IPAM에서 조직 단위 제외

포커스 모드

IPAM에서 조직 단위 제외 - Amazon Virtual Private Cloud

IPAM이 AWS Organizations와 통합된 경우 조직 단위(OU)를 IPAM의 관리 대상에서 제외할 수 있습니다. OU를 제외하면 IPAM은 해당 OU의 계정에 있는 IP 주소를 관리하지 않습니다. 이 기능을 통해 IPAM을 보다 유연하게 사용할 수 있습니다.

다음과 같은 방법으로 OU 제외 항목을 사용할 수 있습니다.

비즈니스의 특정 부분에 대해 IPAM 활성화: AWS Organizations에 여러 사업부 또는 자회사가 있는 경우 이제 IPAM이 필요한 부분에만 IPAM을 사용할 수 있습니다.
샌드박스 계정을 별도로 유지: IPAM에서 샌드박스 계정을 제외하여 IP 관리에서 실제로 중요한 계정에 집중할 수 있습니다.

OU 제외 작동 방식

이 섹션의 다이어그램에서는 IPAM에서 OU 제외 항목을 추가하는 두 가지 사용 사례를 보여줍니다.

첫 번째 다이어그램에서는 상위 OU에만 조직 단위(OU) 제외 항목을 추가하는 경우의 영향을 보여줍니다. 결과적으로, IPAM은 상위 OU에 있는 계정의 IP 주소를 관리하지 않습니다. IPAM은 제외 항목에 속하지 않는 다른 OU에 있는 계정의 IP 주소를 관리합니다.

두 번째 다이어그램에서는 상위 OU 및 모든 하위 OU에 조직 단위(OU) 제외 항목을 추가하는 경우의 영향을 보여줍니다. 결과적으로, IPAM은 상위 OU에 있는 계정 또는 하위 OU에 있는 계정의 IP 주소를 관리하지 않습니다. IPAM은 제외 항목에 속하지 않는 OU에 있는 계정의 IP 주소를 관리합니다.

OU 제외 항목 추가 또는 제거

이 섹션의 단계에 따라 OU 제외 항목을 추가하거나 제거합니다.

참고

위임된 IPAM 관리자 계정은 제외된 OU에 속하더라도 제외되지 않습니다.
OU 제외 항목을 추가하려면 IPAM을 AWS Organizations와 통합해야 합니다. 조직 내에 OU가 있어야 합니다.
OU 제외 항목을 보거나 추가하거나 제거하려면 위임된 IPAM 관리자여야 합니다.
IPAM이 최근에 생성된 조직 단위를 검색하는 데 시간이 걸립니다.
리소스 검색당 추가할 수 있는 제외 항목 수에 대한 기본 할당량이 있습니다. 자세한 내용은 IPAM의 할당량의 리소스 검색 시 조직 단위 제외 항목을 참조하세요.
리소스 검색을 다른 계정과 공유하는 경우 해당 계정은 리소스 검색 소유자 조직의 조직 ID, 루트 ID 및 조직 단위 ID와 같은 정보가 포함된 OU 제외 항목을 볼 수 있습니다.

AWS Management Console

OU 제외 항목을 추가하거나 제거하려면

https://console.aws.amazon.com/ipam/에서 IPAM 콘솔을 엽니다.
탐색 창에서 Resource discoveries를 선택합니다.
기본 리소스 검색을 선택합니다.
편집을 선택합니다.
조직 단위 제외 항목에서 다음을 수행합니다.
- OU 제외 항목을 추가하려면:
  - OU 및 모든 하위 OU를 제외하려는 경우:
    
    테이블에서 OU를 찾아 확인란을 선택합니다. 모든 하위 OU가 자동으로 선택됩니다.
  - 상위 OU 계정만 제외하려는 경우:
    
    테이블에서 OU를 찾아 확인란을 선택합니다. 모든 하위 OU가 자동으로 선택됩니다. 모든 하위 OU를 선택 취소합니다.
  - 또는 작업 열을 사용하여 상위 OU만 선택하거나 상위 및 하위 OU를 선택합니다.
    
    모든 하위 OU 선택: 제외 항목에 모든 하위 OU를 포함합니다. OU를 선택하면 화면에 해당 OU가 추가됩니다. 각 OU에는 OU 제외 항목의 ID와 엔터티 경로가 포함됩니다.
    
    이 OU만 선택: 이 OU만 제외 항목에 포함시킵니다. OU를 선택하면 화면에 해당 OU가 추가됩니다. 각 OU에는 OU 제외 항목의 ID와 엔터티 경로가 포함됩니다.
    
    OU 엔터티 경로 복사: 필요에 따라 사용할 AWS Organizations 엔터티 경로를 복사합니다.
  - AWS Organizations 엔터티 경로를 이미 알고 있거나 경로를 구축하려는 경우:
    
    조직 단위 제외 항목 입력을 선택하고 OU 제외 항목의 엔터티 경로를 입력합니다. /로 구분된 AWS Organizations ID를 사용하여 OU의 경로를 구축합니다. /*로 경로를 종료하여 모든 하위 OU를 포함합니다.
    
    예시 1
    
    하위 OU 경로: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/
    
    이 예에서 o-a1b2c3d4e5는 조직 ID이고, r-f6g7h8i9j0example은 루트 ID이고, ou-ghi0-awsccccc는 OU ID이고, ou-jkl0-awsddddd는 하위 OU ID입니다.
    
    IPAM은 하위 OU에 있는 계정의 IP 주소를 관리하지 않습니다.
    
    예시 2
    
    모든 하위 OU가 제외 항목의 일부가 되는 경로: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*
    
    이 예에서는 IPAM이 OU(ou-ghi0-awsccccc)에 있는 계정 또는 OU의 하위 OU에 있는 계정의 IP 주소를 관리하지 않습니다.
- OU 제외 항목을 제거하려면:
  - 이미 추가된 OU 옆에 있는 X를 선택합니다. OU ID 다음에 있는 /*는 이것이 상위 OU이고 하위 OU가 OU 제외 항목의 일부임을 나타냅니다.
Save changes(변경 사항 저장)를 선택합니다.

Command line

이 섹션의 명령은 AWS CLI 참조 설명서로 연결됩니다. 이 설명서에서는 명령을 실행할 때 사용할 수 있는 옵션에 대한 자세한 설명을 제공합니다.

리소스 검색 세부 정보를 보고 describe-ipam-resource-discoveries를 사용하여 다음 단계에 사용할 기본 리소스 검색 ID를 가져옵니다.

입력:


aws ec2 describe-ipam-resource-discoveries

출력:


{                                                                                                                              
    "IpamResourceDiscoveries": [                                                                                               
        {                                                                                                                      
            "OwnerId": "111122223333",                                                                                         
            "IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",                                                     
            "IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",  
            "IpamResourceDiscoveryRegion": "us-east-1",                                                                        
            "OperatingRegions": [                                                                                              
                {                                                                                                              
                    "RegionName": "us-east-1"                                                                                  
                },                                                                                                             
                {                                                                                                              
                    "RegionName": "us-west-1"                                                                                  
                },                                                                                                             
                {                                                                                                              
                    "RegionName": "us-west-2"                                                                                  
                }                                                                                                              
            ],                                                                                                                 
            "IsDefault": true,                                                                                                 
            "State": "modify-complete",                                                                                        
            "Tags": []                                                                                                         
        }                                                                                                                      
    ]                                                                                                                          
}

modify-ipam-resource-discovery 및 --add-organizational-unit-exclusions 또는 --remove-organizational-unit-exclusions 옵션을 사용하여 리소스 검색에서 조직 단위 제외 항목을 추가하거나 제거합니다. AWS Organizations 엔터티 경로를 입력해야 합니다. /로 구분된 AWS Organizations ID를 사용하여 OU의 경로를 구축합니다. /*로 경로를 종료하여 모든 하위 OU를 포함합니다. 추가 또는 제거 파라미터에는 동일한 엔터티 경로를 두 번 이상 포함할 수 없습니다.
- 예시 1
  - 하위 OU 경로: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/
  - 이 예에서 o-a1b2c3d4e5는 조직 ID이고, r-f6g7h8i9j0example은 루트 ID이고, ou-ghi0-awsccccc는 OU ID이고, ou-jkl0-awsddddd는 하위 OU ID입니다.
  - IPAM은 하위 OU에 있는 계정의 IP 주소를 관리하지 않습니다.
- 예시 2
  - 모든 하위 OU가 제외 항목의 일부가 되는 경로: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*
  - 이 예에서는 IPAM이 OU(ou-ghi0-awsccccc)에 있는 계정 또는 OU의 하위 OU에 있는 계정의 IP 주소를 관리하지 않습니다.
참고
결과 제외 집합은 ‘중첩’되어서는 안 됩니다. 즉, 두 개 이상의 OU 제외 항목이 동일한 OU를 제외해서는 안 됩니다.
중첩되지 않는 엔터티 경로의 예:
- 경로 1 =‘o-1/r-1/ou-1/’
- 경로 2 =‘o-1/r-1/ou-1/ou-2/’
경로 1은 ou-1의 계정만 제외하고 경로 2는 ou-2의 계정만 제외하므로 두 경로는 중첩되지 않습니다.
중첩되는 엔터티 경로의 예:
- 경로 1 =‘o-1/r-1/ou-1/*’
- 경로 2 =‘o-1/r-1/ou-1/ou-2/’
경로 1이 ‘o-1/r-1/ou-1/’과 ‘o-1/r-1/ou-1/ou-2/’를 모두 나타내며, ‘o-1/r-1/ou-1/ou-2/’는 경로 2와 겹치므로 두 경로가 중첩됩니다.
입력:
```
aws ec2 modify-ipam-resource-discovery \
    --ipam-resource-discovery-id ipam-res-disco-1234567890abcdef0 \
    --add-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*' \
    --remove-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/' \
    --region us-east-1                    
```
출력:
```
{
    "IpamResourceDiscovery": {
        "OwnerId": "111122223333",
        "IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",
        "IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",
        "IpamResourceDiscoveryRegion": "us-east-1",
        "OperatingRegions": [
            {
                "RegionName": "us-east-1"
            }
        ],
        "IsDefault": false,
        "State": "modify-in-progress",
        "OrganizationalUnitExclusions": [
            {
                "OrganizationsEntityPath": "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*"
            }
        ]
    }
}
```

anchor anchor

OU 제외 항목을 추가하거나 제거하려면

https://console.aws.amazon.com/ipam/에서 IPAM 콘솔을 엽니다.
탐색 창에서 Resource discoveries를 선택합니다.
기본 리소스 검색을 선택합니다.
편집을 선택합니다.
조직 단위 제외 항목에서 다음을 수행합니다.
- OU 제외 항목을 추가하려면:
  - OU 및 모든 하위 OU를 제외하려는 경우:
    
    테이블에서 OU를 찾아 확인란을 선택합니다. 모든 하위 OU가 자동으로 선택됩니다.
  - 상위 OU 계정만 제외하려는 경우:
    
    테이블에서 OU를 찾아 확인란을 선택합니다. 모든 하위 OU가 자동으로 선택됩니다. 모든 하위 OU를 선택 취소합니다.
  - 또는 작업 열을 사용하여 상위 OU만 선택하거나 상위 및 하위 OU를 선택합니다.
    
    모든 하위 OU 선택: 제외 항목에 모든 하위 OU를 포함합니다. OU를 선택하면 화면에 해당 OU가 추가됩니다. 각 OU에는 OU 제외 항목의 ID와 엔터티 경로가 포함됩니다.
    
    이 OU만 선택: 이 OU만 제외 항목에 포함시킵니다. OU를 선택하면 화면에 해당 OU가 추가됩니다. 각 OU에는 OU 제외 항목의 ID와 엔터티 경로가 포함됩니다.
    
    OU 엔터티 경로 복사: 필요에 따라 사용할 AWS Organizations 엔터티 경로를 복사합니다.
  - AWS Organizations 엔터티 경로를 이미 알고 있거나 경로를 구축하려는 경우:
    
    조직 단위 제외 항목 입력을 선택하고 OU 제외 항목의 엔터티 경로를 입력합니다. /로 구분된 AWS Organizations ID를 사용하여 OU의 경로를 구축합니다. /*로 경로를 종료하여 모든 하위 OU를 포함합니다.
    
    예시 1
    
    하위 OU 경로: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/
    
    이 예에서 o-a1b2c3d4e5는 조직 ID이고, r-f6g7h8i9j0example은 루트 ID이고, ou-ghi0-awsccccc는 OU ID이고, ou-jkl0-awsddddd는 하위 OU ID입니다.
    
    IPAM은 하위 OU에 있는 계정의 IP 주소를 관리하지 않습니다.
    
    예시 2
    
    모든 하위 OU가 제외 항목의 일부가 되는 경로: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*
    
    이 예에서는 IPAM이 OU(ou-ghi0-awsccccc)에 있는 계정 또는 OU의 하위 OU에 있는 계정의 IP 주소를 관리하지 않습니다.
- OU 제외 항목을 제거하려면:
  - 이미 추가된 OU 옆에 있는 X를 선택합니다. OU ID 다음에 있는 /*는 이것이 상위 OU이고 하위 OU가 OU 제외 항목의 일부임을 나타냅니다.
Save changes(변경 사항 저장)를 선택합니다.