# 将 IPAM 与 AWS Organization 中的账户集成 或者,您可以按照本部分中的步骤将 IPAM 与 AWS Organizations 集成并委托成员账户作为 IPAM 账户。 IPAM 账户负责创建 IPAM 并使用它来管理和监控 IP 地址的使用情况。 将 IPAM 与 AWS Organizations 集成和委托 IPAM 管理员具有以下益处: + **与您的企业共享 IPAM 池**:当您委派一个 IPAM 账户时,IPAM 会启用企业中的其他 AWS Organizations 成员账户,用于从使用 AWS Resource Access Manager (RAM) 共享的 IPAM 池中分配 CIDR。有关设置企业的更多信息,请参阅 *AWS Organizations 用户指南*中的[什么是 AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)。 + **监控企业中的 IP 地址使用情况**:当您委派 IPAM 账户时,您将授予 IPAM 权限,以监控所有账户的 IP 使用情况。因此,IPAM 会将现有 VPC 在其他 AWS Organizations 成员账户之间使用的 CIDR 自动导入 IPAM 中。 如果您不委派 AWS Organizations 成员账户作为 IPAM 账户,IPAM 将只监控您用于创建 IPAM 的 AWS 账户中的资源。 **注意** 将与 AWS Organizations 集成时: 必须通过在 AWS 管理控制台中使用 IPAM 或 [enable-ipam-organization-admin-account](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ipam-organization-admin-account.html) AWS CLI 命令来启用与 AWS Organizations 的集成。这将确保创建与 `AWSServiceRoleForIPAM` 服务相关角色。如果通过使用 AWS Organizations 控制台或 [register-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/register-delegated-administrator.html) AWS CLI 命令启用对 AWS Organizations 的受信任访问,则不会创建与 `AWSServiceRoleForIPAM` 服务相关的角色,也无法管理或监控企业内的资源。 **IPAM 账户必须是 AWS Organizations 成员账户。**您不能将 AWS Organizations 管理账户作为 IPAM 账户。要检查您的 IPAM 是否已与 AWS Organizations 集成,请使用以下步骤并在*组织设置*中查看集成的详细信息。 IPAM 针对在企业成员账户中监控的每个活动 IP 地址向您收取费用。有关定价的更多信息,请参阅 [IPAM 定价](https://aws.amazon.com/vpc/pricing/)。 您必须在 AWS Organizations 中拥有账户,以及设置有一个或多个成员账户的管理账户。有关账户类型的更多信息,请参阅 *AWS Organizations 用户指南*中的[术语和概念](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)。有关设置企业的更多信息,请参阅[开始使用 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)。 IPAM 账户必须使用附加了允许 `iam:CreateServiceLinkedRole` 操作的 IAM policy 的 IAM 角色。创建 IPAM 时,将自动创建 AWSServiceRoleForIPAM 服务相关角色。 与 AWS Organizations 管理账户关联的 IAM 用户必须使用附加了以下 IAM policy 操作的 IAM 角色: `ec2:EnableIpamOrganizationAdminAccount` `organizations:EnableAwsServiceAccess` `organizations:RegisterDelegatedAdministrator` `iam:CreateServiceLinkedRole` 有关创建 IAM 角色的更多信息,请参阅《IAM 用户指南》中的 [创建向 IAM 用户委托权限的角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)**。 与 AWS Organizations 管理账户关联的用户可使用附加了以下 IAM 策略操作的 IAM 角色,以列出您当前的 AWS Organizations 委派管理员:`organizations:ListDelegatedAdministrators` ------ #### [ AWS Management Console ] **要选择 IPAM 账户** 1. 使用 AWS Organizations 管理账户打开 IPAM 控制台,地址:[https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)。 1. 在 AWS 管理控制台中,选择您要在其中与 IPAM 合作的 AWS 区域。 1. 在导航面板中选择**组织设置**。 1. 仅当您以 AWS Organizations 管理账户身份登录控制台时,**委派**选项才可用。选择 **Delegate(委派)**。 1. 对于 IPAM 账户,输入 AWS 账户 ID。IPAM 管理员必须是 AWS Organizations 成员账户。 1. 选择**保存更改**。 ------ #### [ Command line ] 本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。 + 要使用 AWS CLI 委托 IPAM 管理员账户,请使用以下命令:[enable-ipam-organization-admin-account](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ipam-organization-admin-account.html) ------ 当您将 Organizations 成员账户委派为 IPAM 账户时,IPAM 会自动在企业中的所有成员账户中创建服务相关的 IAM 角色。IPAM 通过在每个成员账户中担任服务相关的 IAM 角色、发现资源及其 CIDR 并将其与 IPAM 集成来监控这些账户中的 IP 地址使用情况。无论其企业单位如何,IPAM 都可以发现所有成员账户中的资源。例如,如果有成员账户创建了 VPC,您将在 IPAM 控制台的资源部分中看到 VPC 及其 CIDR。 **重要** 委派 IPAM 管理员的 AWS Organizations 管理账户的角色现已完成。要继续使用 IPAM,IPAM 管理员账户必须登录 Amazon VPC IPAM 并创建 IPAM。