強制IPAM使用VPC建立 SCPs - Amazon Virtual Private Cloud
建立IPAM時強制執行 VPCs建立時強制執行IPAM集區 VPCs強制執IPAM行除給定列表以外的所有列表 OUs

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

強制IPAM使用VPC建立 SCPs

注意

此區段僅適用於您已啟用與整合功能IPAM的情況下 AWS Organizations。如需詳細資訊,請參閱IPAM 與 AWS 組織中的帳戶整合

本節說明如何在中建立服務控制原則 AWS Organizations ,要求組織中的成員在建立IPAM時使用VPC。服務控制原則 (SCPs) 是一種組織原則,可讓您管理組織中的權限。如需詳細資訊,請參閱《AWS Organizations 使用者指南》中的服務控制政策

建立IPAM時強制執行 VPCs

請遵循本節中的步驟,以要求組織中的成員在建立IPAM時使用VPCs。

若要建立SCP並限制VPC建立 IPAM

  1. 請遵循《AWS Organizations 使用指南》SCP中的〈建立〉中的步驟,並在JSON編輯器中輸入以下文字:

    {
    "Version": "2012-10-17",
    "Statement": [{
       "Effect": "Deny",
        "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
        "Resource": "arn:aws:ec2:*:*:vpc/*",
        "Condition": {
            "Null": {
                "ec2:Ipv4IpamPoolId": "true"
            }
        }
     }]
}

  2. 將政策連接至組織中的一個或多個組織單位。如需詳細資訊,請參閱《AWS Organizations 使用者指南》中的連接和分離服務控制政策

建立時強制執行IPAM集區 VPCs

請遵循本節中的步驟,以要求組織中的成員在建立時使用特定人才IPAM庫VPCs。

若要建立SCP並限制VPC儲存IPAM池的建立

  1. 請遵循《AWS Organizations 使用指南》SCP中的〈建立〉中的步驟,並在JSON編輯器中輸入以下文字:

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Deny",
        "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
        "Resource": "arn:aws:ec2:*:*:vpc/*",
        "Condition": {
            "StringNotEquals": {
                "ec2:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg"
            }
          }
    }]
}

  2. 將範ipam-pool-0123456789abcdefg例值變更為您要限制使用者的IPv4集區 ID。

  3. 將政策連接至組織中的一個或多個組織單位。如需詳細資訊,請參閱《AWS Organizations 使用者指南》中的連接和分離服務控制政策

強制執IPAM行除給定列表以外的所有列表 OUs

請遵循本節中的步驟來強制執行除IPAM了指定的組織單位清單 (OUs) 以外的所有項目。本節中描述的策略在組織OUs中需要,您在中指定用aws:PrincipalOrgPathsIPAM來建立和展開的策略除外VPCs。 OUs列出的OUs可以在建立IPAM時使用,VPCs也可以手動指定 IP 位址範圍。

若要為除給定清單以外IPAM的所有清單建立SCP並強制執行 OUs

  1. 請遵循《AWS Organizations 使用指南》SCP中的〈建立〉中的步驟,並在JSON編輯器中輸入以下文字:

    {
    "Version": "2012-10-17",
    "Statement": [{
	"Effect": "Deny",
	    "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
	    "Resource": "arn:aws:ec2:*:*:vpc/*",
	    "Condition": {
	        "Null": {
		      "ec2:Ipv4IpamPoolId": "true"
                },
	        "ForAllValues:StringNotLike": {
	            "aws:PrincipalOrgPaths": [
	                "o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/",
	                "o-a1b2c3d4e5/r-ab12/ou-ab13-22222222/ou-ab13-33333333/"
	            ]
                }
            }
     }]
}

  2. 移除範例值 (如o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/),並新增您要使用 (但不需要) 選項的「Organ AWS izations」實體路徑IPAM。OUs如需實體路徑的詳細資訊,請參閱AWS Identity and Access Management 使用者指南PrincipalOrgPaths中的了解 Organ AWS izations 實體路徑aws:

  3. 將此政策連接至組織根目錄。如需詳細資訊,請參閱《AWS Organizations 使用者指南》中的連接和分離服務控制政策