans les paramètres de l'organisation.

  • IPAMvous facture chaque adresse IP active surveillée dans les comptes des membres de votre organisation. Pour plus d'informations sur la tarification, ouvrez les paramètres de l'organisation dans la IPAM console. IPAMtarification.

  • Vous devez disposer d'un compte dans AWS Organizations et d'un compte de gestion configuré avec un ou plusieurs comptes membres. Pour plus d'informations sur les différents types de comptes, consultez Terminologie et concepts dans le Guide de l'utilisateur AWS  Organizations. Pour plus d'informations sur la configuration d'une organisation, consultez Prise en main d' AWS Organizations.

  • Le IPAM compte doit utiliser un IAM rôle associé à une IAM politique autorisant l'iam:CreateServiceLinkedRoleaction. Lorsque vous créez leIPAM, vous créez automatiquement le rôle AWSServiceRoleForIPAM lié au service.

  • L'utilisateur associé au compte de gestion des AWS Organizations doit utiliser un IAM rôle auquel sont associées les actions IAM de politique suivantes :

    • ec2:EnableIpamOrganizationAdminAccount

    • organizations:EnableAwsServiceAccess

    • organizations:RegisterDelegatedAdministrator

    • iam:CreateServiceLinkedRole

    Pour plus d'informations sur la création de IAM rôles, consultez la section Création d'un rôle pour déléguer des autorisations à un IAM utilisateur dans le Guide de IAM l'utilisateur.

  • L'utilisateur associé au compte de gestion des AWS Organizations peut utiliser un IAM rôle associé aux actions de IAM politique suivantes pour répertorier les administrateurs délégués actuels de votre AWS organisation : organizations:ListDelegatedAdministrators

AWS Management Console
Pour sélectionner un IPAM compte

  1. À l'aide du compte de gestion AWS Organizations, ouvrez la IPAM console à l'adresse https://console.aws.amazon.com/ipam/.

  2. Dans la console AWS de gestion, choisissez la AWS région dans laquelle vous souhaitez travaillerIPAM.

  3. Dans le panneau de navigation, choisissez Organization settings (Paramètres de l'organisation).

  4. L'option Delegate n'est disponible que si vous vous êtes connecté à la console en tant que compte de gestion des AWS Organizations. Choisisssez Delegate (Déléguer).

  5. Entrez le numéro de AWS compte d'un IPAM compte. L'IPAMadministrateur doit être membre d'un compte AWS Organizations.

  6. Sélectionnez Enregistrer les modifications.

Command line

Les commandes de cette section renvoient à la documentation AWS CLI de référence. La documentation fournit des descriptions détaillées des options que vous pouvez utiliser lorsque vous exécutez les commandes.

Lorsque vous déléguez un compte membre d'Organizations en tant que IPAM compte, un IAM rôle lié à un service est IPAM automatiquement créé dans tous les comptes membres de votre organisation. IPAMsurveille l'utilisation des adresses IP dans ces comptes en assumant le IAM rôle lié au service dans chaque compte de membre, en découvrant les ressources et les leursCIDRs, puis en les intégrant. IPAM Les ressources de tous les comptes membres seront consultables IPAM quelle que soit leur unité organisationnelle. Si certains comptes membres ont créé unVPC, par exemple, vous verrez le VPC et son CIDR dans la section Ressources de la IPAM console.

Important

Le rôle du compte de AWS Organizations gestion qui a délégué l'IPAMadministrateur est désormais terminé. Pour continuer à utiliserIPAM, le compte IPAM administrateur doit se connecter à Amazon VPC IPAM et créer unIPAM.