Menegakkan IPAM penggunaan untuk VPC pembuatan dengan SCPs - Amazon Virtual Private Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menegakkan IPAM penggunaan untuk VPC pembuatan dengan SCPs

catatan

Bagian ini hanya berlaku untuk Anda jika Anda telah mengaktifkan IPAM untuk mengintegrasikan dengan AWS Organizations. Untuk informasi selengkapnya, lihat Integrasikan IPAM dengan akun dalam AWS Organisasi.

Bagian ini menjelaskan cara membuat kebijakan kontrol layanan AWS Organizations yang mengharuskan anggota di organisasi Anda untuk menggunakannya IPAM saat mereka membuat kebijakanVPC. Kebijakan kontrol layanan (SCPs) adalah jenis kebijakan organisasi yang memungkinkan Anda mengelola izin di organisasi Anda. Untuk informasi selengkapnya, lihat Kebijakan kontrol layanan di Panduan AWS Organizations Pengguna.

Menegakkan IPAM saat membuat VPCs

Ikuti langkah-langkah di bagian ini untuk meminta anggota di organisasi Anda menggunakannya IPAM saat membuatVPCs.

Untuk membuat SCP dan membatasi VPC kreasi untuk IPAM
  1. Ikuti langkah-langkah dalam Membuat SCP di Panduan AWS Organizations Pengguna dan masukkan teks berikut di JSON editor:

    { "Version": "2012-10-17", "Statement": [{ "Effect": "Deny", "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"], "Resource": "arn:aws:ec2:*:*:vpc/*", "Condition": { "Null": { "ec2:Ipv4IpamPoolId": "true" } } }] }
  2. Lampirkan kebijakan ke satu atau lebih unit organisasi di organisasi Anda. Untuk informasi selengkapnya, lihat Melampirkan dan melepaskan kebijakan kontrol layanan di AWS Organizations Panduan Pengguna.

Menegakkan IPAM kolam saat membuat VPCs

Ikuti langkah-langkah di bagian ini untuk meminta anggota di organisasi Anda menggunakan IPAM kumpulan tertentu saat membuatVPCs.

Untuk membuat SCP dan membatasi VPC kreasi ke kolam IPAM
  1. Ikuti langkah-langkah dalam Membuat SCP di Panduan AWS Organizations Pengguna dan masukkan teks berikut di JSON editor:

    { "Version": "2012-10-17", "Statement": [{ "Effect": "Deny", "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"], "Resource": "arn:aws:ec2:*:*:vpc/*", "Condition": { "StringNotEquals": { "ec2:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg" } } }] }
  2. Ubah nilai ipam-pool-0123456789abcdefg contoh ke ID IPv4 kumpulan yang ingin Anda batasi pengguna.

  3. Lampirkan kebijakan ke satu atau lebih unit organisasi di organisasi Anda. Untuk informasi selengkapnya, lihat Melampirkan dan melepaskan kebijakan kontrol layanan di AWS Organizations Panduan Pengguna.

Menegakkan IPAM untuk semua kecuali daftar yang diberikan OUs

Ikuti langkah-langkah di bagian ini IPAM untuk menegakkan semua kecuali daftar Unit Organisasi yang diberikan (OUs). Kebijakan yang dijelaskan dalam bagian ini diperlukan OUs dalam organisasi kecuali OUs yang Anda tentukan aws:PrincipalOrgPaths untuk digunakan IPAM untuk membuat dan memperluasVPCs. Yang tercantum OUs dapat digunakan IPAM saat membuat VPCs atau menentukan rentang alamat IP secara manual.

Untuk membuat SCP dan menegakkan IPAM untuk semua kecuali daftar yang diberikan OUs
  1. Ikuti langkah-langkah dalam Membuat SCP di Panduan AWS Organizations Pengguna dan masukkan teks berikut di JSON editor:

    { "Version": "2012-10-17", "Statement": [{ "Effect": "Deny", "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"], "Resource": "arn:aws:ec2:*:*:vpc/*", "Condition": { "Null": { "ec2:Ipv4IpamPoolId": "true" }, "ForAllValues:StringNotLike": { "aws:PrincipalOrgPaths": [ "o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/", "o-a1b2c3d4e5/r-ab12/ou-ab13-22222222/ou-ab13-33333333/" ] } } }] }
  2. Hapus nilai contoh (sepertio-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/) dan tambahkan jalur entitas AWS Organizations dari opsi OUs yang ingin Anda gunakan (tetapi tidak perlu)IPAM. Untuk informasi selengkapnya tentang jalur entitas, lihat Memahami jalur entitas AWS Organizations dan aws: PrincipalOrgPaths di Panduan AWS Identity and Access Management Pengguna.

  3. Lampirkan kebijakan ke root organisasi Anda. Untuk informasi selengkapnya, lihat Melampirkan dan melepaskan kebijakan kontrol layanan di AWS Organizations Panduan Pengguna.