从 IPAM 中排除组织单位 - Amazon Virtual Private Cloud
OU 排除项工作原理添加或移除 OU 排除项

从 IPAM 中排除组织单位

如果您的 IPAM 与 AWS Organizations 集成,则可以将组织单位 (OU) 排除在 IPAM 管理之外。排除 OU 时,IPAM 不会管理该 OU 中账户的 IP 地址。此功能使您可以更灵活地使用 IPAM。

您可以通过以下方式使用 OU 排除项:

  • 为业务的特定部分启用 IPAM:如果您在 AWS Organizations 中有多个业务部门或子公司,则现在可以将 IPAM 仅用于需要该功能的业务部门或子公司。

  • 将沙盒账户分开:您可以从 IPAM 排除沙盒账户,只关注对 IP 管理真正重要的账户。

OU 排除项工作原理

本节中的图演示了在 IPAM 中添加 OU 排除项的两个使用案例。

第一张图显示仅对父 OU 添加组织单位(OU)排除项的影响。因此,IPAM 不会管理父 OU 中账户的 IP 地址。IPAM 将管理排除项之外的其他 OU 中账户的 IP 地址。

父 OU 上的 OU 排除项示意图

第二张图显示对父 OU 所有子 OU 添加组织单位(OU)排除项的影响。因此,IPAM 不会管理父 OU 中账户或任意子 OU 中账户的 IP 地址。IPAM 将管理排除项之外的 OU 中账户的 IP 地址。

父 OU 和所有子 OU 上的 OU 排除项示意图。

添加或移除 OU 排除项

完成本节中的步骤以添加或移除 OU 排除项。

注意

  • 即使委托的 IPAM 管理员账户位于已排除 OU 中,也不会将其排除在外。

  • 您的 IPAM 必须与 AWS Organizations 集成才能添加 OU 排除项。组织中必须有 OU。

  • 您必须是委托的 IPAM 管理员才能查看、添加或移除 OU 排除项。

  • IPAM 需要时间才能发现最近创建的组织单位。

  • 每次资源发现可以添加的排除项数量有默认配额。有关更多信息,请参阅 IPAM 的配额中的每次资源发现的组织单位排除项数

  • 如果您与其他账户共享资源发现,则该账户可以看到其上的 OU 排除项,其中包含资源发现所有者组织的组织 ID、根 ID 和组织单位 ID 等信息。

AWS Management Console
要添加或移除 OU 排除项

  1. https://console.aws.amazon.com/ipam/ 中打开 IPAM 控制台。

  2. 在导航窗格中,选择资源发现

  3. 选择默认资源发现。

  4. 选择编辑

  5. 组织单位排除项下,执行以下操作:

    • 要添加 OU 排除项

      • 如果要排除 OU 及其所有子 OU:

        • 在表中找到该 OU 并选中该复选框。系统会自动选择所有子 OU。

      • 如果想仅排除父 OU 账户:

        • 在表中找到该 OU 并选中该复选框。系统会自动选择所有子 OU。取消选择所有子 OU。

      • 或者,您可以使用操作列仅选择父 OU 或选择父 OU 和子 OU:

        • 选择所有子 OU:在排除项中包含所有子 OU。选择 OU 后,屏幕上会添加该 OU。每个 OU 均包含 OU 排除项的 ID 和实体路径

        • 仅选择此 OU:在排除项中仅包含此 OU。选择 OU 后,屏幕上会添加该 OU。每个 OU 均包含 OU 排除项的 ID 和实体路径

        • 复制 OU 实体路径:根据需要复制要使用的 AWS Organizations 实体路径。

      • 如果您已经知道 AWS Organizations 实体路径或者想要构建该路径:

        • 选择输入组织单位排除项,然后输入 OU 排除项的实体路径。使用由 / 分隔的 AWS Organizations ID 构建 OU 的路径。以 /* 结尾的路径包含所有子 OU。

          • 示例 1

            • 子 OU 的路径:o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/

            • 在此示例中,o-a1b2c3d4e5 是组织 ID,r-f6g7h8i9j0example 是根 ID,ou-ghi0-awsccccc 是 OU ID,ou-jkl0-awsddddd 是子 OU ID。

            • IPAM 不会管理子 OU 中账户的 IP 地址。

          • 示例 2

            • 所有子 OU 都将成为排除项一部分的路径:o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*

            • 在此示例中,IPAM 不会管理 OU(ou-ghi0-awsccccc)中账户的 IP 地址,也不会管理 OU 所属任何子 OU 中账户的 IP 地址。

    • 要移除 OU 排除项

      • 选择已添加的 OU 旁边的 X。OU ID 之后的 /* 表示其是父 OU,而子 OU 是 OU 排除项的一部分。

  6. 选择 Save changes(保存更改)

Command line

本部分的命令链接到 AWS CLI 参考文档。本文档提供了运行命令时可以使用的选项的详细说明。

  1. 使用 describe-ipam-resource-discoveries 查看资源发现详细信息,以获取下一步的默认资源发现的 ID。

    输入:

    aws ec2 describe-ipam-resource-discoveries

    输出:

    {                                                                                                                              
    "IpamResourceDiscoveries": [                                                                                               
        {                                                                                                                      
            "OwnerId": "111122223333",                                                                                         
            "IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",                                                     
            "IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",  
            "IpamResourceDiscoveryRegion": "us-east-1",                                                                        
            "OperatingRegions": [                                                                                              
                {                                                                                                              
                    "RegionName": "us-east-1"                                                                                  
                },                                                                                                             
                {                                                                                                              
                    "RegionName": "us-west-1"                                                                                  
                },                                                                                                             
                {                                                                                                              
                    "RegionName": "us-west-2"                                                                                  
                }                                                                                                              
            ],                                                                                                                 
            "IsDefault": true,                                                                                                 
            "State": "modify-complete",                                                                                        
            "Tags": []                                                                                                         
        }                                                                                                                      
    ]                                                                                                                          
}

  2. 使用 modify-ipam-resource-discovery 以及 --add-organizational-unit-exclusions--remove-organizational-unit-exclusions 选项,在资源发现中添加或移除组织单位排除项。您需要输入 AWS Organizations 实体路径。使用由 / 分隔的 AWS Organizations ID 构建 OU 的路径。以 /* 结尾的路径包含所有子 OU。在添加或移除参数中不能多次包含相同的实体路径。

    • 示例 1

      • 子 OU 的路径:o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/

      • 在此示例中,o-a1b2c3d4e5 是组织 ID,r-f6g7h8i9j0example 是根 ID,ou-ghi0-awsccccc 是 OU ID,ou-jkl0-awsddddd 是子 OU ID。

      • IPAM 不会管理子 OU 中账户的 IP 地址。

    • 示例 2

      • 所有子 OU 都将成为排除项一部分的路径:o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*

      • 在此示例中,IPAM 不会管理 OU(ou-ghi0-awsccccc)中账户的 IP 地址,也不会管理 OU 所属任何子 OU 中账户的 IP 地址。

    注意

    生成的排除项集不得“重叠”,这意味着两个或多个 OU 排除项不得排除同一 OU。

    不重叠的实体路径示例:

    • 路径 1 =“o-1/r-1/ou-1/”

    • 路径 2 =“o-1/r-1/ou-1/ou-2/”

    这些路径不重叠,因为路径 1 仅排除 ou-1 下的账户,而路径 2 仅排除 ou-2 下的账户。

    重叠的实体路径示例:

    • 路径 1 =“o-1/r-1/ou-1/*”

    • 路径 2 =“o-1/r-1/ou-1/ou-2/”

    这些路径重叠,因为路径 1 同时表示“o-1/r-1/ou-1/”和“o-1/r-1/ou-1/ou-2/”,而“o-1/r-1/ou-1/ou-2/”与路径 2 重叠。

    输入:

    aws ec2 modify-ipam-resource-discovery \
    --ipam-resource-discovery-id ipam-res-disco-1234567890abcdef0 \
    --add-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*' \
    --remove-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/' \
    --region us-east-1

    输出:

    {
    "IpamResourceDiscovery": {
        "OwnerId": "111122223333",
        "IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",
        "IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",
        "IpamResourceDiscoveryRegion": "us-east-1",
        "OperatingRegions": [
            {
                "RegionName": "us-east-1"
            }
        ],
        "IsDefault": false,
        "State": "modify-in-progress",
        "OrganizationalUnitExclusions": [
            {
                "OrganizationsEntityPath": "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*"
            }
        ]
    }
}