Amazon VPC IP 주소 관리자(IPAM) 및 AWS Organizations - AWS Organizations
서비스 연결 역할서비스 보안 주체신뢰할 수 있는 액세스 활성화신뢰할 수 있는 액세스 비활성화IPAM에 대한 위임된 관리자 계정 활성화IPAM에 대해 위임된 관리자를 비활성화

Amazon VPC IP 주소 관리자(IPAM) 및 AWS Organizations

Amazon VPC IP 주소 관리자(IPAM)는 AWS 워크로드의 IP 주소를 보다 쉽게 계획, 추적 및 모니터링할 수 있게 해주는 VPC 기능입니다.

AWS Organizations를 사용하면 조직 전체의 IP 주소 사용량을 모니터링하고 멤버 계정 간에 IP 주소 풀을 공유할 수 있습니다.

자세한 내용은 Amazon VPC IPAM 사용 설명서AWS Organizations와 IPAM 통합을 참조하십시오.

다음 정보를 사용하면 Amazon VPC IP Address Manager(IPAM)와 AWS Organizations를 통합하는 데 도움이 됩니다.

통합 활성화 시 서비스 연결 역할 생성

다음 서비스 연결 역할은 IPAM 콘솔을 사용하거나 IPAM의 EnableIpamOrganizationAdminAccount API를 사용하여 IPAM을 AWS Organizations와 통합할 때 조직의 관리 계정 및 각 멤버 계정에 자동으로 생성됩니다.

  • AWSServiceRoleForIPAM

자세한 내용은 Amazon VPC IPAM 사용 설명서IPAM에 대한 서비스 연결 역할을 참조하십시오.

서비스 연결 역할이 사용하는 서비스 보안 주체

앞 부분에서 다룬 서비스 연결 역할은 역할에 대해 정의된 신뢰 관계에 의해 권한이 부여되는 서비스 보안 주체만 맡을 수 있습니다. IPAM에서 사용하는 서비스 연결 역할은 다음 서비스 보안 주체에 대한 액세스 권한을 부여합니다.

  • ipam.amazonaws.com

IPAM에서 신뢰할 수 있는 액세스 활성화

신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한에 관한 내용은 신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한 단원을 참조하세요.

참고

IPAM에 대해 위임된 관리자를 지정하면 조직의 IPAM에 대해 신뢰할 수 있는 액세스를 자동으로 활성화합니다.

조직의 이 서비스에 대한 위임된 관리자로 멤버 계정을 지정하려면 IPAM에 먼저 AWS Organizations에 대한 신뢰할 수 있는 액세스 권한이 필요합니다.

Amazon VPC IP 주소 관리자(IPAM) 도구만 사용하여 신뢰할 수 있는 액세스를 활성화할 수 있습니다.

IPAM 콘솔 또는 IPAM EnableIpamOrganizationAdminAccount API를 사용하여 IPAM을 AWS Organizations와 통합하는 경우 IPAM에 대한 신뢰할 수 있는 액세스 권한을 자동으로 부여합니다. 신뢰할 수 있는 액세스 권한을 부여하면 관리 계정과 조직의 모든 멤버 계정에 서비스 연결 역할 AWSServiceRoleForIPAM가 생성됩니다. IPAM은 서비스 연결 역할을 사용하여 조직의 EC2 네트워킹 리소스와 연결된 CIDR을 모니터링하고 Amazon CloudWatch에 IPAM과 관련된 지표를 저장합니다. 자세한 내용은 Amazon VPC IPAM 사용 설명서IPAM에 대한 서비스 연결 역할을 참조하십시오.

신뢰할 수 있는 액세스 활성화에 대한 지침은 Amazon VPC IPAM 사용 설명서AWS Organizations와 IPAM 통합을 참조하십시오

참고

AWS Organizations 콘솔 또는 EnableAWSServiceAccess API를 사용하여 IPAM에서 신뢰할 수 있는 액세스를 활성화할 수 없습니다.

IPAM에서 신뢰할 수 있는 액세스를 비활성화하려면

신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한에 관한 내용은 신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한 단원을 참조하세요.

AWS Organizations 관리 계정의 관리자만 AWS Organizations disable-aws-service-access API를 사용하여 IPAM에서 신뢰할 수 있는 액세스를 비활성화할 수 있습니다.

IPAM 계정 권한 비활성화 및 서비스 연결 역할 삭제에 대한 자세한 내용은 Amazon VPC IPAM 사용 설명서IPAM에 대한 서비스 연결 역할을 참조하십시오.

Organizations AWS CLI 명령을 실행하거나, AWS SDK 중 하나에서 Organizations API 작업을 호출하여 신뢰할 수 있는 액세스를 비활성화할 수 있습니다.

AWS CLI, AWS API
Organizations CLI/SDK를 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화하려면

다음 AWS CLI 명령 또는 API 작업을 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화할 수 있습니다.

  • AWS CLI: disable-aws-service-access

    다음 명령을 실행하여 Amazon VPC IP 주소 관리자(IPAM)를 조직에서 신뢰할 수 있는 서비스로 비활성화할 수 있습니다.

    $ aws organizations disable-aws-service-access \
    --service-principal ipam.amazonaws.com

    이 명령은 성공 시 출력을 생성하지 않습니다.

  • AWS API: DisableAWSServiceAccess

IPAM에 대한 위임된 관리자 계정 활성화

IPAM에 대해 위임된 관리자 계정은 IPAM 및 IP 주소 풀 생성, 조직의 IP 주소 사용 관리 및 모니터링, 멤버 계정 간에 IP 주소 풀 공유를 담당합니다. 자세한 내용은 Amazon VPC IPAM 사용 설명서AWS Organizations와 IPAM 통합을 참조하십시오.

조직 관리 계정의 관리자만 IPAM에 대해 위임된 관리자를 구성할 수 있습니다.

IPAM 콘솔에서 또는 enable-ipam-organization-admin-account API를 사용하여 위임된 관리자 계정을 지정할 수 있습니다. 자세한 내용은 AWSAWS CLI 명령 참조에서 enable-ipam-organization-admin-account를 참조하세요.

최소 권한

Organizations 관리 계정의 사용자 또는 역할만 멤버 계정을 조직의 IPAM에 대한 위임된 관리자로 구성할 수 있습니다

IPAM 콘솔을 사용하여 위임된 관리자를 구성하려면 Amazon VPC IPAM 사용 설명서에서 AWS Organizations와 IPAM 통합을 참조하세요.

IPAM에 대해 위임된 관리자를 비활성화

조직 관리 계정의 관리자만 IPAM에 대해 위임된 관리자를 구성할 수 있습니다.

AWS AWS CLI를 사용하여 위임된 관리자를 제거하려면 AWSAWS CLI 명령 참조disable-ipam-organization-admin-account를 참조하세요.

IPAM 콘솔을 사용하여 위임된 관리자 IPAM 계정을 비활성화하려면 Amazon VPC IPAM 사용 설명서에서 AWS Organizations와 IPAM 통합을 참조하세요.