Impor o uso do IPAM para a criação de VPCs com SCPs
nota
Esta seção só se aplica a você se você tiver habilitado o IPAM para se integrar ao AWS Organizations. Para ter mais informações, consulte Integrar o IPAM a contas em uma organização da AWS Organizations.
Esta seção descreve como criar uma política de controle de serviço no AWS Organizations que exija que os integrantes da organização usem o IPAM quando criarem uma VPC. Políticas de controle de serviço (SCPs) são um tipo de política organizacional que permite gerenciar permissões na organização. Para obter mais informações, consulte Políticas de controle de serviço no Guia do usuário do AWS Organizations.
Aplicar o IPAM ao criar VPCs
Siga as etapas desta seção para exigir que os integrantes da organização usem o IPAM quando criarem VPCs.
Para criar um SCP e restringir a criação de VPCs ao IPAM
Siga as etapas em Criar um SCP no Guia do usuário do AWS Organizations e insira o seguinte texto no editor JSON:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Deny", "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"], "Resource": "arn:aws:ec2:*:*:vpc/*", "Condition": { "Null": { "ec2:Ipv4IpamPoolId": "true" } } }] }-
Anexe a política a uma ou mais unidades organizacionais da organização. Para obter mais informações, consulte Anexar e desvincular políticas de controle de serviço no Guia do usuário do AWS Organizations.
Aplique um grupo do IPAM ao criar VPCs
Siga as etapas desta seção para exigir que os integrantes da organização usem um grupo específico do IPAM quando criarem VPCs.
Para criar um SCP e restringir a criação de VPCs a um grupo do IPAM
Siga as etapas em Criar um SCP no Guia do usuário do AWS Organizations e insira o seguinte texto no editor JSON:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Deny", "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"], "Resource": "arn:aws:ec2:*:*:vpc/*", "Condition": { "StringNotEquals": { "ec2:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg" } } }] }Altere o valor de exemplo
ipam-pool-0123456789abcdefgpara o ID do grupo IPv4 ao qual você gostaria de restringir os usuários.-
Anexe a política a uma ou mais unidades organizacionais da organização. Para obter mais informações, consulte Anexar e desvincular políticas de controle de serviço no Guia do usuário do AWS Organizations.
Aplique o IPAM para todas, exceto uma determinada lista de UOs
Siga as etapas desta seção para aplicar o IPAM para todas as UOs (unidades organizacionais), exceto uma determinada lista. A política descrita nesta seção exige que as UOs na organização, exceto para as UOs especificadas em aws:PrincipalOrgPaths, usem o IPAM para criar e expandir VPCs. As UOs listadas podem usar o IPAM ao criar VPCs ou especificar um intervalo de endereços IP manualmente.
Para criar uma SCP e aplicar o IPAM para todas, exceto uma determinada lista de UOs
-
Siga as etapas em Criar um SCP no Guia do usuário do AWS Organizations e insira o seguinte texto no editor JSON:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Deny", "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"], "Resource": "arn:aws:ec2:*:*:vpc/*", "Condition": { "Null": { "ec2:Ipv4IpamPoolId": "true" }, "ForAllValues:StringNotLike": { "aws:PrincipalOrgPaths": [ "o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/", "o-a1b2c3d4e5/r-ab12/ou-ab13-22222222/ou-ab13-33333333/" ] } } }] } -
Remova os valores de exemplo (como
o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/) e adicione os caminhos da entidade do AWS Organizations das UOs que você deseja ter a opção (mas não exigir) de usar o IPAM. Para obter mais informações sobre o caminho da entidade, consulte Compreender o caminho da entidade do AWS Organizations e aws:PrincipalOrgPaths no Guia do usuário do AWS Identity and Access Management. -
Anexe a política à raiz da sua organização. Para obter mais informações, consulte Anexar e desvincular políticas de controle de serviço no Guia do usuário do AWS Organizations.
