Excluir unidades organizacionais do IPAM
Se o IPAM for integrado ao AWS Organizations e você adicionar uma exclusão de unidade organizacional (UO), o IPAM não gerenciará os endereços IP nas contas dessa UO. Esse atributo oferece mais flexibilidade no uso do IPAM.
Você pode usar exclusões de UO das seguintes maneiras:
-
Habilitar o IPAM para partes específicas da empresa: se tiver várias unidades de negócios ou subsidiárias no AWS Organizations, agora você poderá usar o IPAM apenas nas que precisarem dele.
-
Manter as contas de sandbox separadas: você pode excluir as contas de sandbox do IPAM, concentrando-se apenas nas contas que realmente importam para o gerenciamento de endereços IP.
Como funcionam as exclusões de UO
Os diagramas desta seção demonstram dois casos de uso diferentes da adição de exclusões de UOs no IPAM.
O primeiro diagrama mostra o impacto da adição de uma exclusão de unidade organizacional (UO) em uma UO superior apenas. Como resultado, o IPAM não gerenciará os endereços IP nas contas da UO superior. O IPAM gerenciará os endereços IP nas contas das outras UOs não incluídas na exclusão.
O segundo diagrama mostra o impacto da adição de uma exclusão de uma unidade organizacional (UO) superior e de todas as UOs subordinadas. Como resultado, o IPAM não gerenciará os endereços IP nas contas da UO superior nem nas contas das UOs subordinadas. O IPAM gerenciará os endereços IP nas contas das UOs fora da exclusão.
Adicionar ou remover exclusões de UO
Conclua as etapas desta seção para adicionar ou remover exclusões de UO.
A conta de administrador delegado do IPAM não é excluída, mesmo que esteja em uma UO que é excluída.
O IPAM deve ser integrado com o AWS Organizations para adicionar uma exclusão de UO seja adicionada. A organização deve conter UOs.
Você deve ser o administrador delegado do IPAM para visualizar, adicionar ou remover exclusões de UO.
O IPAM leva algum tempo para descobrir unidades organizacionais recém-criadas.
-
Existe uma cota padrão para o número de exclusões que você pode adicionar por descoberta de recursos. Para obter mais informações, consulte Exclusões de unidade organizacional por descoberta de recursos em Cotas para o IPAM.
-
Se você compartilhar uma descoberta de recursos com outra conta, essa outra conta poderá ver as exclusões de UO, as quais contêm informações como o ID da organização, o ID da raiz e os IDs das unidades organizacionais da organização do proprietário da descoberta de recursos.
- AWS Management Console
-
Para adicionar ou remover exclusões de UO
Abra o console do IPAM em https://console.aws.amazon.com/ipam/.
No painel de navegação, escolha Descobertas de recursos.
Escolha a descoberta de recursos padrão.
Escolha Editar.
Em Exclusões de unidades organizacionais, faça o seguinte:
Escolha Salvar alterações.
- Command line
-
Os comandos nesta seção são vinculados à Documentação de referência da AWS CLI. A documentação fornece descrições detalhadas das opções que você pode usar ao executar os comandos.
Visualize os detalhes da descoberta de recursos para obter o ID da descoberta de recursos padrão para a próxima etapa com describe-ipam-resource-discoveries.
Entrada:
aws ec2 describe-ipam-resource-discoveries
Saída:
{
"IpamResourceDiscoveries": [
{
"OwnerId": "111122223333",
"IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",
"IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",
"IpamResourceDiscoveryRegion": "us-east-1",
"OperatingRegions": [
{
"RegionName": "us-east-1"
},
{
"RegionName": "us-west-1"
},
{
"RegionName": "us-west-2"
}
],
"IsDefault": true,
"State": "modify-complete",
"Tags": []
}
]
}
Adicione ou remova uma exclusão de unidade organizacional de uma descoberta de recursos com modify-ipam-resource-discovery e as opções --add-organizational-unit-exclusions ou --remove-organizational-unit-exclusions. Você precisará inserir um caminho de entidade do AWS Organizations. Crie o caminho para as UOs usando os IDs do AWS Organizations separados por uma /. Inclua todas as UOs subordinadas terminando o caminho com /*.
-
Exemplo 1
Caminho para uma UO subordinada: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/
Neste exemplo, o-a1b2c3d4e5 é o ID da organização, r-f6g7h8i9j0example é o ID da raiz, ou-ghi0-awsccccc é o ID de uma UO e ou-jkl0-awsddddd é o ID de uma UO subordinada.
O IPAM não gerenciará os endereços IP nas contas da UO subordinada.
Exemplo 2
Caminho no qual todas as UOs subordinadas serão incluídas na exclusão: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*
Neste exemplo, o IPAM não gerenciará os endereços IP nas contas da UO (ou-ghi0-awsccccc) nem nas contas das UOs subordinadas a ela.
Entrada:
aws ec2 modify-ipam-resource-discovery \
--ipam-resource-discovery-id ipam-res-disco-1234567890abcdef0 \
--add-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*' \
--remove-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/' \
--region us-east-1
Saída:
{
"IpamResourceDiscovery": {
"OwnerId": "111122223333",
"IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",
"IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",
"IpamResourceDiscoveryRegion": "us-east-1",
"OperatingRegions": [
{
"RegionName": "us-east-1"
}
],
"IsDefault": false,
"State": "modify-in-progress",
"OrganizationalUnitExclusions": [
{
"OrganizationsEntityPath": "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*"
}
]
}
}
