选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户

强制使用 IPAM 通过 SCP 进行 VPC 创建

PDF
聚焦模式
强制使用 IPAM 通过 SCP 进行 VPC 创建 - Amazon Virtual Private Cloud
创建 VPC 时强制使用 IPAM创建 VPC 时强制使用 IPAM 池对除给定 OU 列表之外的所有 OU 强制实施 IPAM
注意

此部分仅在您启用了 IPAM 与 AWS Organizations 集成时适用您。有关更多信息,请参阅 将 IPAM 与 AWS Organization 中的账户集成

此部分描述如何在 AWS Organizations 中创建服务控制策略,从而要求组织中的成员在创建 VPC 时使用 IPAM。服务控制策略 (SCP) 是一种组织策略,使您能够管理组织中的权限。有关更多信息,请参阅 AWS Organizations 用户指南中的服务控制策略

创建 VPC 时强制使用 IPAM

按照本部分中的步骤,要求组织中的成员在创建 VPC 时使用 IPAM。

要创建 SCP 并将 VPC 创建限制为 IPAM

  1. 按照《AWS Organizations 用户指南》中的 Create a service control policy 中的步骤操作,并在 JSON 编辑器中输入以下文本:

    {
    "Version": "2012-10-17",
    "Statement": [{
       "Effect": "Deny",
        "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
        "Resource": "arn:aws:ec2:*:*:vpc/*",
        "Condition": {
            "Null": {
                "ec2:Ipv4IpamPoolId": "true"
            }
        }
     }]
}

  2. 将策略附加到组织中的一个或多个组织单位。有关更多信息,请参阅《AWS Organizations 用户指南》中的 Attach policiesDetach policies

创建 VPC 时强制使用 IPAM 池

按照本部分中的步骤,要求组织中的成员在创建 VPC 时使用特定 IPAM 池。

要创建 SCP 并将 VPC 创建限制为 IPAM 池

  1. 按照《AWS Organizations 用户指南》中的 Create a service control policy 中的步骤操作,并在 JSON 编辑器中输入以下文本:

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Deny",
        "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
        "Resource": "arn:aws:ec2:*:*:vpc/*",
        "Condition": {
            "StringNotEquals": {
                "ec2:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg"
            }
          }
    }]
}

  2. ipam-pool-0123456789abcdefg 示例值更改为您希望对用户进行限制的 IPv4 池 ID。

  3. 将策略附加到组织中的一个或多个组织单位。有关更多信息,请参阅《AWS Organizations 用户指南》中的 Attach policiesDetach policies

对除给定 OU 列表之外的所有 OU 强制实施 IPAM

按照本部分中的步骤,对除给定组织单位(OU)列表之外的所有组织单位强制实施 IPAM。本部分介绍的策略需要组织中除您在 aws:PrincipalOrgPaths 中指定的 OU 之外的 OU 使用 IPAM 创建和扩展 VPC。列出的 OU 可以在创建 VPC 时使用 IPAM,也可以手动指定 IP 地址范围。

创建 SCP 并对除给定 OU 列表之外的所有 OU 强制实施 IPAM

  1. 按照《AWS Organizations 用户指南》中的 Create a service control policy 中的步骤操作,并在 JSON 编辑器中输入以下文本:

    {
    "Version": "2012-10-17",
    "Statement": [{
	"Effect": "Deny",
	    "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
	    "Resource": "arn:aws:ec2:*:*:vpc/*",
	    "Condition": {
	        "Null": {
		      "ec2:Ipv4IpamPoolId": "true"
                },
	        "ForAllValues:StringNotLike": {
	            "aws:PrincipalOrgPaths": [
	                "o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/",
	                "o-a1b2c3d4e5/r-ab12/ou-ab13-22222222/ou-ab13-33333333/"
	            ]
                }
            }
     }]
}

  2. 删除示例值(例如 o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/)并添加您希望可以选择(但不要求)使用 IPAM 的 OU 的 AWS Organizations 实体路径。有关实体路径的更多信息,请参阅《IAM 用户指南》中的了解 AWS Organizations 实体路径aws:PrincipalOrgPaths

  3. 将策略附加到组织根。有关更多信息,请参阅《AWS Organizations 用户指南》中的 Attach policiesDetach policies

本页内容

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。