SCP를 통해 VPC 생성에 IPAM 사용 적용 - Amazon Virtual Private Cloud
VPC를 생성할 때 IPAM 적용VPC를 생성할 때 IPAM 풀 적용지정된 OU 목록을 제외한 모든 OU에 IPAM 적용

SCP를 통해 VPC 생성에 IPAM 사용 적용

참고

이 섹션은 IPAM이 AWS Organizations를 통합하도록 설정한 경우에만 적용할 수 있습니다. 자세한 내용은 AWS Organization에서 계정과 IPAM 통합 단원을 참조하십시오.

이 섹션에서는 AWS Organizations에서 조직의 구성원이 VPC를 생성할 때 IPAM을 사용하도록 요구하는 서비스 제어 정책을 생성하는 방법을 설명합니다. 서비스 제어 정책(SCP)은 조직의 권한을 관리하도록 하는 조직의 정책 유형입니다. 자세한 내용은 AWS Organizations 사용 설명서서비스 제어 정책을 참조하세요.

VPC를 생성할 때 IPAM 적용

이 섹션의 단계에 따라 조직의 구성원이 VPC를 생성할 때 IPAM을 사용하도록 요구합니다.

SCP를 생성하고 VPC 생성을 IPAM으로 제한하려면

  1. AWS Organizations 사용 설명서SCP 생성에서 설명하는 단계를 따르고 JSON 편집기에 다음 텍스트를 입력합니다.

    {
    "Version": "2012-10-17",
    "Statement": [{
       "Effect": "Deny",
        "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
        "Resource": "arn:aws:ec2:*:*:vpc/*",
        "Condition": {
            "Null": {
                "ec2:Ipv4IpamPoolId": "true"
            }
        }
     }]
}

  2. 조직의 하나 이상의 조직 단위에 정책을 연결합니다. 자세한 내용은 AWS Organizations 사용 설명서서비스 제어 정책 연결 및 분리를 참조하십시오.

VPC를 생성할 때 IPAM 풀 적용

이 섹션의 단계에 따라 조직의 구성원이 VPC를 생성할 때 특정 IPAM 풀을 사용하도록 요구합니다.

SCP를 생성하고 VPC 생성을 IPAM 풀로 제한하려면

  1. AWS Organizations 사용 설명서SCP 생성에서 설명하는 단계를 따르고 JSON 편집기에 다음 텍스트를 입력합니다.

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Deny",
        "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
        "Resource": "arn:aws:ec2:*:*:vpc/*",
        "Condition": {
            "StringNotEquals": {
                "ec2:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg"
            }
          }
    }]
}

  2. ipam-pool-0123456789abcdefg 예의 값을 사용자를 제한하려는 IPv4 풀 ID로 변경합니다.

  3. 조직의 하나 이상의 조직 단위에 정책을 연결합니다. 자세한 내용은 AWS Organizations 사용 설명서서비스 제어 정책 연결 및 분리를 참조하십시오.

지정된 OU 목록을 제외한 모든 OU에 IPAM 적용

이 섹션의 단계에 따라 지정된 조직 단위(OU) 목록을 제외한 모든 OU에 IPAM을 적용하세요. 이 섹션에서 설명하는 정책을 수행하려면 aws:PrincipalOrgPaths에서 지정한 OU를 제외한 조직 내 OU가 IPAM을 사용하여 VPC를 생성하고 확장해야 합니다. 나열된 OU는 VPC를 생성할 때 IPAM을 사용하거나 IP 주소 범위를 수동으로 지정할 수 있습니다.

SCP 생성 및 지정된 OU 목록을 제외한 모든 OU에 IPAM 적용

  1. AWS Organizations 사용 설명서SCP 생성에서 설명하는 단계를 따르고 JSON 편집기에 다음 텍스트를 입력합니다.

    {
    "Version": "2012-10-17",
    "Statement": [{
	"Effect": "Deny",
	    "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
	    "Resource": "arn:aws:ec2:*:*:vpc/*",
	    "Condition": {
	        "Null": {
		      "ec2:Ipv4IpamPoolId": "true"
                },
	        "ForAllValues:StringNotLike": {
	            "aws:PrincipalOrgPaths": [
	                "o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/",
	                "o-a1b2c3d4e5/r-ab12/ou-ab13-22222222/ou-ab13-33333333/"
	            ]
                }
            }
     }]
}

  2. 예제 값(예: o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/)을 제거하고, IPAM을 사용하는 옵션(필수는 아님)을 원하는 OU의 AWS Organizations 엔터티 경로를 추가합니다. 엔터티 경로에 대한 자세한 내용은 AWS Identity and Access Management 사용 설명서의 AWS Organizations 엔터티 경로 이해aws:PrincipalOrgPaths를 참조하세요.

  3. 정책을 조직 루트에 연결합니다. 자세한 내용은 AWS Organizations 사용 설명서서비스 제어 정책 연결 및 분리를 참조하십시오.