Applica l'utilizzo di IPAM per la creazione di VPC con le SCP - Amazon Virtual Private Cloud

Applica l'utilizzo di IPAM per la creazione di VPC con le SCP

Nota

Questa sezione è applicabile solo se hai abilitato l'integrazione di IPAM con AWS Organizations. Per ulteriori informazioni, consultare Come integrare IPAM con account in un’organizzazione AWS.

Questa sezione descrive come creare una policy di controllo del servizio in AWS Organizations che richiede ai membri dell'organizzazione di utilizzare IPAM quando creano un VPC. Le policy di controllo dei servizi (SCP) sono un tipo di policy dell'organizzazione che consentono di gestire le autorizzazioni nell'organizzazione. Per ulteriori informazioni, consultare Policy di controllo dei servizi nella Guida per l'utente di AWS Organizations.

Applica IPAM durante la creazione di VPC

Segui i passaggi riportati in questa sezione per richiedere ai membri dell'organizzazione di utilizzare IPAM durante la creazione di VPC.

Per creare una SCP e limitare la creazione di VPC a IPAM
  1. Segui la procedura riportata in Creazione di una SCP nella Guida per l'utente di AWS Organizations e immetti il testo seguente nell'editor JSON:

    { "Version": "2012-10-17", "Statement": [{ "Effect": "Deny", "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"], "Resource": "arn:aws:ec2:*:*:vpc/*", "Condition": { "Null": { "ec2:Ipv4IpamPoolId": "true" } } }] }
  2. Allega la policy a una o più unità organizzative della tua organizzazione. Per ulteriori informazioni, consulta Collegamento e scollegamento delle policy di controllo dei servizi nella Guida per l’utente di AWS Organizations.

Applicare un pool IPAM durante la creazione di VPC

Segui i passaggi riportati in questa sezione per richiedere ai membri dell'organizzazione di utilizzare un pool IPAM specifico durante la creazione di VPC.

Per creare un SCP e limitare la creazione di VPC a un pool IPAM
  1. Segui la procedura riportata in Creazione di una SCP nella Guida per l'utente di AWS Organizations e immetti il testo seguente nell'editor JSON:

    { "Version": "2012-10-17", "Statement": [{ "Effect": "Deny", "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"], "Resource": "arn:aws:ec2:*:*:vpc/*", "Condition": { "StringNotEquals": { "ec2:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg" } } }] }
  2. Modifica il valore di esempio ipam-pool-0123456789abcdefg per l'ID del pool IPv4 di cui desideri limitare gli utenti.

  3. Allega la policy a una o più unità organizzative della tua organizzazione. Per ulteriori informazioni, consulta Collegamento e scollegamento delle policy di controllo dei servizi nella Guida per l’utente di AWS Organizations.

Applica IPAM per tutte le unità organizzative, tranne un determinato elenco di esse

Segui i passaggi in questa sezione per applicare IPAM per tutte le unità organizzative (OU), tranne un determinato elenco di esse. La policy descritta in questa sezione richiede che le unità organizzative nell'organizzazione, ad eccezione delle unità organizzative specificate in aws:PrincipalOrgPaths, utilizzino IPAM per creare ed espandere i VPC. Le unità organizzative elencate possono utilizzare IPAM durante la creazione di VPC o specificare manualmente un intervallo di indirizzi IP.

Per creare un SCP e applicare IPAM per tutte le unità organizzative, tranne un determinato elenco di esse
  1. Segui la procedura riportata in Creazione di una SCP nella Guida per l'utente di AWS Organizations e immetti il testo seguente nell'editor JSON:

    { "Version": "2012-10-17", "Statement": [{ "Effect": "Deny", "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"], "Resource": "arn:aws:ec2:*:*:vpc/*", "Condition": { "Null": { "ec2:Ipv4IpamPoolId": "true" }, "ForAllValues:StringNotLike": { "aws:PrincipalOrgPaths": [ "o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/", "o-a1b2c3d4e5/r-ab12/ou-ab13-22222222/ou-ab13-33333333/" ] } } }] }
  2. Rimuovi i valori di esempio (come o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/) e aggiungi i percorsi delle entità AWS Organizations delle unità organizzative per le quali desideri avere l'opzione (ma non richiedere) di utilizzare IPAM. Per ulteriori informazioni sul percorso dell'entità, consulta Comprendere il percorso dell'entità AWS Organizations e aws:PrincipalOrgPaths nella Guida per l'utente AWS Identity and Access Management.

  3. Collega la policy alla root dell'organizzazione. Per ulteriori informazioni, consulta Collegamento e scollegamento delle policy di controllo dei servizi nella Guida per l’utente di AWS Organizations.