強制IPAM使用VPC建立 SCPs - Amazon Virtual Private Cloud
建立IPAM時強制執行 VPCs建立時強制執行IPAM集區 VPCs強制執IPAM行除給定列表以外的所有列表 OUs

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

強制IPAM使用VPC建立 SCPs

注意

此區段僅適用於您已啟用與整合功能IPAM的情況下 AWS Organizations。如需詳細資訊,請參閱IPAM與 AWS 組織中的帳戶整合

本節說明如何在中建立服務控制原則 AWS Organizations ,要求組織中的成員在建立IPAM時使用VPC。服務控制原則 (SCPs) 是一種組織原則,可讓您管理組織中的權限。如需詳細資訊,請參閱《AWS Organizations 使用者指南》中的服務控制政策

建立IPAM時強制執行 VPCs

請遵循本節中的步驟,以要求組織中的成員在建立IPAM時使用VPCs。

若要建立SCP並限制VPC建立 IPAM

  1. 請遵循《AWS Organizations 使用指南》SCP中的〈建立〉中的步驟,並在JSON編輯器中輸入以下文字:

    {
    "Version": "2012-10-17",
    "Statement": [{
       "Effect": "Deny",
        "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
        "Resource": "arn:aws:ec2:*:*:vpc/*",
        "Condition": {
            "Null": {
                "ec2:Ipv4IpamPoolId": "true"
            }
        }
     }]
}

  2. 將政策連接至組織中的一個或多個組織單位。如需詳細資訊,請參閱《AWS Organizations 使用者指南》中的連接和分離服務控制政策

建立時強制執行IPAM集區 VPCs

請遵循本節中的步驟,以要求組織中的成員在建立時使用特定人才IPAM庫VPCs。

若要建立SCP並限制VPC儲存IPAM池的建立

  1. 請遵循《AWS Organizations 使用指南》SCP中的〈建立〉中的步驟,並在JSON編輯器中輸入以下文字:

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Deny",
        "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
        "Resource": "arn:aws:ec2:*:*:vpc/*",
        "Condition": {
            "StringNotEquals": {
                "ec2:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg"
            }
          }
    }]
}

  2. 將範ipam-pool-0123456789abcdefg例值變更為您要限制使用者的IPv4集區 ID。

  3. 將政策連接至組織中的一個或多個組織單位。如需詳細資訊,請參閱《AWS Organizations 使用者指南》中的連接和分離服務控制政策

強制執IPAM行除給定列表以外的所有列表 OUs

請遵循本節中的步驟來強制執行除IPAM了指定的組織單位清單 (OUs) 以外的所有項目。本節中描述的策略在組織OUs中需要,您在中指定用aws:PrincipalOrgPathsIPAM來建立和展開的策略除外VPCs。 OUs列出的OUs可以在建立IPAM時使用,VPCs也可以手動指定 IP 位址範圍。

若要為除給定清單以外IPAM的所有清單建立SCP並強制執行 OUs

  1. 請遵循《AWS Organizations 使用指南》SCP中的〈建立〉中的步驟,並在JSON編輯器中輸入以下文字:

    {
    "Version": "2012-10-17",
    "Statement": [{
	"Effect": "Deny",
	    "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
	    "Resource": "arn:aws:ec2:*:*:vpc/*",
	    "Condition": {
	        "Null": {
		      "ec2:Ipv4IpamPoolId": "true"
                },
	        "ForAllValues:StringNotLike": {
	            "aws:PrincipalOrgPaths": [
	                "o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/",
	                "o-a1b2c3d4e5/r-ab12/ou-ab13-22222222/ou-ab13-33333333/"
	            ]
                }
            }
     }]
}

  2. 移除範例值 (如o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/),並新增您要使用 (但不需要) 選項的「Organ AWS izations」實體路徑IPAM。OUs如需實體路徑的詳細資訊,請參閱AWS Identity and Access Management 使用者指南PrincipalOrgPaths中的了解 Organ AWS izations 實體路徑aws:

  3. 將此政策連接至組織根目錄。如需詳細資訊,請參閱《AWS Organizations 使用者指南》中的連接和分離服務控制政策