本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 亚马逊 VPC IP 地址管理器 (IPAM) 和 AWS Organizations
<a name="services-that-can-integrate-ipam"></a>

Amazon VPC IP 地址管理器 (IPAM) 是一项 VPC 功能，可让您更轻松地规划、跟踪和监控工作负载的 IP 地址。 AWS 

使用 AWS Organizations 允许您监控整个组织的 IP 地址使用情况，并在成员账户之间共享 IP 地址池。



有关更多信息，请参阅*《Amazon VPC IPAM 用户指南》*中的[将 IPAM 与 AWS Organizations集成](https://docs.aws.amazon.com/vpc/latest/ipam/enable-integ-ipam.html)。

使用以下信息来帮助您将 Amazon VPC IP 地址管理器 (IPAM) 与集成。 AWS Organizations

## 启用集成时，创建了一个服务相关角色
<a name="integrate-enable-slr-ipam"></a>

当您通过 IPAM 控制台或者 IPAM 的 `EnableIpamOrganizationAdminAccount` API 将 IPAM 与 AWS Organizations 集成时，系统会在组织的管理账户和每个成员账户中自动创建以下服务相关角色。
+ `AWSServiceRoleForIPAM`

有关更多信息，请参阅*《Amazon VPC IPAM 用户指南》*中的 [IPAM 的服务相关角色](https://docs.aws.amazon.com//vpc/latest/ipam/iam-ipam-slr.html)。

## 服务相关角色使用的服务委托人
<a name="integrate-enable-svcprin-ipam"></a>

上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。IPAM 使用的服务相关角色将为以下服务主体授予访问权限：
+ `ipam.amazonaws.com`

## 启用 IPAM 可信访问权限
<a name="integrate-enable-ta-ipam"></a>

有关启用信任访问权限所需权限的信息，请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。

**注意**  
当您为 IPAM 指定委托管理员时，它会自动为您的组织启用 IPAM 可信访问权限。  
IPAM 需要获得可信访问权限， AWS Organizations 然后才能将成员账户指定为组织中该服务的委托管理员。

您只能使用 Amazon VPC IP 地址管理器（IPAM）工具启用可信访问权限。

如果您 AWS Organizations 使用 IPAM 控制台或 IPAM `EnableIpamOrganizationAdminAccount` API 将 IPAM 与集成，则会自动向 IPAM 授予可信访问权限。授予可信访问权限将会在组织的管理账户和所有成员账户中创建服务相关角色 ` AWS ServiceRoleForIPAM`。IPAM 使用服务相关角色监控组织中与 EC2 网络资源关联的 CIDR，并在亚马逊中存储与 IPAM 相关的指标。 CloudWatch有关更多信息，请参阅*《Amazon VPC IPAM 用户指南》*中的 [IPAM 的服务相关角色](https://docs.aws.amazon.com//vpc/latest/ipam/iam-ipam-slr.html)。

 有关启用可信访问权限的说明，请参阅*《Amazon VPC IPAM 用户指南》*中的[将 IPAM 与 AWS Organizations集成](https://docs.aws.amazon.com//vpc/latest/ipam/enable-integ-ipam.html)。

**注意**  
 您无法使用 AWS Organizations 控制台或 API 通过 IPAM 启用可信访问。[https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

## 禁用 IPAM 可信访问权限
<a name="integrate-disable-ta-ipam"></a>

有关禁用信任访问所需权限的信息，请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

只有 AWS Organizations 管理账户中的管理员才能使用 API 禁用 IPAM 的可信访问。 AWS Organizations `disable-aws-service-access`

 有关禁用 IPAM 账户权限和删除服务相关角色的信息，请参阅*《Amazon VPC IPAM 用户指南》*中的 [IPAM 的服务相关角色](https://docs.aws.amazon.com/vpc/latest/ipam/iam-ipam-slr.html)。

您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 禁用信任服务访问权限**  
使用以下 AWS CLI 命令或 API 操作禁用可信服务访问权限：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  运行以下命令，禁止将 Amazon VPC IP 地址管理器（IPAM）作为 Organizations 的可信服务。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal ipam.amazonaws.com
  ```

  如果成功，此命令不会产生任何输出。
+ AWS API：[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 为 IPAM 启用委托管理员账户
<a name="integrate-enable-da-ipam"></a>

IPAM 的委托管理员账户负责创建 IPAM 和 IP 地址池、管理和监控组织中的 IP 地址使用情况，以及跨成员账户共享 IP 地址池。有关更多信息，请参阅*《Amazon VPC IPAM 用户指南》*中的[将 IPAM 与 AWS Organizations集成](https://docs.aws.amazon.com//vpc/latest/ipam/enable-integ-ipam.html)。

只有组织管理账户中的管理员才能为 IPAM 配置委托管理员。

您可以通过 IPAM 控制台或使用 `enable-ipam-organization-admin-account` API 指定委托管理员账户。有关更多信息，请参阅《* AWS AWS CLI 命令enable-ipam-organization-admin参考*[》中的-](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ipam-organization-admin-account.html) account。

**最小权限**  
只有 Organizations 管理账户中的用户或角色能够将某个成员账户配置为组织的 IPAM 委托管理员。

要使用 IPAM 控制台配置委托管理员，请参阅*《Amazon VPC IPAM 用户指南》*中的[将 IPAM 与 AWS Organizations集成](https://docs.aws.amazon.com//vpc/latest/ipam/enable-integ-ipam.html)。

## 为 IPAM 禁用委托管理员
<a name="integrate-disable-da-ipam"></a>

只有组织管理账户中的管理员才能为 IPAM 配置委托管理员。

 要使用删除委派管理员 AWS AWS CLI，请参阅《*AWS AWS CLI 命令参考*》中的 [disable-ipam-organization-admin-](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-ipam-organization-admin-account.html) account。

 要使用 IPAM 控制台禁用 IPAM 委托管理员账户，请参阅*《Amazon VPC IPAM 用户指南》*中的[将 IPAM 与 AWS Organizations集成](https://docs.aws.amazon.com//vpc/latest/ipam/enable-integ-ipam.html)。