Appliquer l'IPAM lors de la création VPCs Appliquer un pool IPAM lors de la création VPCs Appliquer l'IPAM pour tous sauf pour une liste donnée OUs

Renforcez l'utilisation d'IPAM pour la création de VPC avec SCPs

Note

Cette section ne s'applique à vous que si vous avez activé l'intégration d'IPAM avec AWS Organizations. Pour de plus amples informations, veuillez consulter Intégrer l'IPAM aux comptes d'une organisation AWS.

Cette section décrit comment créer une politique de contrôle des services AWS Organizations qui oblige les membres de votre organisation à utiliser IPAM lorsqu'ils créent un VPC. Les politiques de contrôle des services (SCPs) sont un type de politique d'organisation qui vous permet de gérer les autorisations au sein de votre organisation. Pour plus d'informations, veuillez consulter Politiques de contrôle de service du Guide de l'utilisateur AWS Organizations .

Appliquer l'IPAM lors de la création VPCs

Suivez les étapes décrites dans cette section pour obliger les membres de votre organisation à utiliser IPAM lors de la création VPCs.

Créer une politique de contrôle de service (SCP) et restreindre la création de VPC à IPAM

Suivez les étapes décrites dans la section Créer une politique de contrôle des services dans le guide de l'AWS Organizations utilisateur et entrez le texte suivant dans l'éditeur JSON :


{
    "Version": "2012-10-17",
    "Statement": [{
       "Effect": "Deny",
        "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
        "Resource": "arn:aws:ec2:*:*:vpc/*",
        "Condition": {
            "Null": {
                "ec2:Ipv4IpamPoolId": "true"
            }
        }
     }]
}

Associez la stratégie à une ou plusieurs unités organisationnelles de votre organisation. Pour plus d'informations, consultez les sections Attacher des politiques et Détacher des politiques dans le Guide de l'AWS Organizations utilisateur.

Appliquer un pool IPAM lors de la création VPCs

Suivez les étapes décrites dans cette section pour obliger les membres de votre organisation à utiliser un pool IPAM spécifique lors de la création VPCs.

Créer une politique de contrôle de service (SCP) et restreindre la création de VPC à un groupe IPAM

Suivez les étapes décrites dans la section Créer une politique de contrôle des services dans le guide de l'AWS Organizations utilisateur et entrez le texte suivant dans l'éditeur JSON :


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Deny",
        "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
        "Resource": "arn:aws:ec2:*:*:vpc/*",
        "Condition": {
            "StringNotEquals": {
                "ec2:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg"
            }
          }
    }]
}

Remplacez la valeur de l'ipam-pool-0123456789abcdefgexemple par l'ID de IPv4 pool auquel vous souhaitez limiter les utilisateurs.
Associez la stratégie à une ou plusieurs unités organisationnelles de votre organisation. Pour plus d'informations, consultez les sections Attacher des politiques et Détacher des politiques dans le Guide de l'AWS Organizations utilisateur.

Appliquer l'IPAM pour tous sauf pour une liste donnée OUs

Suivez les étapes décrites dans cette section pour appliquer l'IPAM à toutes les unités organisationnelles, à l'exception d'une liste donnée (OUs). La politique décrite dans cette section exige que l'organisation, OUs à l'exception de OUs celle que vous spécifiez, utilise IPAM pour créer et développer VPCs. aws:PrincipalOrgPaths Les personnes répertoriées OUs peuvent soit utiliser IPAM lors de la création, VPCs soit spécifier manuellement une plage d'adresses IP.

Pour créer un SCP et appliquer l'IPAM pour tous sauf une liste donnée de OUs

Suivez les étapes décrites dans la section Créer une politique de contrôle des services dans le guide de l'AWS Organizations utilisateur et entrez le texte suivant dans l'éditeur JSON :


{
    "Version": "2012-10-17",
    "Statement": [{
	"Effect": "Deny",
	    "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
	    "Resource": "arn:aws:ec2:*:*:vpc/*",
	    "Condition": {
	        "Null": {
		      "ec2:Ipv4IpamPoolId": "true"
                },
	        "ForAllValues:StringNotLike": {
	            "aws:PrincipalOrgPaths": [
	                "o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/",
	                "o-a1b2c3d4e5/r-ab12/ou-ab13-22222222/ou-ab13-33333333/"
	            ]
                }
            }
     }]
}

Supprimez les valeurs d'exemple (commeo-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/) et ajoutez AWS les chemins d'entités Organizations OUs dont vous souhaitez avoir la possibilité (mais pas obligatoire) d'utiliser IPAM. Pour plus d'informations sur le chemin de l'entité, consultez Understand the AWS Organizations entity path et aws : PrincipalOrgPaths dans le guide de l'utilisateur IAM.
Attachez la politique à la racine de votre organisation. Pour plus d'informations, consultez les sections Attacher des politiques et Détacher des politiques dans le Guide de l'AWS Organizations utilisateur.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Activer le provisionnement d'une GUA privée IPv6 CIDRs

Exclure les unités organisationnelles d’IPAM