Integrar o IPAM a contas em uma organização da AWS Organizations - Amazon Virtual Private Cloud

Integrar o IPAM a contas em uma organização da AWS Organizations

Opcionalmente, você pode seguir os passos nesta seção para integrar o IPAM ao AWS Organizations e delegar uma conta de membro, como a conta do IPAM.

A conta do IPAM é responsável por criar um IPAM e usá-lo para gerenciar e monitorar o uso de endereços IP.

Integrar o IPAM ao AWS Organizations e delegar um administrador do IPAM apresentam os seguintes benefícios:

  • Compartilhar seus grupos do IPAM com sua organização: quando você delega uma conta do IPAM, o IPAM habilita outra contas de membros do AWS Organizations na organização para alocar CIDRs de grupos do IPAM que são compartilhados usando o AWS Resource Access Manager (RAM). Para obter mais informações sobre como configurar uma organização, consulte O que são AWS Organizations? no Guia do usuário do AWS Organizations.

  • monitorar o uso de endereços IP em sua organização: quando você delega uma conta do IPAM, você concede permissão ao IPAM para monitorar o uso de IPs em todas as suas contas. Como resultado, o IPAM importa automaticamente CIDRs que são usados por VPCs existentes em outras contas de membros do AWS Organizations.

Se você não delegar uma conta de membro do AWS Organizations como uma conta do IPAM, o IPAM monitorará os recursos somente na conta da AWS que você usa para criar o IPAM.

nota

Ao integrar ao AWS Organizations:

  • É necessário habilitar a integração com o AWS Organizations usando o IPAM no Console de Gerenciamento da AWS ou o comando da AWS CLI enable-ipam-organization-admin-account. Isso garante que a função vinculada ao serviço AWSServiceRoleForIPAM seja criada. Se você habilitar o acesso confiável com o AWS Organizations usando o Console do AWS Organizations ou o comando register-delegated-administrator da AWS CLI, a função vinculada a serviços AWSServiceRoleForIPAM não foi criada e você não pode gerenciar ou monitorar recursos dentro de sua organização.

  • A conta do IPAM deve ser uma conta de membro do AWS Organizations. Não é possível utilizar a conta de gerenciamento do AWS Organizations como a conta do IPAM. Para verificar se seu IPAM já está integrado ao AWS Organizations, use as etapas abaixo e visualize os detalhes da integração nas configurações da organização.

  • O IPAM cobra por cada endereço IP ativo que ele monitora nas contas de membros da sua organização. Para obter mais informações sobre a definição de preço, consulte Preço do IPAM.

  • Você deve ter uma conta no AWS Organizations e uma conta de gerenciamento configuradas com uma ou mais contas de membro. Para obter mais informações sobre os tipos de conta, consulte Terminologia e conceitos no Guia do usuário do AWS Organizations. Para obter mais informações sobre a configuração de uma organização, consulte Conceitos básicos do AWS Organizations.

  • A conta IPAM deve ter usar um perfil do IAM com uma política do IAM anexada a ele que permita a ação iam:CreateServiceLinkedRole. Ao criar o IPAM, você cria automaticamente a função vinculada ao serviço AWSServiceRoleForIPAM.

  • A conta de usuário associada à conta de gerenciamento do AWS Organizations deve usar um perfil do IAM que tenha as seguintes ações da política do IAM anexadas:

    • ec2:EnableIpamOrganizationAdminAccount

    • organizations:EnableAwsServiceAccess

    • organizations:RegisterDelegatedAdministrator

    • iam:CreateServiceLinkedRole

    Para obter mais informações sobre como criar perfis do IAM, consulte Criar uma função para delegar permissões a um usuário do IAM no Manual do usuário do IAM.

  • A conta de usuário associada à conta de gerenciamento do AWS Organizations deve usar um perfil do IAM que tenha as seguintes ações da política do IAM anexadas para listar os administradores delegados do AWS Orgs: organizations:ListDelegatedAdministrators

AWS Management Console
Para selecionar uma conta do IPAM

  1. Faça login na conta de gerenciamento do AWS Organizations e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No Console de Gerenciamento da AWS, escolha a Região da AWS em que você deseja trabalhar com o IPAM.

  3. No painel de navegação, selecione Organization settings (Configurações da organização).

  4. A opção Delegar apenas estará disponível se você estiver conectado ao console como a conta de gerenciamento do AWS Organizations. Escolha Delegar.

  5. Insira o ID da conta da AWS para uma conta do IPAM. O administrador do IPAM deve ser uma conta membro do AWS Organizations.

  6. Escolha Salvar alterações.

Command line

Os comandos nesta seção são vinculados à Documentação de referência da AWS CLI. A documentação fornece descrições detalhadas das opções que você pode usar ao executar os comandos.

Ao delegar uma conta de membro do Organizations como uma conta do IPAM, o IPAM cria automaticamente uma função do IAM vinculada ao serviço em todas as contas de membro em sua organização. O IPAM monitora o uso de endereços IP nessas contas assumindo a função do IAM vinculada ao serviço em cada conta de membro, descobrindo os recursos e respectivos CIDRs e integrando-os ao IPAM. Os recursos em todas as contas de membro poderão ser detectados pelo IPAM, independentemente de sua Unidade Organizacional. Se houver contas de membro que criaram uma VPC, por exemplo, você verá a VPC e o respectivo CIDR na seção “Resources” (Recursos) do console do IPAM.

Importante

A função da conta de gerenciamento do AWS Organizations que delegou o administrador do IPAM está concluída agora. Para continuar usando o IPAM, a conta de administrador do IPAM deve fazer login no IPAM da Amazon VPC e criar um IPAM.