

# Configurar as opções de integração para o IPAM
<a name="choose-single-user-or-orgs-ipam"></a>

Esta seção descreve as opções de como você pode integrar o IPAM com o AWS Organizations, outras contas da AWS ou usá-lo com uma única conta da AWS.

Antes de começar a usar o IPAM, você deve escolher uma das opções nesta seção para permitir que o IPAM monitore CIDRs associados aos recursos de rede do EC2 e armazene métricas:
+ Para habilitar a integração do IPAM ao AWS Organizations a fim de habilitar o serviço IPAM do Amazon VPC a gerenciar e monitorar recursos de rede criados por todas as contas-membro do AWS Organizations, consulte [Integrar o IPAM a contas em uma organização da AWS Organizations](enable-integ-ipam.md).
+ Após fazer a integração com o AWS Organizations, para integrar o IPAM com contas fora da sua organização, consulte [Integrar o IPAM a contas fora de sua organização](enable-integ-ipam-outside-org.md).
+ Para usar uma única conta da AWS com o IPAM e habilitar o serviço IPAM da Amazon VPC para gerenciar e monitorar os recursos de rede que você cria com a conta única, consulte [Usar o IPAM com uma única conta](enable-single-user-ipam.md).

Se você não escolher uma dessas opções, ainda poderá criar recursos IPAM, como grupos, mas não verá métricas em seu painel e não poderá monitorar o status dos recursos.

**Topics**
+ [Integrar o IPAM a contas em uma organização da AWS Organizations](enable-integ-ipam.md)
+ [Integrar o IPAM a contas fora de sua organização](enable-integ-ipam-outside-org.md)
+ [Usar o IPAM com uma única conta](enable-single-user-ipam.md)

# Integrar o IPAM a contas em uma organização da AWS Organizations
<a name="enable-integ-ipam"></a>

Opcionalmente, você pode seguir os passos nesta seção para integrar o IPAM ao AWS Organizations e delegar uma conta de membro, como a conta do IPAM.

A conta do IPAM é responsável por criar um IPAM e usá-lo para gerenciar e monitorar o uso de endereços IP.

Integrar o IPAM ao AWS Organizations e delegar um administrador do IPAM apresentam os seguintes benefícios:
+ **Compartilhar seus grupos do IPAM com sua organização**: quando você delega uma conta do IPAM, o IPAM habilita outra contas de membros do AWS Organizations na organização para alocar CIDRs de grupos do IPAM que são compartilhados usando o AWS Resource Access Manager (RAM). Para obter mais informações sobre como configurar uma organização, consulte [O que são AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) no *Guia do usuário do AWS Organizations*.
+ **monitorar o uso de endereços IP em sua organização**: quando você delega uma conta do IPAM, você concede permissão ao IPAM para monitorar o uso de IPs em todas as suas contas. Como resultado, o IPAM importa automaticamente CIDRs que são usados por VPCs existentes em outras contas de membros do AWS Organizations.

Se você não delegar uma conta de membro do AWS Organizations como uma conta do IPAM, o IPAM monitorará os recursos somente na conta da AWS que você usa para criar o IPAM.

**nota**  
Ao integrar ao AWS Organizations:  
É necessário habilitar a integração com o AWS Organizations usando o IPAM no Console de Gerenciamento da AWS ou o comando da AWS CLI [enable-ipam-organization-admin-account](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ipam-organization-admin-account.html). Isso garante que a função vinculada ao serviço `AWSServiceRoleForIPAM` seja criada. Se você habilitar o acesso confiável com o AWS Organizations usando o Console do AWS Organizations ou o comando [register-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/register-delegated-administrator.html) da AWS CLI, a função vinculada a serviços `AWSServiceRoleForIPAM` não foi criada e você não pode gerenciar ou monitorar recursos dentro de sua organização.
**A conta do IPAM deve ser uma conta de membro do AWS Organizations.** Não é possível utilizar a conta de gerenciamento do AWS Organizations como a conta do IPAM. Para verificar se seu IPAM já está integrado ao AWS Organizations, use as etapas abaixo e visualize os detalhes da integração nas *configurações da organização*.
O IPAM cobra por cada endereço IP ativo que ele monitora nas contas de membros da sua organização. Para obter mais informações sobre a definição de preço, consulte [Preço do IPAM](https://aws.amazon.com/vpc/pricing/).
Você deve ter uma conta no AWS Organizations e uma conta de gerenciamento configuradas com uma ou mais contas de membro. Para obter mais informações sobre os tipos de conta, consulte [Terminologia e conceitos](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) no *Guia do usuário do AWS Organizations*. Para obter mais informações sobre a configuração de uma organização, consulte [Conceitos básicos do AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html).
A conta IPAM deve ter usar um perfil do IAM com uma política do IAM anexada a ele que permita a ação `iam:CreateServiceLinkedRole`. Ao criar o IPAM, você cria automaticamente a função vinculada ao serviço AWSServiceRoleForIPAM.
A conta de usuário associada à conta de gerenciamento do AWS Organizations deve usar um perfil do IAM que tenha as seguintes ações da política do IAM anexadas:  
`ec2:EnableIpamOrganizationAdminAccount`
`organizations:EnableAwsServiceAccess`
`organizations:RegisterDelegatedAdministrator`
`iam:CreateServiceLinkedRole`
Para obter mais informações sobre como criar perfis do IAM, consulte [Criar uma função para delegar permissões a um usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) no *Manual do usuário do IAM*.
A conta de usuário associada à conta de gerenciamento do AWS Organizations deve usar um perfil do IAM que tenha as seguintes ações da política do IAM anexadas para listar os administradores delegados do AWS Orgs: `organizations:ListDelegatedAdministrators`

------
#### [ AWS Management Console ]

**Para selecionar uma conta do IPAM**

1. Faça login na conta de gerenciamento do AWS Organizations e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/ipam/).

1. No Console de Gerenciamento da AWS, escolha a Região da AWS em que você deseja trabalhar com o IPAM.

1. No painel de navegação, selecione **Organization settings (Configurações da organização)**.

1. A opção **Delegar** apenas estará disponível se você estiver conectado ao console como a conta de gerenciamento do AWS Organizations. Selecione **Delegar**. 

1. Insira o ID da conta da AWS para uma conta do IPAM. O administrador do IPAM deve ser uma conta membro do AWS Organizations.

1. Escolha **Salvar alterações**.

------
#### [ Command line ]

Os comandos nessa seção são vinculados à *Referência de comando AWS CLI*. A documentação fornece descrições detalhadas das opções que você pode usar ao executar os comandos.
+ Para delegar uma conta de administrador do IPAM usando a AWS CLI, use o seguinte comando: [enable-ipam-organization-admin-account](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ipam-organization-admin-account.html)

------

Ao delegar uma conta de membro do Organizations como uma conta do IPAM, o IPAM cria automaticamente uma função do IAM vinculada ao serviço em todas as contas de membro em sua organização. O IPAM monitora o uso de endereços IP nessas contas assumindo a função do IAM vinculada ao serviço em cada conta de membro, descobrindo os recursos e respectivos CIDRs e integrando-os ao IPAM. Os recursos em todas as contas de membro poderão ser detectados pelo IPAM, independentemente de sua Unidade Organizacional. Se houver contas de membro que criaram uma VPC, por exemplo, você verá a VPC e o respectivo CIDR na seção “Resources” (Recursos) do console do IPAM.

**Importante**  
A função da conta de gerenciamento do AWS Organizations que delegou o administrador do IPAM está concluída agora. Para continuar usando o IPAM, a conta de administrador do IPAM deve fazer login no IPAM da Amazon VPC e criar um IPAM. 

# Integrar o IPAM a contas fora de sua organização
<a name="enable-integ-ipam-outside-org"></a>

Esta seção descreve como integrar o IPAM com contas da AWS fora de sua organização. Para executar as etapas desta seção, você já deve ter concluído as etapas em [Integrar o IPAM a contas em uma organização da AWS Organizations](enable-integ-ipam.md) e delegado uma conta do IPAM.

A integração do IPAM com contas da AWS fora da sua organização permite que você faça o seguinte:
+ Gerencie endereços IP fora da sua organização a partir de uma única conta do IPAM.
+ Compartilhe grupos do IPAM com serviços de terceiros hospedados por outras contas da AWS em outros AWS Organizations.

Após integrar o IPAM com contas da AWS fora da sua organização, você pode compartilhar um grupo de IPAM diretamente com as contas desejadas de outras organizações.

**Topics**
+ [Considerações e limitações](enable-integ-ipam-outside-org-considerations.md)
+ [Visão geral do processo](enable-integ-ipam-outside-org-process.md)

# Considerações e limitações
<a name="enable-integ-ipam-outside-org-considerations"></a>

Esta seção apresenta considerações e limitações para integrar o IPAM com contas fora da sua organização:
+ Quando você compartilha uma descoberta de recursos com outra conta, os únicos dados trocados são os dados de monitoramento do endereço IP e do status da conta. Você pode visualizar esses dados antes de compartilhá-los usando os comandos da CLI [get-ipam-discovered-resource-cidrs](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-discovered-resource-cidrs.html) e [get-ipam-discovered-accounts](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-discovered-accounts.html) ou as [APIs GetIpamDiscoveredResourceCidrs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_GetIpamDiscoveredResourceCidrs.html) e [GetIpamDiscoveredAccounts](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_GetIpamDiscoveredAccounts.html). Nenhum dado da organização (como os nomes das unidades organizacionais em sua organização) é compartilhado para descobertas de recursos que monitoram recursos em uma organização.
+ Quando você cria uma descoberta de recursos, a descoberta de recursos monitora todos os recursos visíveis na conta do proprietário. Se a conta do proprietário for uma conta da AWS de serviço de terceiros que cria recursos para vários de seus próprios clientes, esses recursos serão descobertos pela descoberta do recurso. Se a conta da AWS de serviço de terceiros compartilhar a descoberta de recursos com uma conta da AWS de usuário final, o usuário final terá visibilidade dos recursos dos outros clientes do serviço terceirizado da AWS. Por esse motivo, o serviço terceirizado da AWS deve ter cuidado ao criar e compartilhar descobertas de recursos ou usar uma conta da AWS distinta para cada cliente. 

# Visão geral do processo
<a name="enable-integ-ipam-outside-org-process"></a>

Esta seção explica como integrar o IPAM com contas da AWS fora de sua organização. Ela se refere aos tópicos abordados em outras seções deste guia. Mantenha esta página visível e abra os tópicos vinculados abaixo em uma nova janela para que você possa retornar a esta página a fim de obter orientação.

Quando você integra o IPAM com contas da AWS fora da sua organização, há 4 contas da AWS envolvidas no processo:
+ **Proprietário da organização primária**: a conta de gerenciamento do AWS Organizations da organização 1.
+ **Conta do IPAM da organização primária**: a conta de administrador delegado do IPAM para a organização 1.
+ **Proprietário da organização secundária**: a conta de gerenciamento do AWS Organizations da organização 2.
+ **Conta de administrador da organização secundária**: a conta de administrador delegado do IPAM para a organização 2.

**Etapas**

1. O proprietário da organização primária delega um membro de sua organização como a conta do IPAM da organização primária (consulte [Integrar o IPAM a contas em uma organização da AWS Organizations](enable-integ-ipam.md)).

1. A conta do IPAM da organização primária cria um IPAM (consulte [Criar um IPAM](create-ipam.md)).

1. O proprietário da organização secundária delega um membro de sua organização como a conta de administrador da organização secundária (consulte [Integrar o IPAM a contas em uma organização da AWS Organizations](enable-integ-ipam.md)).

1. A conta de administrador da organização secundária cria uma descoberta de recursos e a compartilha com a conta do IPAM da organização primária usando o AWS RAM (consulte [Criar uma descoberta de recursos para integração com outro IPAMCriar uma descoberta de recursos](res-disc-work-with-create.md) e [Compartilhar uma descoberta de recursos com outra conta da AWSCompartilhar uma descoberta de recursos](res-disc-work-with-share.md)). A descoberta de recursos deve ser criada na mesma região de origem da organização primária do IPAM. 

1. A conta do IPAM da organização primária aceita o convite de compartilhamento de recursos usandoAWS RAM (consulte [Aceitação e rejeição de convites para compartilhamento de recursos](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-invitations.html) no *Guia do usuário do AWS RAM*).

1. A conta do IPAM da organização primária associa a descoberta de recursos ao IPAM (consulte [Associar uma descoberta de recursos a um IPAM](res-disc-work-with-associate.md)).

1. Agora, a conta do IPAM da organização primária pode monitorar e/ou gerenciar os recursos do IPAM criados pelas contas na organização secundária.

1. (Opcional) A conta do IPAM da organização primária compartilha grupos do IPAM com contas de membros na organização secundária (consulte [Compartilhar um grupo do IPAM usando o AWS RAM](share-pool-ipam.md)).

1. (Opcional) Se a conta do IPAM da organização primária quiser parar de descobrir recursos na organização secundária, ela poderá desassociar a descoberta de recursos do IPAM (consulte [Desassociar uma descoberta de recursos](res-disc-work-with-disassociate.md)).

1. (Opcional) Se a conta de administrador da organização secundária quiser parar de participar do IPAM da organização primária, poderá cancelar o compartilhamento da descoberta de recursos compartilhados (consulte [Atualizar um compartilhamento de recurso no AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-update.html) no *Guia do usuário do AWS RAM*) ou excluir a descoberta de recursos (consulte [Excluir uma descoberta de recursos](res-disc-work-with-delete.md)).

# Usar o IPAM com uma única conta
<a name="enable-single-user-ipam"></a>

Se escolher não [Integrar o IPAM a contas em uma organização da AWS Organizations](enable-integ-ipam.md), você poderá usar o IPAM com uma única conta da AWS.

Quando você cria um IPAM na seção seguinte, um perfil vinculado ao serviço é criado automaticamente para o serviço do IPAM da Amazon VPC no AWS Identity and Access Management (IAM). 

Os perfis vinculados ao serviço são um tipo de perfil do IAM que permite que serviços da AWS acessem outros serviços da AWS em seu nome. Eles simplificam o processo de gerenciamento de permissões criando e gerenciando automaticamente as permissões necessárias para que os serviços específicos da AWS executem as ações necessárias, simplificando a configuração e a administração desses serviços.

O IPAM usa a função vinculada ao serviço para monitorar e armazenar os CIDRs associados aos recursos de rede do EC2. Para obter mais informações sobre a função vinculada ao serviço e como o IPAM a utiliza, consulte [Funções vinculadas ao serviço do IPAM](iam-ipam-slr.md).

**Importante**  
Se usar o IPAM com uma única conta da AWS, você deve garantir que a conta da AWS que você usa para criar o IPAM usa um perfil do IAM com uma política do IAM anexada a ele que permita a ação `iam:CreateServiceLinkedRole`. Ao criar o IPAM, você cria automaticamente a função vinculada ao serviço AWSServiceRoleForIPAM. Para obter mais informações sobre como gerenciar uma política do IAM, consulte [Edição de políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) no *Guia do usuário do IAM*. 

Assim que a única conta da AWS tiver permissão para criar a função vinculada ao serviço do IPAM, acesse [Criar um IPAM](create-ipam.md).