本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
從 IPAM 中排除組織單位
如果您的 IPAM 與 AWS Organizations 整合,且您新增組織單位 (OU) 排除,則 IPAM 將不會管理該 OU 中帳戶中的 IP 地址。此功能可讓您在 IPAM 的使用方式上更具彈性。
您可以透過下列方式使用 OU 排除:
-
為業務的特定部分啟用 IPAM:如果您在 AWS Organizations 中有多個業務單位或子公司,您現在可以僅將 IPAM 用於需要 Word 的業務單位或子公司。
-
將您的沙盒帳戶保持分離:您可以從 IPAM 中排除沙盒帳戶,僅專注於對 IP 管理真正重要的帳戶。
OU 排除的運作方式
本節中的圖表示範在 IPAM 中新增 OU 排除項目的兩種不同使用案例。
第一個圖表顯示僅新增組織單位 (OU) 排除對父 OU 的影響。因此,IPAM 不會管理父 OU 中帳戶中的 IP 地址。IPAM 將管理排除範圍以外的其他 OUs 帳戶中的 IP 地址。
第二個圖表顯示新增組織單位 (OU) 排除對父 OU 和所有子 OUs 的影響。因此,IPAM 不會管理父 OU 中帳戶或任何子 OUs 中帳戶中的 IP 地址。IPAM 將在排除項目之外管理 OUs 中帳戶中的 IP 地址。
新增或移除 OU 排除項目
完成本節中的步驟,以新增或移除 OU 排除項目。
注意
即使委派的 IPAM 管理員帳戶位於已排除的 OU 內,也不會遭到排除。
您的 IPAM 必須與 整合, AWS Organizations 才能新增 OU 排除。組織必須具有 OUs。
您必須是委派的 IPAM 管理員,才能檢視、新增或移除 OU 排除項目。
IPAM 探索最近建立的組織單位需要一些時間。
-
您可以為每個資源探索新增的排除項目數量有預設配額。如需詳細資訊,請參閱 中每個資源探索的組織單位排除項目IPAM 的配額。
-
如果您與其他 帳戶共用資源探索,該帳戶可以查看其 OU 排除項目,其中包含資源探索擁有者組織的組織 ID、根 ID 和組織單位 IDs 等資訊。
- AWS Management Console
-
新增或移除 OU 排除項目
在 IPAM 開啟 https://console.aws.amazon.com/ipam/
主控台。 在導覽窗格中,選擇尋找探索。
選擇您的預設資源探索。
選擇編輯。
在組織單位排除項目下,執行下列動作:
-
若要新增 OU 排除項目:
-
如果您想要排除 OU 及其所有子 OUs:
-
在資料表中尋找 OU,然後選取核取方塊。所有子 OUs 都會自動選取。
-
-
如果您只想要排除父 OU 帳戶:
-
在資料表中尋找 OU,然後選取核取方塊。所有子 OUs 都會自動選取。取消選取所有子 OUs。
-
-
或者,您可以使用動作欄來僅選取父 OU 或父和子 OUs:
-
如果您已經知道 AWS Organizations 實體路徑,或想要建置該路徑:
-
選擇輸入組織單位排除,然後輸入 OU 排除的實體路徑。使用 AWS 以 分隔的組織單字 ( Organizations IDs) 建置 OU 的路徑
/。使用 結束路徑,包含所有子 OUs/*。-
範例 1
-
子 OU 的路徑:
o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/ -
在此範例中,
o-a1b2c3d4e5是組織 ID、r-f6g7h8i9j0example是根 ID、ou-ghi0-awsccccc是 OU ID,ou-jkl0-awsddddd是子 OU ID。 -
IPAM 不會管理子 OU 中帳戶中的 IP 地址。
-
-
範例 2
-
所有子 OUs 都將成為排除項目一部分的路徑:
o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/* -
在此範例中,IPAM 不會管理 OU (
ou-ghi0-awsccccc) 中帳戶中的 IP 地址,也不會管理屬於 OU 子項的任何 OUs 帳戶中的 IP 地址。
-
-
-
-
-
若要移除 OU 排除:
-
選擇已新增的 OU 旁的 X。在 OU ID 表示其為父 OU
/*之後,該子 OUs 是 OU 排除的一部分。
-
-
選擇 Save changes (儲存變更)。
- Command line
-
本節中的命令連結至 AWS CLI 參考文件。本文件旨在詳細說明執行命令時可使用的選項。
檢視資源探索詳細資訊,以取得 describe-ipam-resource-discoveries
下一個步驟的預設資源探索 ID。 輸入:
aws ec2 describe-ipam-resource-discoveries輸出:
{ "IpamResourceDiscoveries": [ { "OwnerId": "111122223333", "IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0", "IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0", "IpamResourceDiscoveryRegion": "us-east-1", "OperatingRegions": [ { "RegionName": "us-east-1" }, { "RegionName": "us-west-1" }, { "RegionName": "us-west-2" } ], "IsDefault": true, "State": "modify-complete", "Tags": [] } ] }使用 modify-ipam-resource-discovery
和 或 --remove-organizational-unit-exclusions選項,從資源探索中新增--add-organizational-unit-exclusions或移除組織單位排除。您需要輸入 AWS Organizations 實體路徑。使用以 分隔 AWS 的組織IDs來建置 OU 的路徑 (OU)/。以 結束路徑,包含所有子 OUs/*。-
範例 1
子 OU 的路徑:
o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/在此範例中,
o-a1b2c3d4e5是組織 ID、r-f6g7h8i9j0example是根 ID、ou-ghi0-awsccccc是 OU ID,ou-jkl0-awsddddd是子 OU ID。IPAM 不會管理子 OU 中帳戶中的 IP 地址。
範例 2
所有子 OUs 都將成為排除項目一部分的路徑:
o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*在此範例中,IPAM 不會管理 OU (
ou-ghi0-awsccccc) 中帳戶中的 IP 地址,也不會管理屬於 OU 子項的任何 OUs 帳戶中的 IP 地址。
輸入:
aws ec2 modify-ipam-resource-discovery \ --ipam-resource-discovery-id ipam-res-disco-1234567890abcdef0 \ --add-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*' \ --remove-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/' \ --region us-east-1輸出:
{ "IpamResourceDiscovery": { "OwnerId": "111122223333", "IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0", "IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0", "IpamResourceDiscoveryRegion": "us-east-1", "OperatingRegions": [ { "RegionName": "us-east-1" } ], "IsDefault": false, "State": "modify-in-progress", "OrganizationalUnitExclusions": [ { "OrganizationsEntityPath": "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*" } ] } }-
