nota
Esta seção só se aplica a você se você tiver habilitado o IPAM para se integrar ao AWS Organizations. Para ter mais informações, consulte Integrar o IPAM a contas em uma organização da AWS Organizations.
Esta seção descreve como criar uma política de controle de serviço no AWS Organizations que exija que os integrantes da organização usem o IPAM quando criarem uma VPC. Políticas de controle de serviço (SCPs) são um tipo de política organizacional que permite gerenciar permissões na organização. Para obter mais informações, consulte Políticas de controle de serviço no Guia do usuário do AWS Organizations.
Aplicar o IPAM ao criar VPCs
Siga as etapas desta seção para exigir que os integrantes da organização usem o IPAM quando criarem VPCs.
Para criar um SCP e restringir a criação de VPCs ao IPAM
Siga as etapas descritas em Create a service control policy no Guia do usuário do AWS Organizations e adicione o seguinte texto no editor JSON:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Deny", "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"], "Resource": "arn:aws:ec2:*:*:vpc/*", "Condition": { "Null": { "ec2:Ipv4IpamPoolId": "true" } } }] }-
Anexe a política a uma ou mais unidades organizacionais da organização. Para obter mais informações, consulte Attach policies e Detach policies no Guia do usuário do AWS Organizations.
Aplique um grupo do IPAM ao criar VPCs
Siga as etapas desta seção para exigir que os integrantes da organização usem um grupo específico do IPAM quando criarem VPCs.
Para criar um SCP e restringir a criação de VPCs a um grupo do IPAM
Siga as etapas descritas em Create a service control policy no Guia do usuário do AWS Organizations e adicione o seguinte texto no editor JSON:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Deny", "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"], "Resource": "arn:aws:ec2:*:*:vpc/*", "Condition": { "StringNotEquals": { "ec2:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg" } } }] }Altere o valor de exemplo
ipam-pool-0123456789abcdefgpara o ID do grupo IPv4 ao qual você gostaria de restringir os usuários.-
Anexe a política a uma ou mais unidades organizacionais da organização. Para obter mais informações, consulte Attach policies e Detach policies no Guia do usuário do AWS Organizations.
Aplique o IPAM para todas, exceto uma determinada lista de UOs
Siga as etapas desta seção para aplicar o IPAM para todas as UOs (unidades organizacionais), exceto uma determinada lista. A política descrita nesta seção requer que as unidades organizacionais (UOs) na organização, exceto as que você especificar em aws:PrincipalOrgPaths, usem o IPAM para criar e para ampliar as VPCs. As UOs listadas podem usar o IPAM ao criar VPCs ou especificar um intervalo de endereços IP manualmente.
Para criar uma SCP e aplicar o IPAM para todas, exceto uma determinada lista de UOs
-
Siga as etapas descritas em Create a service control policy no Guia do usuário do AWS Organizations e adicione o seguinte texto no editor JSON:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Deny", "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"], "Resource": "arn:aws:ec2:*:*:vpc/*", "Condition": { "Null": { "ec2:Ipv4IpamPoolId": "true" }, "ForAllValues:StringNotLike": { "aws:PrincipalOrgPaths": [ "o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/", "o-a1b2c3d4e5/r-ab12/ou-ab13-22222222/ou-ab13-33333333/" ] } } }] } -
Remova os valores de exemplo (como
o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/) e adicione os caminhos da entidade do AWS Organizations das UOs que você deseja ter a opção (mas não exigir) de usar o IPAM. Para obter mais informações sobre o caminho da entidade, consulte Compreender o caminho da entidade do AWS Organizations e aws:PrincipalOrgPaths no Guia do usuário do IAM. -
Anexe a política à raiz da sua organização. Para obter mais informações, consulte Attach policies e Detach policies no Guia do usuário do AWS Organizations.
