SCP를 통해 VPC 생성에 IPAM 사용 적용
참고
이 섹션은 IPAM이 AWS Organizations를 통합하도록 설정한 경우에만 적용할 수 있습니다. 자세한 내용은 AWS Organization에서 계정과 IPAM 통합 단원을 참조하십시오.
이 섹션에서는 AWS Organizations에서 조직의 구성원이 VPC를 생성할 때 IPAM을 사용하도록 요구하는 서비스 제어 정책을 생성하는 방법을 설명합니다. 서비스 제어 정책(SCP)은 조직의 권한을 관리하도록 하는 조직의 정책 유형입니다. 자세한 내용은 AWS Organizations 사용 설명서의 서비스 제어 정책을 참조하세요.
VPC를 생성할 때 IPAM 적용
이 섹션의 단계에 따라 조직의 구성원이 VPC를 생성할 때 IPAM을 사용하도록 요구합니다.
SCP를 생성하고 VPC 생성을 IPAM으로 제한하려면
AWS Organizations 사용 설명서의 SCP 생성에서 설명하는 단계를 따르고 JSON 편집기에 다음 텍스트를 입력합니다.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Deny", "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"], "Resource": "arn:aws:ec2:*:*:vpc/*", "Condition": { "Null": { "ec2:Ipv4IpamPoolId": "true" } } }] }
-
조직의 하나 이상의 조직 단위에 정책을 연결합니다. 자세한 내용은 AWS Organizations 사용 설명서의 서비스 제어 정책 연결 및 분리를 참조하십시오.
VPC를 생성할 때 IPAM 풀 적용
이 섹션의 단계에 따라 조직의 구성원이 VPC를 생성할 때 특정 IPAM 풀을 사용하도록 요구합니다.
SCP를 생성하고 VPC 생성을 IPAM 풀로 제한하려면
AWS Organizations 사용 설명서의 SCP 생성에서 설명하는 단계를 따르고 JSON 편집기에 다음 텍스트를 입력합니다.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Deny", "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"], "Resource": "arn:aws:ec2:*:*:vpc/*", "Condition": { "StringNotEquals": { "ec2:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg" } } }] }
ipam-pool-0123456789abcdefg
예의 값을 사용자를 제한하려는 IPv4 풀 ID로 변경합니다.-
조직의 하나 이상의 조직 단위에 정책을 연결합니다. 자세한 내용은 AWS Organizations 사용 설명서의 서비스 제어 정책 연결 및 분리를 참조하십시오.
지정된 OU 목록을 제외한 모든 OU에 IPAM 적용
이 섹션의 단계에 따라 지정된 조직 단위(OU) 목록을 제외한 모든 OU에 IPAM을 적용하세요. 이 섹션에서 설명하는 정책을 수행하려면 aws:PrincipalOrgPaths
에서 지정한 OU를 제외한 조직 내 OU가 IPAM을 사용하여 VPC를 생성하고 확장해야 합니다. 나열된 OU는 VPC를 생성할 때 IPAM을 사용하거나 IP 주소 범위를 수동으로 지정할 수 있습니다.
SCP 생성 및 지정된 OU 목록을 제외한 모든 OU에 IPAM 적용
-
AWS Organizations 사용 설명서의 SCP 생성에서 설명하는 단계를 따르고 JSON 편집기에 다음 텍스트를 입력합니다.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Deny", "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"], "Resource": "arn:aws:ec2:*:*:vpc/*", "Condition": { "Null": { "ec2:Ipv4IpamPoolId": "true" }, "ForAllValues:StringNotLike": { "aws:PrincipalOrgPaths": [ "o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/", "o-a1b2c3d4e5/r-ab12/ou-ab13-22222222/ou-ab13-33333333/" ] } } }] }
-
예제 값(예:
o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/
)을 제거하고, IPAM을 사용하는 옵션(필수는 아님)을 원하는 OU의 AWS Organizations 엔터티 경로를 추가합니다. 엔터티 경로에 대한 자세한 내용은 AWS Identity and Access Management 사용 설명서의 AWS Organizations 엔터티 경로 이해와 aws:PrincipalOrgPaths를 참조하세요. -
정책을 조직 루트에 연결합니다. 자세한 내용은 AWS Organizations 사용 설명서의 서비스 제어 정책 연결 및 분리를 참조하십시오.