强制使用 IPAM 通过 SCP 进行 VPC 创建
注意
此部分仅在您启用了 IPAM 与 AWS Organizations 集成时适用您。有关更多信息,请参阅 将 IPAM 与 AWS Organization 中的账户集成。
此部分描述如何在 AWS Organizations 中创建服务控制策略,从而要求组织中的成员在创建 VPC 时使用 IPAM。服务控制策略 (SCP) 是一种组织策略,使您能够管理组织中的权限。有关更多信息,请参阅 AWS Organizations 用户指南中的服务控制策略。
创建 VPC 时强制使用 IPAM
按照本部分中的步骤,要求组织中的成员在创建 VPC 时使用 IPAM。
要创建 SCP 并将 VPC 创建限制为 IPAM
按照创建《AWS Organizations 用户指南》中的创建 SCP 中的步骤操作,并在 JSON 编辑器中输入以下文本:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Deny", "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"], "Resource": "arn:aws:ec2:*:*:vpc/*", "Condition": { "Null": { "ec2:Ipv4IpamPoolId": "true" } } }] }
-
将策略附加到组织中的一个或多个组织单位。有关更多信息,请参阅 AWS Organizations 用户指南中的附加和分离服务控制策略。
创建 VPC 时强制使用 IPAM 池
按照本部分中的步骤,要求组织中的成员在创建 VPC 时使用特定 IPAM 池。
要创建 SCP 并将 VPC 创建限制为 IPAM 池
按照创建《AWS Organizations 用户指南》中的创建 SCP 中的步骤操作,并在 JSON 编辑器中输入以下文本:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Deny", "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"], "Resource": "arn:aws:ec2:*:*:vpc/*", "Condition": { "StringNotEquals": { "ec2:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg" } } }] }
将
ipam-pool-0123456789abcdefg
示例值更改为您希望对用户进行限制的 IPv4 池 ID。-
将策略附加到组织中的一个或多个组织单位。有关更多信息,请参阅 AWS Organizations 用户指南中的附加和分离服务控制策略。
对除给定 OU 列表之外的所有 OU 强制实施 IPAM
按照本部分中的步骤,对除给定组织单位(OU)列表之外的所有组织单位强制实施 IPAM。本部分介绍的策略需要组织中除您在 aws:PrincipalOrgPaths
中指定的 OU 之外的 OU 使用 IPAM 创建和扩展 VPC。列出的 OU 可以在创建 VPC 时使用 IPAM,也可以手动指定 IP 地址范围。
创建 SCP 并对除给定 OU 列表之外的所有 OU 强制实施 IPAM
-
按照创建《AWS Organizations 用户指南》中的创建 SCP 中的步骤操作,并在 JSON 编辑器中输入以下文本:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Deny", "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"], "Resource": "arn:aws:ec2:*:*:vpc/*", "Condition": { "Null": { "ec2:Ipv4IpamPoolId": "true" }, "ForAllValues:StringNotLike": { "aws:PrincipalOrgPaths": [ "o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/", "o-a1b2c3d4e5/r-ab12/ou-ab13-22222222/ou-ab13-33333333/" ] } } }] }
-
删除示例值(例如
o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/
)并添加您希望可以选择(但不要求)使用 IPAM 的 OU 的 AWS Organizations 实体路径。有关实体路径的更多信息,请参阅《AWS Identity and Access Management 用户指南》中的了解 AWS Organizations 实体路径和 aws:PrincipalOrgPaths。 -
将策略附加到组织根。有关更多信息,请参阅 AWS Organizations 用户指南中的附加和分离服务控制策略。