Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Konfigurieren von Integrationsoptionen für Ihr IPAM
<a name="choose-single-user-or-orgs-ipam"></a>

In diesem Abschnitt wird beschrieben, wie Sie IPAM in AWS Organizations und andere AWS-Konten integrieren oder mit einem einzelnen AWS-Konto verwenden können.

Bevor Sie mit der Verwendung von IPAM beginnen, müssen Sie eine der Optionen in diesem Abschnitt auswählen, damit IPAM CIDRs überwachen kann, die mit EC2-Netzwerkressourcen und Speicher-Metriken verknüpft sind:
+ Informationen zum Aktivieren von IPAM für die Integration mit AWS Organizations, damit der Amazon VPC-IPAM-Service Netzwerkressourcen verwalten und überwachen kann, die von allen Mitgliedskonten der AWS Organizations erstellt wurden, finden Sie unter [Integration von IPAM mit Konten in AWS Organizations](enable-integ-ipam.md).
+ Nach der Integration mit AWS Organizations finden Sie Informationen zur Integration von IPAM mit Konten außerhalb Ihrer Organisation unter [Integrieren von IPAM mit Konten außerhalb Ihrer Organisation](enable-integ-ipam-outside-org.md).
+ Um ein einzelnes AWS-Konto mit IPAM zu verwenden und den Amazon-VPC-IPAM-Service zu aktivieren, um die Netzwerkressourcen zu verwalten und zu überwachen, die Sie mit dem einzelnen Konto erstellen, siehe [Verwenden Sie IPAM mit einem einzigen Konto](enable-single-user-ipam.md).

Wenn Sie keine dieser Optionen auswählen, können Sie dennoch IPAM-Ressourcen wie Pools erstellen, aber Sie werden keine Metriken in Ihrem Dashboard sehen und Sie können den Status von Ressourcen nicht überwachen.

**Topics**
+ [Integration von IPAM mit Konten in AWS Organizations](enable-integ-ipam.md)
+ [Integrieren von IPAM mit Konten außerhalb Ihrer Organisation](enable-integ-ipam-outside-org.md)
+ [Verwenden Sie IPAM mit einem einzigen Konto](enable-single-user-ipam.md)

# Integration von IPAM mit Konten in AWS Organizations
<a name="enable-integ-ipam"></a>

Optional können Sie die Schritte in diesem Abschnitt ausführen, um IPAM in AWS Organizations zu integrieren und ein Mitgliedskonto als IPAM-Konto zu delegieren.

Das IPAM-Konto ist dafür verantwortlich, ein IPAM zu erstellen und es zum Verwalten und Überwachen der IP-Adressnutzung zu verwenden.

Die Integration von IPAM mit AWS Organizations und das Delegieren eines IPAM-Administrators hat die folgenden Vorteile:
+ **Geben Sie Ihre IPAM-Pools für Ihre Organisation frei**: Wenn Sie ein IPAM-Konto delegieren, ermöglicht IPAM anderen AWS-Organizations-Mitgliedskonten in der Organisation, CIDRs aus IPAM-Pools zuzuweisen, die mit AWS Resource Access Manager (RAM) gemeinsam genutzt werden. Weitere Informationen zur Einstellung von Organizations finden Sie unter [Was ist AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) im *Benutzerhandbuch zu AWS Organizations*.
+ **Überwachen der IP-Adressnutzung in Ihrer Organisation**: Wenn Sie ein IPAM-Konto delegieren, erteilen Sie IPAM die Berechtigung, die IP-Nutzung über alle Ihre Konten hinweg zu überwachen. Infolgedessen importiert IPAM automatisch CIDRs, die von vorhandenen VPCs in anderen Mitgliedskonten von AWS Organizations verwendet werden, in IPAM.

Wenn Sie ein AWS-Organizations-Mitgliedskonto nicht als IPAM-Konto delegieren, überwacht IPAM die Ressourcen nur in dem AWS-Konto, das Sie zum Erstellen des IPAM verwenden.

**Anmerkung**  
Bei der Integration mit AWS-Organizations:  
Sie müssen die Integration mit AWS-Organizations aktivieren, indem Sie IPAM in der AWS-Managementkonsole oder den AWS-CLI-Befehl [enable-ipam-organization-admin-account](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ipam-organization-admin-account.html) verwenden. Dadurch wird sichergestellt, dass die `AWSServiceRoleForIPAM`-serviceverknüpfte Rolle erstellt wird. Wenn Sie den vertrauenswürdigen Zugriff mit AWS-Organizations mithilfe der AWS-Organizations-Konsole oder des AWS-CLI-Befehls [register-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/register-delegated-administrator.html) aktivieren, wird die `AWSServiceRoleForIPAM`-serviceverknüpfte Rolle nicht erstellt, und Sie können keine Ressourcen innerhalb Ihrer Organisation verwalten oder überwachen.
**Das IPAM-Konto muss ein Mitgliedskonto der AWS-Organizations sein.** Sie können das AWS-Organizations-Verwaltungskonto nicht als IPAM-Konto verwenden. Um zu überprüfen, ob Ihr IPAM bereits in AWS-Organizations integriert ist, führen Sie die folgenden Schritte aus und zeigen Sie die Details der Integration in den *Organisationseinstellungen* an.
IPAM belastet Sie für jede aktive IP-Adresse, die es in den Mitgliedskonten Ihrer Organisation überwacht. Weitere Informationen zu Preisen finden Sie unter [IPAM-Preise](https://aws.amazon.com/vpc/pricing/).
Sie müssen ein Konto in AWS-Organizations und ein Verwaltungskonto, das mit einem oder mehreren Mitgliedskonten eingerichtet wurde haben. Weitere Informationen zu den verschiedenen Kontotypen finden Sie unter [Terminologie und Konzepte](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) im *Benutzerhandbuch zu AWS Organizations*. Weitere Informationen zum Einrichten einer Organisation finden Sie unter [Erste Schritte mit AWS-Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html).
Das IPAM-Konto muss eine IAM-Rolle verwenden, der eine IAM-Richtlinie beigefügt ist, welche die Aktion `iam:CreateServiceLinkedRole` erlaubt. Wenn Sie das IPAM erstellen, erstellen Sie automatisch die serviceverknüpfte Rolle AWSServiceRoleForIPAM.
Der Benutzer, der mit dem AWS-Organizations-Verwaltungskonto verknüpft ist, muss eine IAM-Rolle verwenden, an der die folgenden IAM-Richtlinienaktionen angehängt sind:  
`ec2:EnableIpamOrganizationAdminAccount`
`organizations:EnableAwsServiceAccess`
`organizations:RegisterDelegatedAdministrator`
`iam:CreateServiceLinkedRole`
Weitere Informationen zum Erstellen einer IAM-Rolle finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch*.
Der Benutzer, der mit dem Verwaltungskonto der AWS Organizations verknüpft ist, kann eine IAM-Rolle verwenden, der die folgenden IAM-Richtlinienaktionen zugeordnet sind, um Ihre aktuellen delegierten Administratoren der AWS Organizations aufzulisten: `organizations:ListDelegatedAdministrators`

------
#### [ AWS Management Console ]

**So wählen Sie ein IPAM-Konto aus**

1. Melden Sie sich mit dem AWS-Organizations-Verwaltungskonto an und öffnen Sie die IPAM-Konsole unter [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/).

1. Wählen Sie in der AWS-Managementkonsole die AWS-Region, in der Sie mit IPAM arbeiten möchten.

1. Klicken Sie im Navigationsbereich auf **Organization settings (Organisationseinstellungen)**.

1. Die Option **Delegieren** ist nur verfügbar, wenn Sie sich mit dem Verwaltungskonto von AWS Organizations bei der Konsole angemeldet haben. Wählen Sie **Delegieren**. 

1. Geben Sie die AWS-Konto-ID für in IPAM-Konto ein. Der IPAM-Administrator muss ein Mitgliedskontoinhaber von AWS Organizations sein.

1. Wählen Sie **Änderungen speichern ** aus.

------
#### [ Command line ]

Die Befehle in diesem Abschnitt sind mit der *AWS CLI-Befehlsreferenz* verknüpft. Die Dokumentation enthält detaillierte Beschreibungen der Optionen, die Sie beim Ausführen der Befehle verwenden können.
+ Um ein IPAM-Administratorkonto mit AWS CLI zu delegieren, verwenden Sie den folgenden Befehl: [enable-ipam-organization-admin-account](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ipam-organization-admin-account.html)

------

Wenn Sie ein Mitgliedskonto für Organizations als IPAM-Konto delegieren, erstellt IPAM automatisch eine dienstgebundene IAM-Rolle in allen Mitgliedskonten in Ihrer Organisation. IPAM überwacht die Verwendung der IP-Adresse in diesen Konten, indem es die dienstgebundene IAM-Rolle in jedem Mitgliedskonto übernimmt, die Ressourcen und ihre CIDRs erkennt und sie in IPAM integriert. Die Ressourcen in allen Mitgliedskonten können von IPAM unabhängig von ihrer Organisationseinheit gefunden werden. Wenn es beispielsweise Mitgliedskonten gibt, die eine VPC erstellt haben, sehen Sie die VPC und ihr CIDR im Abschnitt Ressourcen der IPAM-Konsole.

**Wichtig**  
Die Rolle des AWS Organizations-Verwaltungskonto, das den IPAM-Administrator delegiert hat, ist jetzt abgeschlossen. Um IPAM weiterhin verwenden zu können, muss sich das IPAM-Administratorkonto bei Amazon VPC IPAM anmelden und ein IPAM erstellen. 

# Integrieren von IPAM mit Konten außerhalb Ihrer Organisation
<a name="enable-integ-ipam-outside-org"></a>

In diesem Abschnitt wird beschrieben, wie Sie Ihr IPAM mit AWS-Konten außerhalb Ihrer Organisation integrieren. Um die Schritte in diesem Abschnitt auszuführen, müssen Sie die Schritte in [Integration von IPAM mit Konten in AWS Organizations](enable-integ-ipam.md) bereits ausgeführt und ein IPAM-Konto delegiert haben.

Durch die Integration von IPAM mit AWS-Konten außerhalb Ihrer Organisation können Sie Folgendes tun:
+ Verwalten Sie IP-Adressen außerhalb Ihrer Organisation von einem einzigen IPAM-Konto aus.
+ Geben Sie IPAM-Pools mit Services von Drittanbietern, die von anderen AWS-Konten in andere AWS Organizations gehostet werden, frei.

Nachdem Sie IPAM mit AWS-Konten außerhalb Ihrer Organisation integriert haben, können Sie einen IPAM-Pool direkt für die gewünschten Konten anderer Organisationen freigeben.

**Topics**
+ [Überlegungen und Einschränkungen](enable-integ-ipam-outside-org-considerations.md)
+ [Prozessübersicht](enable-integ-ipam-outside-org-process.md)

# Überlegungen und Einschränkungen
<a name="enable-integ-ipam-outside-org-considerations"></a>

Dieser Abschnitt enthält Überlegungen und Einschränkungen für die Integration von IPAM mit Konten außerhalb Ihrer Organisation:
+ Wenn Sie eine Ressourcenerkennung für ein anderes Konto freigeben, werden nur die IP-Adresse und Daten zur Überwachung des Kontostatus ausgetauscht. Sie können diese Daten vor der Freigabe mit den CLI-Befehlen [get-ipam-discovered-resource-cidrs](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-discovered-resource-cidrs.html) und [get-ipam-discovered-accounts](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-discovered-accounts.html) oder den [GetIpamDiscoveredResourceCidrs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_GetIpamDiscoveredResourceCidrs.html)- und [GetIpamDiscoveredAccounts](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_GetIpamDiscoveredAccounts.html)-APIs anzeigen. Bei Ressourcenergebnissen, die Ressourcen in einer Organisation überwachen, werden keine Organisationsdaten (z. B. die Namen von Organisationseinheiten in Ihrer Organisation) freigegeben.
+ Wenn Sie eine Ressourcenerkennung erstellen, überwacht die Ressourcenerkennung alle sichtbaren Ressourcen im Besitzerkonto. Wenn es sich bei dem Besitzerkonto um ein AWS-Servicekonto eines Drittanbieters handelt, das Ressourcen für mehrere seiner eigenen Kunden erstellt, werden diese Ressourcen bei der Ressourcenerkennung erkannt. Wenn das AWS-Servicekonto des Drittanbieters die Ressourcenerkennung für ein AWS-Endbenutzerkonto freigibt, hat der Endbenutzer Einblick in die Ressourcen der anderen Kunden des AWS-Drittanbieterservices. Aus diesem Grund sollte der AWS-Drittanbieterservice beim Erstellen und Freigeben von Ressourcenergebnissen Vorsicht walten lassen oder für jeden Kunden ein eigenes AWS-Konto verwenden. 

# Prozessübersicht
<a name="enable-integ-ipam-outside-org-process"></a>

In diesem Abschnitt wird erklärt, wie Sie Ihr IPAM mit AWS-Konten außerhalb Ihrer Organisation integrieren. Es bezieht sich auf Themen, die in anderen Abschnitten dieses Handbuchs behandelt werden. Halten Sie diese Seite sichtbar und öffnen Sie die unten verlinkten Themen in einem neuen Fenster, damit Sie zur Anleitung auf diese Seite zurückkehren können.

Wenn Sie IPAM mit AWS-Konten außerhalb Ihrer Organisation integrieren, sind 4 AWS-Konten an dem Prozess beteiligt:
+ **Primärer Organisationsbesitzer** – Das AWS Organizations-Verwaltungskonto für Organisation 1.
+ **IPAM-Konto der primären Organisation** – Das delegierte IPAM-Administratorkonto für Organisation 1.
+ **Sekundärer Organisationsbesitzer** – Das AWS Organizations-Verwaltungskonto für Organisation 2.
+ **Administratorkonto der sekundären Organisation** – Das delegierte IPAM-Administratorkonto für Organisation 2.

**Schritte**

1. Der primäre Organisationsbesitzer delegiert ein Mitglied seiner Organisation als IPAM-Konto der primären Organisation (siehe [Integration von IPAM mit Konten in AWS Organizations](enable-integ-ipam.md)).

1. Das IPAM-Konto der primären Organisation erstellt ein IPAM (siehe [Erstellen eines IPAM](create-ipam.md)).

1. Der sekundäre Organisationsbesitzer delegiert ein Mitglied seiner Organisation als sekundäres Organisations-Administratorkonto (siehe [Integration von IPAM mit Konten in AWS Organizations](enable-integ-ipam.md)).

1. Das Administratorkonto der sekundären Organisation erstellt eine Ressourcenerkennung und gibt diese für das IPAM-Konto der primären Organisation unter Verwendung von AWS RAM (siehe [Erstellen einer Ressourcenerkennung, um sie in ein anderes IPAM zu integrierenErstellen einer Ressourcenerkennung](res-disc-work-with-create.md) und [Freigabe einer Ressourcenerkennung für ein anderes AWS-KontoFreigabe einer Ressourcenerkennung](res-disc-work-with-share.md)) frei. Die Ressourcenerkennung muss in derselben Heimatregion wie das IPAM der primären Organisation erstellt werden. 

1. Das IPAM-Konto der primären Organisation akzeptiert die Einladung zur Ressourcenfreigabe mithilfe von AWS RAM (siehe [Annehmen und Ablehnen von Einladungen zur Ressourcenfreigabe](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-invitations.html) im *AWS RAM-Benutzerhandbuch*).

1. Das IPAM-Konto der primären Organisation ordnet die Ressourcenerkennung ihrem IPAM zu (siehe [Zuordnung einer Ressourcenerkennung zu einem IPAM](res-disc-work-with-associate.md)).

1. Das IPAM-Konto der primären Organisation kann jetzt IPAM-Ressourcen überwachen und/oder verwalten, die von den Konten in der sekundären Organisation erstellt wurden.

1. (Optional) Das IPAM-Konto der primären Organisation gibt IPAM-Pools für Mitgliedskonten in der sekundären Organisation frei (siehe [Teilen Sie einen IPAM-Pool mit AWS RAM](share-pool-ipam.md)).

1. (Optional) Wenn das IPAM-Konto der primären Organisation die Erkennung von Ressourcen in der sekundären Organisation beenden möchte, kann es die Erkennung von Ressourcen vom IPAM-Konto trennen (siehe [Aufhebung der Zuordnung einer Ressourcenerkennung](res-disc-work-with-disassociate.md)).

1. (Optional) Wenn das Administratorkonto der sekundären Organisation nicht mehr am IPAM der primären Organisation teilnehmen möchte, kann es die gemeinsame Ressourcenerkennung rückgängig machen (siehe [Aktualisieren einer Ressourcenfreigabe in AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-update.html) im *AWS RAM-Benutzerhandbuch*) oder die Ressourcenerkennung löschen (siehe [Löschen einer Ressourcenerkennung](res-disc-work-with-delete.md)).

# Verwenden Sie IPAM mit einem einzigen Konto
<a name="enable-single-user-ipam"></a>

Wenn Sie sich dazu entscheiden, nicht zu [Integration von IPAM mit Konten in AWS Organizations](enable-integ-ipam.md), können Sie IPAM mit einem einzigen AWS-Konto verwenden.

Wenn Sie im nächsten Abschnitt ein IPAM erstellen, wird automatisch eine serviceverknüpfte Rolle für den VPC-IPAM-Service von Amazon in AWS Identity and Access Management (IAM) erstellt. 

Serviceverknüpfte Rollen sind eine Art von IAM-Rolle, die es AWS-Services ermöglicht, in Ihrem Namen auf andere AWS-Services zuzugreifen. Sie vereinfachen den Prozess der Berechtigungsverwaltung, indem sie automatisch die erforderlichen Berechtigungen für bestimmte AWS-Services erstellen und verwalten, damit diese die erforderlichen Aktionen durchführen können. Dadurch wird die Einrichtung und Verwaltung dieser Services optimiert.

IPAM verwendet die serviceverknüpfte Rolle, um Metriken für CIDRs, die mit EC2-Netzwerkressourcen verknüpft sind, zu überwachen und zu speichern. Weitere Informationen zur serviceverknüpften Rolle und deren Verwendung durch IPAM finden Sie unter [Serviceverknüpfte Rollen für IPAM](iam-ipam-slr.md).

**Wichtig**  
Wenn Sie IPAM mit einem einzigen AWS-Konto verwenden, müssen Sie sicherstellen, dass das AWS-Konto, mit dem Sie das IPAM erstellen, eine mit einer Richtlinie verknüpften IAM-Rolle verwendet, welche die `iam:CreateServiceLinkedRole`-Aktion zulässt. Wenn Sie das IPAM erstellen, erstellen Sie automatisch die serviceverknüpfte Rolle AWSServiceRoleForIPAM. Informationen zum Verwalten von IAM-Richtlinien finden Sie unter [Bearbeiten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) im *IAM-Benutzerhandbuch*. 

Sobald das einzelne AWS-Konto die Berechtigung hat, die mit dem IPAM-Service verknüpfte Rolle zu erstellen, gehen Sie zu [Erstellen eines IPAM](create-ipam.md).