Exclure les unités organisationnelles de IPAM - Amazon Virtual Private Cloud
Comment fonctionnent les exclusions de l'UOAjouter ou supprimer des exclusions d'unités d'organisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exclure les unités organisationnelles de IPAM

Si vous IPAM êtes intégré à AWS Organizations et que vous ajoutez une exclusion d'unité organisationnelle (UO), les adresses IP des comptes de cette UO ne IPAM seront pas gérées. Cette fonctionnalité vous donne plus de flexibilité dans votre mode d'utilisationIPAM.

Vous pouvez utiliser les exclusions d'unités d'organisation selon les manières suivantes :

  • Activez cette option IPAM pour des secteurs spécifiques de votre entreprise : si vous avez plusieurs unités commerciales ou filiales dans AWS Organizations, vous pouvez désormais les utiliser IPAM uniquement pour celles qui en ont besoin.

  • Séparez vos comptes sandbox : vous pouvez exclure vos comptes sandboxIPAM, en vous concentrant uniquement sur les comptes réellement importants pour la gestion de votre propriété intellectuelle.

Comment fonctionnent les exclusions de l'UO

Les diagrammes de cette section illustrent deux cas d'utilisation différents pour ajouter des exclusions d'unités d'organisationIPAM.

Le premier diagramme montre l'impact de l'ajout d'une exclusion d'unité organisationnelle (UO) sur une UO parent uniquement. Par conséquent, ne IPAM gérera pas les adresses IP des comptes de l'unité d'organisation parent. IPAMgérera les adresses IP des comptes de l'autre en OUs dehors de l'exclusion.

Schéma de l'exclusion de l'UO sur l'UO parent

Le deuxième diagramme montre l'impact de l'ajout d'une exclusion d'unité organisationnelle (UO) sur une UO parent et sur tous les enfantsOUs. Par conséquent, il ne IPAM gérera pas les adresses IP des comptes de l'unité d'organisation parent ou des comptes d'un enfantOUs. IPAMgérera les adresses IP des comptes OUs situés en dehors de l'exclusion.

Schéma de l'exclusion de l'UO sur l'UO parent et sur tous les enfantsOUs.

Ajouter ou supprimer des exclusions d'unités d'organisation

Suivez les étapes de cette section pour ajouter ou supprimer des exclusions d'unités d'unités d'organisation.

Note

  • Le compte IPAM administrateur délégué n'est pas exclu même s'il se trouve dans une unité d'organisation exclue.

  • Vous IPAM devez être intégré AWS Organizations à pour ajouter une exclusion d'unité d'organisation. L'Organisation doit y OUs participer.

  • Vous devez être l'IPAMadministrateur délégué pour afficher, ajouter ou supprimer des exclusions d'unités d'organisation.

  • Il faut du temps IPAM pour découvrir les unités organisationnelles récemment créées.

  • Il existe un quota par défaut pour le nombre d'exclusions que vous pouvez ajouter par découverte de ressources. Pour plus d'informations, consultez la section Exclusions d'unités organisationnelles par découverte de ressources dansQuotas pour vos IPAM.

  • Si vous partagez une découverte de ressources avec un autre compte, ce compte peut voir les exclusions de l'unité organisationnelle qui y figurent, qui contiennent des informations telles que l'identifiant de l'organisation, l'identifiant racine et l'unité organisationnelle IDs de l'organisation du propriétaire de la découverte des ressources.

AWS Management Console
Pour ajouter ou supprimer des exclusions d'unités d'organisation

  1. Ouvrez la IPAM console à l'adresse https://console.aws.amazon.com/ipam/.

  2. Dans le volet de navigation, sélectionnez Découvertes de ressources.

  3. Sélectionnez votre découverte de ressources par défaut.

  4. Choisissez Modifier.

  5. Sous Exclusions des unités organisationnelles, procédez comme suit :

    • Pour ajouter une exclusion d'unité d'organisation :

      • Si vous souhaitez exclure l'UO et tous ses enfants OUs :

        • Trouvez l'ou dans le tableau et cochez la case. Tous les enfants OUs sont automatiquement sélectionnés.

      • Si vous souhaitez exclure uniquement les comptes de l'unité d'organisation parent :

        • Trouvez l'ou dans le tableau et cochez la case. Tous les enfants OUs sont automatiquement sélectionnés. Désélectionnez tous les enfantsOUs.

      • Vous pouvez également utiliser la colonne Actions pour sélectionner uniquement une unité d'organisation parent ou un parent et un enfant OUs :

        • Sélectionnez tous les enfants OUs : incluez n'importe quel enfant OUs dans l'exclusion. À la suite du choix d'une UO, celle-ci est ajoutée à l'écran. Chaque unité d'organisation contient l'ID et le chemin d'entité de l'exclusion de l'unité d'organisation.

        • Sélectionnez uniquement cette unité d'organisation : incluez uniquement cette unité d'organisation dans l'exclusion. À la suite du choix d'une UO, celle-ci est ajoutée à l'écran. Chaque unité d'organisation contient l'ID et le chemin d'entité de l'exclusion de l'unité d'organisation.

        • Copier le chemin de l'entité UO : copiez le chemin de l' AWS Organizations entité à utiliser selon les besoins.

      • Si vous connaissez déjà le chemin de l'entité AWS Organizations ou si vous souhaitez le créer :

        • Choisissez Input organization unit exclusion et entrez le chemin d'entité de l'exclusion de l'UO. Créez le chemin pour la ou les UO à l'aide d' AWS Organizations IDs séparées par un/. Incluez tous les enfants OUs en terminant le chemin par/*.

          • Exemple 1

            • Chemin d'accès à une unité d'organisation pour enfants : o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/

            • Dans cet exemple, o-a1b2c3d4e5 il s'agit de l'ID de l'organisation, r-f6g7h8i9j0example de l'ID racine, ou-ghi0-awsccccc de l'ID de l'unité organisationnelle et ou-jkl0-awsddddd de l'ID de l'unité d'organisation enfant.

            • IPAMne gérera pas les adresses IP des comptes de l'unité d'organisation enfant.

          • Exemple 2

            • Parcours où tous les enfants OUs participeront à l'exclusion : o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*

            • Dans cet exemple, ne IPAM gérera pas les adresses IP des comptes de l'unité d'organisation (ou-ghi0-awsccccc) ou des comptes des comptes OUs des enfants de l'unité d'organisation.

    • Pour supprimer une exclusion d'unité organisationnelle :

      • Choisissez le X à côté d'une unité d'organisation déjà ajoutée. L'ID d'unité d'organisation situé /* après indique qu'il s'agit d'une unité d'organisation parent et que OUs les enfants font partie de l'exclusion de l'unité d'organisation.

  6. Sélectionnez Enregistrer les modifications.

Command line

Les commandes de cette section renvoient vers la documentation AWS CLI de référence. La documentation fournit des descriptions détaillées des options que vous pouvez utiliser lorsque vous exécutez les commandes.

  1. Consultez les détails de la découverte des ressources pour obtenir l'ID de la découverte des ressources par défaut pour l'étape suivante avec describe-ipam-resource-discoveries.

    Entrée :

    aws ec2 describe-ipam-resource-discoveries

    Sortie :

    {                                                                                                                              
    "IpamResourceDiscoveries": [                                                                                               
        {                                                                                                                      
            "OwnerId": "111122223333",                                                                                         
            "IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",                                                     
            "IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",  
            "IpamResourceDiscoveryRegion": "us-east-1",                                                                        
            "OperatingRegions": [                                                                                              
                {                                                                                                              
                    "RegionName": "us-east-1"                                                                                  
                },                                                                                                             
                {                                                                                                              
                    "RegionName": "us-west-1"                                                                                  
                },                                                                                                             
                {                                                                                                              
                    "RegionName": "us-west-2"                                                                                  
                }                                                                                                              
            ],                                                                                                                 
            "IsDefault": true,                                                                                                 
            "State": "modify-complete",                                                                                        
            "Tags": []                                                                                                         
        }                                                                                                                      
    ]                                                                                                                          
}

  2. Ajoutez ou supprimez une exclusion d'unité organisationnelle dans une découverte de ressources avec modify-ipam-resource-discoveryles --remove-organizational-unit-exclusions options --add-organizational-unit-exclusions ou. Vous devez saisir le chemin d'une entité AWS Organizations. Créez le chemin pour la ou les UO à l'aide d' AWS Organizations IDs séparées par un/. Incluez tous les enfants OUs en terminant le chemin par/*.

    • Exemple 1

      • Chemin d'accès à une unité d'organisation pour enfants : o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/

      • Dans cet exemple, o-a1b2c3d4e5 il s'agit de l'ID de l'organisation, r-f6g7h8i9j0example de l'ID racine, ou-ghi0-awsccccc de l'ID de l'unité organisationnelle et ou-jkl0-awsddddd de l'ID de l'unité d'organisation enfant.

      • IPAMne gérera pas les adresses IP des comptes de l'unité d'organisation enfant.

    • Exemple 2

      • Parcours où tous les enfants OUs participeront à l'exclusion : o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*

      • Dans cet exemple, ne IPAM gérera pas les adresses IP des comptes de l'unité d'organisation (ou-ghi0-awsccccc) ou des comptes des comptes OUs des enfants de l'unité d'organisation.

    Entrée :

    aws ec2 modify-ipam-resource-discovery \
    --ipam-resource-discovery-id ipam-res-disco-1234567890abcdef0 \
    --add-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*' \
    --remove-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/' \
    --region us-east-1

    Sortie :

    {
    "IpamResourceDiscovery": {
        "OwnerId": "111122223333",
        "IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",
        "IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",
        "IpamResourceDiscoveryRegion": "us-east-1",
        "OperatingRegions": [
            {
                "RegionName": "us-east-1"
            }
        ],
        "IsDefault": false,
        "State": "modify-in-progress",
        "OrganizationalUnitExclusions": [
            {
                "OrganizationsEntityPath": "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*"
            }
        ]
    }
}