Come funzionano le esclusioni OU Aggiunta o rimozione di esclusioni delle unità organizzative

Escludi unità organizzative da IPAM

Se la tua IPAM è integrata con AWS Organizations e aggiungi un'esclusione di unità organizzative (OU), non IPAM gestirà gli indirizzi IP negli account di quell'unità organizzativa. Questa funzionalità offre una maggiore flessibilità nel modo in cui viene utilizzataIPAM.

Puoi utilizzare esclusioni delle unità organizzative nei seguenti modi:

Abilita IPAM per parti specifiche della tua attività: se hai più unità aziendali o filiali in AWS Organizations, ora puoi utilizzarle IPAM solo per quelle che ne hanno bisogno.
Tieni separati gli account sandbox: puoi escluderliIPAM, concentrandoti solo sugli account che contano davvero per la gestione della proprietà intellettuale.

Come funzionano le esclusioni OU

I diagrammi di questa sezione illustrano due diversi casi d'uso per l'aggiunta di esclusioni di unità organizzative. IPAM

Il primo diagramma mostra l'impatto dell'aggiunta di un'esclusione di unità organizzative (OU) solo su un'unità organizzativa principale. Di conseguenza, non IPAM gestirà gli indirizzi IP negli account dell'unità organizzativa principale. IPAMgestirà gli indirizzi IP degli account degli altri account al di OUs fuori dell'esclusione.

Diagramma dell'esclusione delle unità organizzative sull'unità organizzativa principale

Il secondo diagramma mostra l'impatto dell'aggiunta dell'esclusione di un'unità organizzativa (OU) su un'unità organizzativa principale e su tutti i figli. OUs Di conseguenza, non IPAM gestirà gli indirizzi IP negli account dell'unità organizzativa principale o negli account di nessun figlio. OUs IPAMgestirà gli indirizzi IP negli account OUs al di fuori dell'esclusione.

Diagramma dell'esclusione delle unità organizzative dell'unità organizzativa principale e di tutti i figli. OUs

Aggiunta o rimozione di esclusioni delle unità organizzative

Completa i passaggi descritti in questa sezione per aggiungere o rimuovere esclusioni delle unità organizzative.

Nota

L'account IPAM amministratore delegato non è escluso anche se si trova all'interno di un'unità organizzativa esclusa.
Il tuo IPAM deve essere integrato con AWS Organizations per aggiungere un'esclusione dell'unità organizzativa. L'Organizzazione deve averne OUs parte.
Devi essere l'IPAMamministratore delegato per visualizzare, aggiungere o rimuovere le esclusioni delle unità organizzative.
Ci vuole tempo per scoprire IPAM le unità organizzative create di recente.
Esiste una quota predefinita per il numero di esclusioni che puoi aggiungere per rilevamento delle risorse. Per ulteriori informazioni, vedere Esclusioni di unità organizzative per scoperta di risorse in. Quote per il IPAM
Se condividi l'individuazione di una risorsa con un altro account, tale account può visualizzare le esclusioni delle unità organizzative relative a tale account, che contengono informazioni come l'ID dell'organizzazione, l'ID radice e l'unità organizzativa IDs dell'organizzazione del proprietario della risorsa.

AWS Management Console

Per aggiungere o rimuovere esclusioni delle unità organizzative

Aprire la IPAM console all'indirizzo https://console.aws.amazon.com/ipam/.
Nel riquadro di navigazione, scegli Rilevamenti delle risorse.
Scegli il rilevamento delle risorse predefinito.
Scegli Modifica.
In Esclusioni di unità organizzative, procedi come segue:
- Per aggiungere un'esclusione dell'unità organizzativa:
  - Se si desidera escludere l'unità organizzativa e tutti i relativi elementi OUs secondari:
    
    Trova l'unità organizzativa nella tabella e seleziona la casella di controllo. Tutti i bambini OUs vengono selezionati automaticamente.
  - Se desideri escludere solo gli account OU principali:
    
    Trova l'unità organizzativa nella tabella e seleziona la casella di controllo. Tutti i bambini OUs vengono selezionati automaticamente. Deseleziona tutti i bambiniOUs.
  - In alternativa, puoi utilizzare la colonna Azioni per selezionare solo un'unità organizzativa principale o un genitore e un figlioOUs:
    
    Seleziona tutto il figlio OUs: includi qualsiasi bambino OUs nell'esclusione. Dopo aver scelto un'unità organizzativa, l'unità organizzativa viene aggiunta sullo schermo. Ogni unità organizzativa contiene l'ID e il percorso dell'entità dell'esclusione dell'unità organizzativa.
    
    Seleziona solo questa unità organizzativa: include solo questa unità organizzativa nell'esclusione. Dopo aver scelto un'unità organizzativa, l'unità organizzativa viene aggiunta sullo schermo. Ogni unità organizzativa contiene l'ID e il percorso dell'entità dell'esclusione dell'unità organizzativa.
    
    Copia il percorso dell'entità dell'unità organizzativa: copia il percorso dell' AWS Organizations entità da utilizzare in base alle esigenze.
  - Se conosci già il percorso dell'entità AWS Organizations o desideri crearlo:
    
    Scegli Input (esclusione dell'unità organizzativa) e inserisci il percorso dell'entità per l'esclusione dell'unità organizzativa. Crea il percorso per le unità organizzative utilizzando AWS Organizzazioni IDs separate da a/. Includi tutti i bambini OUs terminando il percorso con/*.
    
    Esempio 1
    
    Percorso verso un'unità organizzativa secondaria: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/
    
    In questo esempio, o-a1b2c3d4e5 è l'ID dell'organizzazione, r-f6g7h8i9j0example è l'ID radice, ou-ghi0-awsccccc è un ID OU ed ou-jkl0-awsddddd è un ID dell'unità organizzativa secondaria.
    
    IPAMnon gestirà gli indirizzi IP negli account dell'unità organizzativa secondaria.
    
    Esempio 2
    
    Percorso in cui tutti i bambini OUs faranno parte dell'esclusione: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*
    
    In questo esempio, non IPAM gestirà gli indirizzi IP negli account dell'unità organizzativa (ou-ghi0-awsccccc) o negli account di altri OUs che sono figli dell'unità organizzativa.
- Per rimuovere un'esclusione dell'unità organizzativa:
  - Scegli la X accanto a un'unità organizzativa già aggiunta. L'ID /* successivo all'unità organizzativa indica che si tratta di un'unità organizzativa principale e che il figlio fa OUs parte dell'esclusione dell'unità organizzativa.
Scegli Save changes (Salva modifiche).

Command line

I comandi di questa sezione rimandano alla documentazione AWS CLI di riferimento. La documentazione fornisce descrizioni dettagliate delle opzioni che è possibile utilizzare quando si eseguono i comandi.

Visualizza i dettagli relativi all'individuazione delle risorse per ottenere l'ID dell'individuazione delle risorse predefinita per la fase successiva describe-ipam-resource-discoveries.

Input:


aws ec2 describe-ipam-resource-discoveries

Output:


{                                                                                                                              
    "IpamResourceDiscoveries": [                                                                                               
        {                                                                                                                      
            "OwnerId": "111122223333",                                                                                         
            "IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",                                                     
            "IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",  
            "IpamResourceDiscoveryRegion": "us-east-1",                                                                        
            "OperatingRegions": [                                                                                              
                {                                                                                                              
                    "RegionName": "us-east-1"                                                                                  
                },                                                                                                             
                {                                                                                                              
                    "RegionName": "us-west-1"                                                                                  
                },                                                                                                             
                {                                                                                                              
                    "RegionName": "us-west-2"                                                                                  
                }                                                                                                              
            ],                                                                                                                 
            "IsDefault": true,                                                                                                 
            "State": "modify-complete",                                                                                        
            "Tags": []                                                                                                         
        }                                                                                                                      
    ]                                                                                                                          
}

Aggiungi o rimuovi l'esclusione di un'unità organizzativa dall'individuazione di risorse con modify-ipam-resource-discoverye le --remove-organizational-unit-exclusions opzioni --add-organizational-unit-exclusions or. Dovrai inserire un percorso dell'entità AWS Organizations. Crea il percorso per le unità organizzative utilizzando AWS Organizzazioni IDs separate da a/. Includi tutti i bambini OUs terminando il percorso con/*.

Esempio 1
- Percorso verso un'unità organizzativa secondaria: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/
- In questo esempio, o-a1b2c3d4e5 è l'ID dell'organizzazione, r-f6g7h8i9j0example è l'ID radice, ou-ghi0-awsccccc è un ID OU ed ou-jkl0-awsddddd è un ID dell'unità organizzativa secondaria.
- IPAMnon gestirà gli indirizzi IP negli account dell'unità organizzativa secondaria.
Esempio 2
- Percorso in cui tutti i bambini OUs faranno parte dell'esclusione: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*
- In questo esempio, non IPAM gestirà gli indirizzi IP negli account dell'unità organizzativa (ou-ghi0-awsccccc) o negli account di altri OUs che sono figli dell'unità organizzativa.

Input:


aws ec2 modify-ipam-resource-discovery \
    --ipam-resource-discovery-id ipam-res-disco-1234567890abcdef0 \
    --add-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*' \
    --remove-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/' \
    --region us-east-1

Output:


{
    "IpamResourceDiscovery": {
        "OwnerId": "111122223333",
        "IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",
        "IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",
        "IpamResourceDiscoveryRegion": "us-east-1",
        "OperatingRegions": [
            {
                "RegionName": "us-east-1"
            }
        ],
        "IsDefault": false,
        "State": "modify-in-progress",
        "OrganizationalUnitExclusions": [
            {
                "OrganizationsEntityPath": "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*"
            }
        ]
    }
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Imponi IPAM l'uso per la VPC creazione con SCPs

Modifica IPAM livello