IPAM から組織単位を除外する

フォーカスモード

IPAM から組織単位を除外する - Amazon Virtual Private Cloud

IPAM が AWS Organizations と統合されている場合は、組織単位 (OU) を IPAM による管理から除外できます。OU を除外すると、IPAM はその OU のアカウントの IP アドレスを管理しなくなります。この機能により、IPAM をより柔軟に使用できます。

OU の除外は、次の方法で使用できます:

ビジネスの特定の部分のために IPAM を有効にする: AWS Organizations に複数のビジネスユニットまたは子会社がある場合は、IPAM を必要とするビジネスユニットまたは子会社のためにのみ使用できるようになりました。
サンドボックスアカウントが分離された状態を維持する: IPAM からサンドボックスアカウントを除外し、IP 管理のために本当に重要なアカウントにのみ焦点を当てることができます。

OU の除外の仕組み

このセクションの図は、IPAM での OU の除外の追加に関する 2 つの異なるユースケースを示しています。

最初の図は、組織単位 (OU) の除外を親 OU にのみ追加した場合の影響を示しています。結果として、IPAM は親 OU のアカウントの IP アドレスを管理しません。IPAM は、除外に含まれない他の OU のアカウントの IP アドレスを管理します。

2 番目の図は、組織単位 (OU) の除外を親 OU およびすべての子 OU に追加した場合の影響を示しています。結果として、IPAM は親 OU のアカウントや子 OU のアカウントの IP アドレスを管理しません。IPAM は、除外に含まれない OU のアカウントの IP アドレスを管理します。

OU の除外を追加または削除する

OU の除外を追加または削除するには、このセクションのステップを実行します。

注記

委任された IPAM 管理者アカウントは、除外された OU 内であっても除外されません。
OU の除外を追加するには、IPAM を AWS Organizations と統合する必要があります。Organization には OU が含まれている必要があります。
OU の除外を表示、追加、または削除するには、委任された IPAM 管理者である必要があります。
最近作成された組織単位を IPAM が検出するには時間がかかります。
リソース検出ごとに追加できる除外の数には、デフォルトのクォータがあります。詳細については、「IPAM のクォータ」の「リソース検出あたりの組織単位の除外」を参照してください。
リソース検出を別のアカウントと共有する場合、そのアカウントでは、リソース検出所有者の Organization の組織 ID、ルート ID、組織単位 ID などの情報を含む OU の除外を確認できます。

AWS Management Console

OU の除外を追加または削除するには

IPAM コンソール (https://console.aws.amazon.com/ipam/) を開きます。
ナビゲーションペインで [リソース検出] を選択します。
デフォルトのリソース検出を選択します。
[編集] を選択します。
[組織単位の除外] で、次を実行します:
- OU の除外を追加するには:
  - OU とそのすべての子 OU を除外する場合:
    
    テーブルで OU を見つけ、チェックボックスをオンにします。すべての子 OUが自動的に選択されます。
  - 親 OU アカウントのみを除外する場合:
    
    テーブルで OU を見つけ、チェックボックスをオンにします。すべての子 OUが自動的に選択されます。すべての子 OU の選択を解除します。
  - あるいは、[アクション] 列を使用して、親 OU のみ、または親 OU と子 OU を選択できます。
    
    [すべての子 OU を選択]: 除外にすべての子 OU を含めます。OU を選択すると、その OU が画面に追加されます。各 OU には、OU の除外の ID とエンティティパスが含まれます。
    
    [この OU のみを選択]: 除外にこの OU のみを含めます。OU を選択すると、その OU が画面に追加されます。各 OU には、OU の除外の ID とエンティティパスが含まれます。
    
    [OU エンティティパスをコピー]: 必要に応じて、使用する AWS Organizations エンティティパスをコピーします。
  - AWS Organizations エンティティパスが既にわかっている場合、またはそれを構築する場合:
    
    [組織単位の除外を入力] を選択し、OU の除外のエンティティパスを入力します。/ で区切られた AWS Organizations ID を使用して、OU のパスを構築します。パスの末尾を /* にして、すべての子 OU を含めます。
    
    例 1
    
    子 OU へのパス: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/
    
    この例では、o-a1b2c3d4e5 は組織 ID、r-f6g7h8i9j0example はルート ID、ou-ghi0-awsccccc は OU ID、ou-jkl0-awsddddd は子 OU ID です。
    
    IPAM は子 OU のアカウントの IP アドレスを管理しません。
    
    例 2
    
    すべての子 OU が除外の一部となるパス: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*
    
    この例では、IPAM は OU (ou-ghi0-awsccccc) のアカウント、または OU の子である OU のアカウントの IP アドレスを管理しません。
- OU の除外を削除するには:
  - 既に追加されている OU の横にある [X] を選択します。OU ID の後の /* は、それが親 OU であり、子 OU が OU の除外の一部であることを示します。
[Save changes] (変更の保存) をクリックします。

Command line

このセクションのコマンドは、AWS CLI リファレンスドキュメントに関連しています。ドキュメントには、コマンドの実行時に使用できるオプションの詳細な説明が記載されています。

次のステップのために、describe-ipam-resource-discoveries を使用して、リソース検出の詳細を表示してデフォルトのリソース検出の ID を取得します。

入力


aws ec2 describe-ipam-resource-discoveries

出力:


{                                                                                                                              
    "IpamResourceDiscoveries": [                                                                                               
        {                                                                                                                      
            "OwnerId": "111122223333",                                                                                         
            "IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",                                                     
            "IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",  
            "IpamResourceDiscoveryRegion": "us-east-1",                                                                        
            "OperatingRegions": [                                                                                              
                {                                                                                                              
                    "RegionName": "us-east-1"                                                                                  
                },                                                                                                             
                {                                                                                                              
                    "RegionName": "us-west-1"                                                                                  
                },                                                                                                             
                {                                                                                                              
                    "RegionName": "us-west-2"                                                                                  
                }                                                                                                              
            ],                                                                                                                 
            "IsDefault": true,                                                                                                 
            "State": "modify-complete",                                                                                        
            "Tags": []                                                                                                         
        }                                                                                                                      
    ]                                                                                                                          
}

modify-ipam-resource-discovery と --add-organizational-unit-exclusions または --remove-organizational-unit-exclusions オプションを使用して、リソース検出から組織単位の除外を追加または削除します。AWS Organizations エンティティパスを入力する必要があります。/ で区切られた AWS Organizations ID を使用して、OU のパスを構築します。パスの末尾を /* にして、すべての子 OU を含めます。追加または削除パラメータに同じエンティティパスを複数回含めることはできません。
- 例 1
  - 子 OU へのパス: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/
  - この例では、o-a1b2c3d4e5 は組織 ID、r-f6g7h8i9j0example はルート ID、ou-ghi0-awsccccc は OU ID、ou-jkl0-awsddddd は子 OU ID です。
  - IPAM は子 OU のアカウントの IP アドレスを管理しません。
- 例 2
  - すべての子 OU が除外の一部となるパス: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*
  - この例では、IPAM は OU (ou-ghi0-awsccccc) のアカウント、または OU の子である OU のアカウントの IP アドレスを管理しません。
注記
結果として得られる除外設定の集合は「重複」してはいけません。つまり、複数の OU 除外が同一の OU を除外してはいけません。
重複しないエンティティパスの例:
- Path 1 ="o-1/r-1/ou-1/"
- Path 2 ="o-1/r-1/ou-1/ou-2/"
Path 1 は ou-1 のアカウントのみを除外し、Path 2 は ou-2 のアカウントのみを除外するため、これらのパスは重複しません。
エンティティパスの重複の例:
- Path 1 ="o-1/r-1/ou-1/*"
- Path 2 ="o-1/r-1/ou-1/ou-2/"
Path 1 は "o-1/r-1/ou-1/" と "o-1/r-1/ou-1/ou-2/"の両方を表し、"o-1/r-1/ou-1/ou-2/" は Path 2 と重複するため、これらのパスは重複します。
入力
```
aws ec2 modify-ipam-resource-discovery \
    --ipam-resource-discovery-id ipam-res-disco-1234567890abcdef0 \
    --add-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*' \
    --remove-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/' \
    --region us-east-1                    
```
出力:
```
{
    "IpamResourceDiscovery": {
        "OwnerId": "111122223333",
        "IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",
        "IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",
        "IpamResourceDiscoveryRegion": "us-east-1",
        "OperatingRegions": [
            {
                "RegionName": "us-east-1"
            }
        ],
        "IsDefault": false,
        "State": "modify-in-progress",
        "OrganizationalUnitExclusions": [
            {
                "OrganizationsEntityPath": "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*"
            }
        ]
    }
}
```

anchor anchor

OU の除外を追加または削除するには

IPAM コンソール (https://console.aws.amazon.com/ipam/) を開きます。
ナビゲーションペインで [リソース検出] を選択します。
デフォルトのリソース検出を選択します。
[編集] を選択します。
[組織単位の除外] で、次を実行します:
- OU の除外を追加するには:
  - OU とそのすべての子 OU を除外する場合:
    
    テーブルで OU を見つけ、チェックボックスをオンにします。すべての子 OUが自動的に選択されます。
  - 親 OU アカウントのみを除外する場合:
    
    テーブルで OU を見つけ、チェックボックスをオンにします。すべての子 OUが自動的に選択されます。すべての子 OU の選択を解除します。
  - あるいは、[アクション] 列を使用して、親 OU のみ、または親 OU と子 OU を選択できます。
    
    [すべての子 OU を選択]: 除外にすべての子 OU を含めます。OU を選択すると、その OU が画面に追加されます。各 OU には、OU の除外の ID とエンティティパスが含まれます。
    
    [この OU のみを選択]: 除外にこの OU のみを含めます。OU を選択すると、その OU が画面に追加されます。各 OU には、OU の除外の ID とエンティティパスが含まれます。
    
    [OU エンティティパスをコピー]: 必要に応じて、使用する AWS Organizations エンティティパスをコピーします。
  - AWS Organizations エンティティパスが既にわかっている場合、またはそれを構築する場合:
    
    [組織単位の除外を入力] を選択し、OU の除外のエンティティパスを入力します。/ で区切られた AWS Organizations ID を使用して、OU のパスを構築します。パスの末尾を /* にして、すべての子 OU を含めます。
    
    例 1
    
    子 OU へのパス: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/
    
    この例では、o-a1b2c3d4e5 は組織 ID、r-f6g7h8i9j0example はルート ID、ou-ghi0-awsccccc は OU ID、ou-jkl0-awsddddd は子 OU ID です。
    
    IPAM は子 OU のアカウントの IP アドレスを管理しません。
    
    例 2
    
    すべての子 OU が除外の一部となるパス: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*
    
    この例では、IPAM は OU (ou-ghi0-awsccccc) のアカウント、または OU の子である OU のアカウントの IP アドレスを管理しません。
- OU の除外を削除するには:
  - 既に追加されている OU の横にある [X] を選択します。OU ID の後の /* は、それが親 OU であり、子 OU が OU の除外の一部であることを示します。
[Save changes] (変更の保存) をクリックします。