# 管理 IPAM 中的 IP 地址空间 此部分中的任务是可选的。请注意,本部分为一组程序,都与使用 IPAM 相关。按字母顺序排列这些过程。 如果您想完成此部分中的任务,并且已委派了 IPAM 账户,则应该由 IPAM 管理员完成这些任务。 按照本部分中的步骤管理 IPAM 中的 IP 地址空间。 **Topics** + [使用 IPAM 自动更新前缀列表](automate-prefix-list-updates.md) + [更改 VPC CIDR 的监控状态](change-monitoring-state-ipam.md) + [创建额外范围](add-scope-ipam.md) + [删除 IPAM](delete-ipam.md) + [删除池](delete-pool-ipam.md) + [删除范围](delete-scope-ipam.md) + [从池中取消预置 CIDR](depro-pool-cidr-ipam.md) + [编辑 IPAM 池](mod-pool-ipam.md) + [启用成本分配](ipam-enable-cost-distro.md) + [将 VPC IPAM 与 Infoblox 基础设施集成](integrate-infoblox-ipam.md) + [启用预置私有 IPv6 GUA CIDR](enable-prov-ipv6-gua.md) + [强制使用 IPAM 通过 SCP 进行 VPC 创建](scp-ipam.md) + [从 IPAM 中排除组织单位](exclude-ous.md) + [修改 IPAM 等级](mod-ipam-tier.md) + [修改 IPAM 运营区域](mod-ipam-region.md) + [将 CIDR 预置到池](prov-cidr-ipam.md) + [在范围之间移动 VPC CIDR](move-resource-ipam.md) + [使用 IPAM 策略定义公有 IPv4 分配策略](define-public-ipv4-allocation-strategy-with-ipam-policies.md) + [释放分配](release-alloc-ipam.md) + [使用 AWS RAM 共享 IPAM 池](share-pool-ipam.md) + [使用资源发现](res-disc-work-with.md) # 使用 IPAM 自动更新前缀列表 [托管前缀列表](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html)是一组 CIDR 块,您可以在安全组规则和路由表中引用这些块,而无需指定单个 IP 地址。例如,可以创建一个包含所有三个 CIDR 的前缀列表,并在单个规则中引用它,而不必为 `10.1.0.0/16`、`10.2.0.0/16` 和 `10.3.0.0/16` 创建单独的安全组规则。 这些变量分为两种类型: + **客户管理的前缀列表**:您定义和管理的 IP 范围 + **AWS 管理的前缀列表**:AWS 服务的 IP 范围(例如 S3 或 CloudFront) IPAM 功能通过使您的 CIDR 条目与网络更改保持同步,自动管理**客户管理的前缀列表**。 ## 它解决的问题 如果没有自动化,网络团队在基础设施发生变化时需要花费大量时间手动更新前缀列表,并在不同环境和区域之间维护一致的前缀列表。 IPAM 通过允许您创建自动填充前缀列表的规则来解决此问题。您可以使用两种方法:引用 IPAM 池中的 CIDR,或者基于实际的 AWS 资源创建规则,例如“包含所有标记为 env=prod 的 VPC”、“包含 us-east-1 中的所有子网”或“包含账户 123456789 拥有的所有弹性 IP 地址”。当您添加或删除这些资源时,IPAM 会自动使用其 CIDR 更新前缀列表。 ## 工作原理 您可以创建规则,告诉 IPAM 要将哪些 IP 地址包含在前缀列表中。例如,“包含所有标记为 env=prod 的 VPC CIDR”。当您添加或删除生产 VPC 时,IPAM 会自动更新前缀列表。 ## 何时使用 + **安全组**:创建一条规则“包含所有标记为 env=prod 的 VPC”,这样,当您添加新的生产 VPC 时,它们会自动被允许出现在您的安全组规则中 + **多区域**:在多个区域部署相同的 IPAM 规则,无需手动复制 CIDR 条目即可保持前缀列表一致。 + **动态基础设施**:创建/删除 VPC 或子网时,它们的 CIDR 会自动添加到前缀列表/从前缀列表中删除,无需手动更新。 ## 先决条件 在开始之前,请确保您满足以下条件: + 启用了[高级](https://docs.aws.amazon.com/vpc/latest/ipam/mod-ipam-tier.html)层的 [IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/create-ipam.html) + [客户管理的前缀列表](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html#create-prefix-list)(或在设置过程中创建一个) + IPAM 和 EC2 前缀列表操作的 [IAM 权限](https://docs.aws.amazon.com/vpc/latest/ipam/iam-ipam.html) ## 设置步骤 ### 步骤 1:创建 IPAM 前缀列表解析器 通过创建 IPAM 前缀列表解析器来定义要在前缀列表中包含哪些 CIDR。 ------ #### [ AWS Management Console ] **创建 IPAM 前缀列表解析器** 1. 打开 [IAM 控制台](https://console.aws.amazon.com/ipam/)。 1. 在导航窗格中,选择**前缀列表解析器**。 1. 选择**创建前缀列表解析器**。 1. 在**步骤 1:配置解析器详细信息**中,选择以下项: + **IPAM**:IPAM 实例 + **地址系列**:IPv4 或 IPv6 + **名称标签 - 可选**:描述性名称 + **描述 - 可选**:描述 + **标签**:资源标签 1. 选择**下一步**。 1. 在**步骤 2:配置规则**中,选择**添加规则**。您最多可以添加 99 个规则。 **重要** 您可以创建一个不含任何 CIDR 选择规则的前缀列表解析器,但它会生成空版本(不包含任何 CIDR),直到您添加规则为止。 1. 选择以下规则类型之一: + **静态 CIDR**:固定不变的 CIDR 列表(例如,跨区域复制的手动列表) + **IPAM 池 CIDR**:来自特定 IPAM 池的 CIDR(例如,来自 IPAM 生产池的所有 CIDR) 如果选择此选项,请选择以下项: + **IPAM 范围**:选择 IPAM 范围以搜索资源 + **条件:** + **属性** + **IPAM 池 ID**:选择包含资源的 IPAM 池 + **CIDR**(如 10.24.34.0/23) + **运算**:等于/不等于 + **值**:要匹配条件的值 + **范围资源 CIDR**:来自 IPAM 范围内的 VPC、子网、EIP 等 AWS 资源的 CIDR 如果选择此选项,请选择以下项: + **IPAM 范围**:选择 IPAM 范围以搜索资源 + **资源类型**:选择资源(例如 VPC 或子网)。 + **条件**: + **属性**: + 资源 ID:资源的唯一 ID(例如 vpc-1234567890abcdef0) + 资源所有者(例如 111122223333) + 资源区域(例如 us-east-1) + 资源标签(例如:键:name,值:dev-vpc-1) + CIDR(如 10.24.34.0/23) + **运算**:等于/不等于 + **值**:要匹配条件的值 1. 选择**下一步**。 1. 选择**验证并创建**。 ------ #### [ Command line ] 本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。 使用下面的 AWS CLI 命令创建 IPAM 前缀列表解析器: + 使用 [create-ipam-prefix-list-resolver](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-ipam-prefix-list-resolver.html) 命令并保存步骤 2 返回的解析器 ID。 ------ ### 步骤 2:创建用于连接到前缀列表的解析器目标 通过创建解析器目标,将解析器链接到现有前缀列表。使用步骤 1 中返回的解析器 ID。 ------ #### [ AWS Management Console ] **创建 IPAM 前缀列表解析器目标** 1. 在 IPAM 控制台中,选择**前缀列表解析器**。 1. 选择在步骤 1 中创建的解析器。 1. 在解析器详细信息页面上,选择**目标**选项卡。 1. 选择**创建目标**。 1. 配置目标: + **区域**:选择存在现有托管前缀列表或要创建托管前缀列表的区域。 + **前缀列表**:选择现有托管前缀列表或创建新的托管前缀列表 1. 在**所需版本**下,选择以下选项之一: + **始终跟踪最新版本**:如果希望前缀列表在基础设施变更时保持最新状态,而无需人工干预,请选择此选项进行自动更新。 + **跟踪特定版本**:如果需要可预测、可控的更新,并且希望手动批准对前缀列表的更改,请选择此选项以获得稳定性。 1. 选择**创建目标**。 ------ #### [ Command line ] 本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。 使用下面的 AWS CLI 命令创建 IPAM 前缀列表解析器目标: + 使用步骤 1 中的解析器 ID 和现有的前缀列表 ID,执行 [create-ipam-prefix-list-resolver-target](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-ipam-prefix-list-resolver-target.html) 命令。 ------ IPAM 现在会根据规则自动更新前缀列表。前缀列表将填充符合您条件的 CIDR。 ### 步骤 3:监控版本和同步 创建前缀列表解析器和目标后,前缀列表解析器会根据规则生成 CIDR 版本,然后目标会将这些 CIDR 从解析器同步到特定托管前缀列表。每个版本都是在特定时刻与规则匹配的 CIDR 的快照。每次由于基础设施变更导致 CI​​DR 列表发生变化时,版本号都会递增。 **版本示例:** **初始状态(版本 1)** 生产环境: + vpc-prod-web (10.1.0.0/16) - 标记为 env=prod + vpc-prod-db (10.2.0.0/16) - 标记为 env=prod 解析器规则:包含所有标记为 env=prod 的 VPC **版本 1 CIDR:**10.1.0.0/16、10.2.0.0/16 **基础架构变更(版本 2)** 添加了新的 VPC: + vpc-prod-api (10.3.0.0/16) - 标记为 env=prod IPAM 会自动检测更改并创建新版本。 **版本 2 CIDR:**10.1.0.0/16、10.2.0.0/16、10.3.0.0/16 本节介绍如何使用 AWS 控制台或 AWS CLI 监控版本创建以及如何使用 AWS CLI 监控同步成功情况。 此外,建议您针对故障指标设置 CloudWatch 警报,因为您可能需要重新评估和调整 CIDR 选择规则,以保持在版本和前缀列表大小的限制范围内。有关与 IPAM 前缀列表相关的 CloudWatch 指标的列表,请参阅 [IPAM 前缀列表解析器指标](cloudwatch-ipam-ip-address-usage.md#cloudwatch-ipam-prefix-list-resolver-metrics)。 ------ #### [ AWS Management Console ] **查看创建的版本并监控目标同步** 1. 在 IPAM 控制台中,选择**前缀列表解析器**。 1. 选择在步骤 1 中创建的解析器。 1. 在解析器详细信息页面上,选择**版本**选项卡。在这里,您将看到解析器创建的任何版本以及版本中的所有 CIDR。 1. 在解析器详细信息页面上,选择**监控**选项卡。在此视图中,[IPAM 前缀列表解析器指标](cloudwatch-ipam-ip-address-usage.md#cloudwatch-ipam-prefix-list-resolver-metrics)以图表形式呈现: + 前缀列表解析器版本创建成功 + 前缀列表解析器版本创建失败 1. 在**监控**选项卡中,还可以通过选择**为前缀列表解析器版本创建创建警报**来配置 CloudWatch 警报。您将定向到 CloudWatch 控制台,其中已为指标部分配置了警报。有关如何完成告警创建的更多信息,请参阅《Amazon CloudWatch 用户指南》**中的[根据静态阈值创建 CloudWatch 告警](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)。 ------ #### [ Command line ] 本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。 使用下面的 AWS CLI 命令监控版本和同步: 1. 使用 [get-ipam-prefix-list-resolver-version-entries](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-prefix-list-resolver-version-entries.html) 命令查看解析器创建的最新版本。 1. 使用 [describe-ipam-prefix-list-resolver-targets](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-prefix-list-resolver-targets.html) 命令监控解析器目标同步状态。 监视器命令显示: + state - 当前同步状态(create-complete、modify-complete 等) + lastSyncedVersion - 上次成功同步的版本 + desiredVersion - 要同步到的目标版本 + stateMessage - 同步失败时的错误详细信息 ------ **重要** 为了支持回滚工作流,IPAM 将为其每个目标保留前 10 个前缀列表解析器版本的副本;此外,如果超过此阈值的版本再有 7 天未被引用,IPAM 将删除这些版本。 ### 步骤 4:(可选)启用和禁用 IPAM 前缀列表同步 如果已将托管前缀列表配置为 IPAM 前缀列表目标,并且您想要更改前缀列表而无需访问 IPAM 前缀列表解析器目标的权限,则可以[修改托管前缀列表](https://docs.aws.amazon.com/vpc/latest/userguide/work-with-cust-managed-prefix-lists.html#modify-managed-prefix-list)并禁用与 IPAM 前缀列表解析器的同步。禁用后,前缀列表 CIDR 不会自动更新,您可以对其进行更改。启用后,前缀列表 CIDR 将根据关联的解析器的 CIDR 选择规则自动更新。 # 更改 VPC CIDR 的监控状态 请按照本部分中的步骤更改 VPC CIDR 的监控状态。如果您不希望 IPAM 管理或监控 VPC 并允许分配给该 VPC 的 CIDR 可供使用,则可能需要将 VPC CIDR 从已监控更改为已忽略。如果您希望 IPAM 管理或监控 VPC CIDR,则可能需要将 VPC CIDR 从已忽略更改为已监控。 **注意** 不能忽略公有范围内的 VPC CIDR。 如果忽略 CIDR,您仍然需要为 CIDR 中的活动 IP 地址付费。有关更多信息,请参阅 [IPAM 定价](pricing-ipam.md)。 如果忽略 CIDR,您仍然可以查看 CIDR 中的 IP 地址历史记录。有关更多信息,请参阅 [查看 IP 地址历史记录](view-history-cidr-ipam.md)。 您可以将 VPC CIDR 的监控状态更改为已监控或已忽略: + **已监控**:IPAM 已检测到 VPC CIDR,正在监控该 VPC CIDR 是否与其他 CIDR 和分配规则合规性重叠。 + **已忽略**:已选择该 VPC CIDR 免于监控。不会评估忽略的 VPC CIDR 是否与其他 CIDR 或分配规则合规性重叠。选择忽略 VPC CIDR 后,从 IPAM 池中分配给它的任何空间都将返回到池中,并且不会通过自动导入再次导入该 VPC CIDR(如果在池中设置了自动导入分配规则)。 ------ #### [ AWS Management Console ] **更改分配给 VPC 的 CIDR 的监控状态** 1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。 1. 在导航窗格中,选择 **Resources**(资源)。 1. 从内容窗格顶部的下拉菜单中,选择要使用的私有范围。 1. 在内容窗格中,选择 VPC 并查看 VPC 的详细信息。 1. 在 **VPC CIDR** 下,选择分配给 VPC 的 CIDR 之一,然后选择**操作** > **标记为已忽略**或**取消标记为已忽略**。 1. 选择 **Mark as ignored**(标记为已忽略)或 **Unmark as ignored**(取消标记为已忽略)。 ------ #### [ Command line ] 请使用以下 AWS CLI 命令更改 VPC CIDR 的监控状态: 1. 获取范围 ID:[describe-ipam-scopes](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-pools.html) 1. 查看 VPC CIDR 的当前监控状态:[get-ipam-resource-cidrs](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-resource-cidrs.html) 1. 更改 VPC CIDR 的状态:[modify-ipam-resource-cidr](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-ipam-resource-cidr.html) 1. 查看 VPC CIDR 的新监控状态:[get-ipam-resource-cidrs](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-resource-cidrs.html) ------ # 创建额外范围 按照本部分中的步骤创建额外范围。 范围是 IPAM 中最高级别的容器。创建 IPAM 时,IPAM 会为您创建两个默认范围。每个范围代表单个网络的 IP 空间。私有范围适用于所有私有空间。公开范围适用于所有公有空间。范围使您能够跨多个未连接的网络重复使用 IP 地址,而不会导致 IP 地址重叠或冲突。 创建 IPAM 时,将为您创建默认范围(一个私有范围和一个公有范围)。您可以创建额外的私有范围。您不能创建额外的公有范围。 如果需要对多个断开连接的私有网络的支持,可以创建额外的专有范围。其他私有范围允许您创建池和管理使用相同 IP 空间的资源。 **重要** 如果 IPAM 发现了带有私有 IPv4 或私有 IPv6 CIDR 的资源,则资源 CIDR 将会导入到默认私有范围中,并且不会出现在您创建的任何其他私有范围中。您可以将 CIDR 从默认私有范围移动到另一个私有范围。有关信息,请参阅[在范围之间移动 VPC CIDR](move-resource-ipam.md)。 ------ #### [ AWS Management Console ] **要创建额外私有范围** 1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。 1. 在导航窗格中,选择 **Scopes**(范围)。 1. 选择 **Create scope**(创建范围)。 1. 选择要向其添加范围的 IPAM。 1. 添加范围的描述。 1. 选择 **Create scope**(创建范围)。 1. 您可以通过在导航窗格中选择 **Scopes**(范围)来查看 IPAM 中的范围。 ------ #### [ Command line ] 本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。 请使用以下 AWS CLI 命令创建额外的私有范围: 1. 查看您的当前范围:[describe-ipam-scopes](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-scopes.html) 1. 创建一个新的私有范围:[create-ipam-scope](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-ipam-scope.html) 1. 查看您的当前范围以查看新范围:[describe-ipam-scopes](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-scopes.html) ------ # 删除 IPAM 如果不再需要 IPAM、需要重组 IP 地址管理或者想要用新的 IPAM 配置重新开始,则可能需要将其删除。删除 IPAM 可以帮助简化 IP 地址管理,并且与不断变化的业务或运营要求保持一致。 按照本部分中的步骤删除 IPAM。有关增加可以拥有的 IPAM 的默认数量而不是删除现有 IPAM 的信息,请参阅 [IPAM 的配额](quotas-ipam.md)。 **注意** 删除 IPAM 将删除与 IPAM 关联的所有受监控数据,包括 CIDR 的历史数据。 ------ #### [ AWS Management Console ] **要删除 IPAM** 1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。 1. 在导航窗格中,选择 **IPAM**。 1. 在内容窗格中,选择 IPAM。 1. 选择 **Actions**(操作)> **Delete IPAM**(删除 IPAM)。 1. 请执行以下操作之一: + 选择 **Cascade delete**(级联删除)以删除 IPAM、私有作用域、私有作用域中的池,以及私有作用域中池中的所有分配。如果公有作用域中存在池,则无法使用此选项删除 IPAM。如果使用此选项,IPAM 将执行以下操作: + 取消分配在私有作用域池中分配给 VPC 资源(如 VPC)的所有 CIDR。 **注意** 启用此选项不会删除任何 VPC 资源。与资源关联的 CIDR 将不再从 IPAM 池中分配,但 CIDR 本身将保持不变。 + 取消预置在私有作用域中预置给 IPAM 池的所有 IPv4 CIDR。 + 删除私有作用域中的所有 IPAM 池。 + 删除 IPAM 中的所有非原定设置私有作用域。 + 删除原定设置的公有和私有作用域以及 IPAM。 + 如果未选择 **Cascade delete**(级联删除)复选框,则在删除 IPAM 之前,必须执行以下操作: + 释放 IPAM 池内的分配。有关更多信息,请参阅 [释放分配](release-alloc-ipam.md)。 + 取消预置为 IPAM 中的池预置的 CIDR。有关更多信息,请参阅 [从池中取消预置 CIDR](depro-pool-cidr-ipam.md)。 + 删除任何其他非默认范围。有关更多信息,请参阅 [删除范围](delete-scope-ipam.md)。 + 删除 IPAM 池。有关更多信息,请参阅 [删除池](delete-pool-ipam.md)。 1. 输入 **delete**,然后选择 **Delete**(删除)。 ------ #### [ Command line ] 本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。 使用以下 AWS CLI 命令删除 IPAM: 1. 查看当前的 IPAM:[describe-ipams](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipams.html) 1. 删除 IPAM:[delete-ipam](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-ipam.html) 1. 查看已更新的 IPAM:[describe-ipams](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipams.html) ------ 要创建新的 IPAM,请参阅 [创建 IPAM](create-ipam.md)。 # 删除池 AWS 中的 IPAM 池表示可在特定 AWS 环境或组织中分配和管理的 IP 地址的定义范围。池用于整理 IP 地址空间,实现自动化 IP 地址管理,并在您的云基础架构中执行 IP 地址治理策略。 您可能需要删除 IPAM 池,以移除未使用或不必要的 IP 地址空间,然后将其回收用于其他用途。如果 IP 地址池中有分配,则无法删除该地址池。您必须先释放分配和 [从池中取消预置 CIDR](depro-pool-cidr-ipam.md),然后才能删除池。 按照本部分中的步骤删除 IPAM 池。 ------ #### [ AWS Management Console ] **删除池** 1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。 1. 在导航窗格中,选择 **Pools**(池)。 1. 从内容窗格顶部的下拉菜单中,选择要使用的范围。有关范围的更多信息,请参阅 [IPAM 的工作原理](how-it-works-ipam.md)。 1. 在内容窗格中,选择要删除其 CIDR 的池。 1. 选择 **Actions**(操作)> **Delete pool**(删除池)。 1. 输入 **delete**,然后选择 **Delete**(删除)。 ------ #### [ Command line ] 本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。 使用以下 AWS CLI 命令删除池: 1. 查看池并获取 IPAM 池 ID:[describe-ipam-pools](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-pools.html) 1. 删除池:[delete-ipam-pool](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-ipam-pool.html) 1. 查看您的池:[describe-ipam-pools](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-pools.html) ------ 要创建新的池,请参阅 [创建顶级 IPv4 池](create-top-ipam.md)。 # 删除范围 如果 IPAM 范围不再用于其预期用途,例如在您重组网络、整合区域或调整 IP 地址分配时,您可能需要将其删除。删除未使用的范围有助于简化 IPAM 配置并优化 AWS 中的 IP 地址管理。 **注意** 如果满足以下任一条件,您将无法删除范围: 范围是默认范围。创建 IPAM 时,会自动创建两个默认范围(一个公有范围,一个私有),且不能删除。要查看范围是否为默认范围,请查看范围详细信息中的**范围类型**。 范围中有一个或多个池。您必须先[删除池](delete-pool-ipam.md),然后才能删除范围。 ------ #### [ AWS Management Console ] **要删除范围** 1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。 1. 在导航窗格中,选择 **Scopes**(范围)。 1. 在内容窗格中,选择要删除的范围。 1. 选择 **Actions**(操作)> **Delete scope**(删除范围)。 1. 输入 **delete**,然后选择 **Delete**(删除)。 ------ #### [ Command line ] 本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。 使用以下 AWS CLI 命令删除范围: 1. 查看范围:[describe-ipam-scopes](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-scopes.html) 1. 删除范围:[delete-ipam-scope](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-ipam-scope.html) 1. 查看更新范围:[describe-ipam-scopes](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-scopes.html) ------ 要创建新范围,请参阅 [创建额外范围](add-scope-ipam.md)。要删除 IPAM,请参阅 [删除 IPAM](delete-ipam.md)。 # 从池中取消预置 CIDR 您可能想要取消预置池 CIDR,以释放 IP 地址空间、简化 IP 地址管理、为网络变更做好准备或满足合规性要求。取消预置池 CIDR 可以更好地控制和优化 IPAM 中的 IP 地址分配,同时确保回收未使用的 IP 空间并使其可供将来使用。如果池中有分配,则无法取消预置 CIDR。要删除分配,请参阅 [释放分配](release-alloc-ipam.md)。 按照本部分中的步骤从 IPAM 池中取消预置 CIDR。取消预置所有池 CIDR 时,该池不能再用于分配。在使用该池进行分配之前,必须先向池预置一个新的 CIDR。 ------ #### [ AWS Management Console ] **要取消预置池 CIDR** 1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。 1. 在导航窗格中,选择 **Pools**(池)。 1. 从内容窗格顶部的下拉菜单中,选择要使用的范围。有关范围的更多信息,请参阅 [IPAM 的工作原理](how-it-works-ipam.md)。 1. 在内容窗格中,选择要取消预置其 CIDR 的池。 1. 选择 **CIDRs** 选项卡。 1. 选择一个或多个 CIDR 并选择 **Deprovision CIDRs**(取消预置 CIDR)。 1. 选择 **Deprovision CIDR**(取消预置 CIDR)。 ------ #### [ Command line ] 本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。 使用以下 AWS CLI 命令取消预置池 CIDR: 1. 获取 IPAM 池 ID:[describe-ipam-pools](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-pools.html) 1. 查看池的当前 CIDR:[get-ipam-pool-cidrs](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-pool-cidrs.html) 1. 取消预置 CIDR:[deprovision-ipam-pool-cidr](https://docs.aws.amazon.com/cli/latest/reference/ec2/deprovision-ipam-pool-cidr.html) 1. 查看已更新的 CIDR:[get-ipam-pool-cidrs](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-pool-cidrs.html) ------ 要为池预置新的 CIDR,请参阅 [从池中取消预置 CIDR](#depro-pool-cidr-ipam)。如果要删除池,请参阅 [删除池](delete-pool-ipam.md)。 # 编辑 IPAM 池 您可能需要编辑池以执行以下操作之一: + 更改池的分配规则。有关分配规则的更多信息,请参阅 [创建顶级 IPv4 池](create-top-ipam.md)。 + 修改池的名称、描述或其他元数据,以改进 IPAM 中的组织和可见性。 + 更改池选项,例如自动导入已发现的资源,从而优化 IPAM 的自动 IP 地址管理。 按照本部分中的步骤编辑 IPAM 池。 ------ #### [ AWS Management Console ] **要编辑池** 1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。 1. 在导航窗格中,选择 **Pools**(池)。 1. 默认情况下,默认的私有范围被选中。如果您不想使用默认的私有范围,请从内容窗格顶部的下拉菜单中选择要使用的范围。有关范围的更多信息,请参阅 [IPAM 的工作原理](how-it-works-ipam.md) 1. 在内容窗格中,选择要编辑其 CIDR 的池。 1. 选择 **Actions**(操作)> **Edit**(编辑)。 1. 对池进行您需要的任何更改。有关池配置选项的信息,请参阅 [创建顶级 IPv4 池](create-top-ipam.md)。 1. 选择**更新**。 ------ #### [ Command line ] 使用以下 AWS CLI 命令编辑池: 1. 获取 IPAM 池 ID:[describe-ipam-pools](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-pools.html) 1. 修改池:[modify-ipam-pool](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-ipam-pool.html) ------ # 启用成本分配 启用成本分配后,可以将[活动 IP 地址的费用](pricing-ipam.md)分配给使用 IP 地址的账户,而不是分配给 IPAM 所有者。这对于大型组织非常有用,在这些组织中,委派的 IPAM 管理员使用 IPAM 集中管理 IP 地址,并且每个账户负责自己的使用,从而无需手动计算账单。 在**计量模式**下[创建 IPAM](create-ipam.md) 或[修改 IPAM](mod-ipam-region.md) 时,可以使用成本分配选项,其中: + **IPAM 所有者**(默认):拥有 IPAM 的 AWS 账户将为 IPAM 中管理的所有活动 IP 地址付费。 + **资源所有者**:拥有 IP 地址的 AWS 账户将为活动 IP 地址付费。 **要求** + 您的 IPAM 必须[与 AWS Organizations 集成](enable-integ-ipam.md)。 + IPAM 必须由 AWS 组织中委派的 IPAM 管理员创建。 + IPAM 的主区域必须是默认启用的区域,不能是[选择加入区域](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-regions.html#regions-opt-in-status)。 **收费的工作原理** + 尽管您可以在组织内分配 IP 地址费用,但所有 IPAM 费用都将通过 [AWS Organizations 整合账单](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/con-bill-blended-rates.html)整合到该组织的付款人账户。 + 启用成本分配后,组织成员账户仍可以在其账户账单中查看个人 IPAM 使用情况和费用。 + 启用成本分配后,IPAM ARN 将在个人账户账单上显示,这样资源所有者便可追踪其 IPAM 活动 IP 使用情况。如果您使用 [AWS Data Exports](https://docs.aws.amazon.com/cur/latest/userguide/what-is-data-exports.html),则 IPAM 费用将与关联的 IPAM ARN 一起在整合账户账单和个人账户账单中显示。 + 只有委派管理员组织内的账户才能收到其所拥有资源的费用。组织外部的 IP 地址费用将向 IPAM 所有者收取。 **时间限制** + 启用成本分配后,您有 24 小时的时间选择退出。24 小时后,您无法在 7 天内更改设置。7 天后,您可以禁用成本分配。 # 将 VPC IPAM 与 Infoblox 基础设施集成 Amazon VPC IPAM 和 Infoblox 集成后,会将您的 AWS VPC IP 地址管理器(IPAM)连接到 [Infoblox](https://www.infoblox.com/),从而让您能够通过现有的 Infoblox 工作流管理 AWS IP 地址,同时获得云原生 AWS 功能。 此集成解决了避免重复建设 IP 管理系统这一常见的企业难题。您不需要学习新工具以及为 AWS 和本地网络建立单独的流程,只需将 Infoblox 指定为 VPC IPAM 作用域的管理机构,并继续使用熟悉的 Infoblox 界面进行所有 IP 地址操作。 ## 集成过程概述 以下步骤概述了完整的集成过程: 1. **配置 IPAM 作用域**(在本文档中介绍):Amazon VPC IPAM 委托管理员创建一个新作用域或修改现有作用域,以将 Infoblox 作为其外部管理机构。 1. **配置 Infoblox**(在本文档之外介绍):请参阅[后续步骤](#infoblox-next-steps)。 1. **创建顶级池**:Amazon VPC IPAM 委托管理员在链接到 Infoblox 的作用域内创建一个池。最初该池未分配任何 CIDR。 1. **预调配来自外部管理机构的 CIDR**:Amazon VPC IPAM 委托管理员为该池预调配一个 CIDR。您可以请求任何可用 CIDR(由 Infoblox 在允许范围内选择),也可请求特定 CIDR(Infoblox 根据可用性接受或拒绝)。IPAM 会自动与 Infoblox 协调,来获取和预调配批准的 CIDR。 1. **继续使用标准的 IPAM 操作**:按照标准的 Amazon VPC IPAM 过程,使用分配的 CIDR 创建子池和 VPC。 ## 何时使用此集成 如果您已经使用或计划使用 Infoblox 进行本地网络管理,并且希望将现有的 IP 管理实践扩展到 AWS 而不建立单独的系统,请使用此集成。 ## 先决条件 在开始配置此集成之前,请确保您满足以下条件: + **VPC IPAM 高级套餐**:已在您的 AWS 账户中启用。有关更多信息,请参阅 [VPC IPAM 高级套餐](https://docs.aws.amazon.com/vpc/latest/ipam/mod-ipam-tier.html)。 + **所需 IAM 权限**:详见以下所列 + **Infoblox 资源标识符**:由您的 Infoblox 管理员提供 ## 用于 Infoblox 的 IAM 角色 创建一个供 Infoblox 主体代入的 IAM 角色,或使用一个现有的角色。该角色需要以下权限: + `ec2:DescribeIpamPools` + `ec2:DescribeIpams` + `ec2:DescribeIpamScopes` + `ec2:GetIpamPoolAllocations` + `ec2:GetIpamPoolCidrs` + `ec2:GetIpamResourceCidrs` 有关如何为 IAM 角色或策略添加这些权限的说明,请参阅《IAM 用户指南》中的[添加和删除 IAM 身份权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)**。 **注意** 除了启用此集成所需的这些权限外,Infoblox 可能还需要 VPC IPAM 发现权限。 ## 在 VPC IPAM 中配置 Infoblox 集成 您可以在 AWS VPC IPAM 控制台或 AWS CLI 中创建或修改作用域时启用 Infoblox 集成。 **重要** Infoblox 集成仅适用于私有作用域,不适用于公有作用域。 ### 创建具有 Infoblox 集成的新作用域 1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。 1. 在导航窗格中,选择 **IPAM**,然后选择**作用域**。 1. 选择 **Create scope**(创建范围)。 1. 对于**作用域设置**,请执行以下操作: + **IPAM ID** 会自动填充。 + (可选)对于**名称标签**,输入作用域的名称。 + (可选)对于**描述**,输入作用域的描述。 1. 对于**作用域管理机构**,请选择 **Infoblox IPAM**。 1. 对于 **Infoblox 资源标识符**,请按 `.identity.account..` 格式输入 Infoblox 资源标识符。 1. 验证您是否具有信息框中所示的所需 IAM 权限。 1. 选择 **Create scope**(创建范围)。 与此相关的 AWS CLI 命令是 [create-ipam-scope](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-ipam-scope.html)。 ### 修改现有的作用域 要将现有作用域的作用域管理机构从 **Amazon VPC IPAM** 更改为 **Infoblox IPAM**,请编辑作用域设置并按照之前过程中的相同配置步骤进行操作。 与此相关的 AWS CLI 命令是 [modify-ipam-scope](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-ipam-scope.html)。 ## 后续步骤 这样就完成了此集成所需的 Amazon VPC IPAM 配置。在配置好作用域管理机构后,您可以在该作用域内创建一个顶级 IPAM 池。有关更多信息,请参阅 [创建顶级 IPv4 池](create-top-ipam.md)。 此集成还需要配置一个 Infoblox 源池、验证发现作业状态、设置将由 Infoblox 管理的私有作用域、为 Amazon VPC IPAM 启用 Infoblox 管理,以及通过 Infoblox 集成或直接从 Infoblox 门户创建池。 有关此集成所需的 Infoblox 操作的信息,请参阅 Infoblox 文档中的《AWS IPAM 集成用户指南》**。 # 启用预置私有 IPv6 GUA CIDR 如果希望自己的私有网络支持 IPv6,并且不打算将流量从这些地址路由到互联网,则可向私有范围内的 IPAM 池预置私有 IPv6 ULA 或 GLA 范围。 有关私有 IPv6 寻址的重要详细信息,请参阅《Amazon VPC 用户指南》**中的[私有 IPv6 地址](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#vpc-ipv6-addresses-private)。 私有 IPv6 地址有两种类型: + **IPv6 ULA 范围**:[RFC4193](https://datatracker.ietf.org/doc/html/rfc4193) 中定义的 IPv6 地址。这些地址范围总会以“fc”或“fd”开头,因此很容易识别。有效的 IPv6 ULA 空间是指任何低于 fd00:: /8 且不与 Amazon 预留范围 fd00::/16 重叠的空间。 + **IPv6 GUA 范围**:[RFC3587](https://datatracker.ietf.org/doc/html/rfc3587) 中定义的 IPv6 地址。使用 IPv6 GUA 范围作为私有 IPv6 地址的选项默认处于禁用状态,必须在启用后才能使用。 要使用 IPv6 ULA 地址范围,可在向 IPAM 池预置 CIDR 时选择 IPv6 选项,再输入 IPv6 ULA 范围。不过,要使用自己的 IPv6 GUA 范围作为私有 IPv6 地址,必须先完成本节中的步骤。默认情况下禁用该选项。 **注意** 在使用私有 IPv6 GUA 范围时,要求使用自己拥有的 IPv6 GUA 范围。 IPAM 发现具有 IPv6 ULA 和 GUA 地址的资源,并监控池中是否存在重叠的 IPv6 ULA 和 GUA 地址空间。 如果要从具有私有 IPv6 地址的资源连接到互联网,必须通过另一个子网中具有公有 IPv6 地址的资源路由流量,才能实现该目的。 如果已为 VPC 分配私有 IPv6 GUA 范围,则不能使用与同一 VPC 中私有 IPv6 GUA 空间重叠的公有 IPv6 GUA 空间。 支持具有私有 IPv6 ULA 及 GUA 地址范围的资源之间的通信(例如跨 Direct Connect、VPC 对等连接、中转网关或 VPN 连接)。 私有 GUA IPv6 范围无法转换为公开传播的 IPv6 GUA 范围。 ------ #### [ AWS Management Console ] **启用预置私有 IPv6 GUA CIDR** 1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。 1. 在导航窗格中,选择 **IPAM**。 1. 选择 IPAM,再依次选择**操作** > **编辑**。 1. 在**私有 IPv6 GUA CIDR** 下,选择**启用向私有 IPv6 IPAM 池预置 GUA CIDR 空间**。 1. 选择**保存更改**。 ------ #### [ Command line ] 本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。 使用以下 AWS CLI 命令启用预置私有 IPv6 GUA CIDR: 1. 使用 [describe-ipams](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipams.html) 查看当前的 IPAM 1. 使用 [modify-ipam](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-ipam.html) 修改 IPAM 并纳入用于 `enable-private-gua` 的选项。 ------ 启用预置私有 IPv6 GUA CIDR 的选项后,即可为池预置私有 IPv6 GUA CIDR。有关更多信息,请参阅 [将 CIDR 预置到池](prov-cidr-ipam.md)。 # 强制使用 IPAM 通过 SCP 进行 VPC 创建 **注意** 此部分仅在您启用了 IPAM 与 AWS Organizations 集成时适用您。有关更多信息,请参阅 [将 IPAM 与 AWS Organization 中的账户集成](enable-integ-ipam.md)。 此部分描述如何在 AWS Organizations 中创建服务控制策略,从而要求组织中的成员在创建 VPC 时使用 IPAM。服务控制策略 (SCP) 是一种组织策略,使您能够管理组织中的权限。有关更多信息,请参阅 *AWS Organizations 用户指南*中的[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。 ## 创建 VPC 时强制使用 IPAM 按照本部分中的步骤,要求组织中的成员在创建 VPC 时使用 IPAM。 **要创建 SCP 并将 VPC 创建限制为 IPAM** 1. 按照《*AWS Organizations 用户指南*》中的 [Create a service control policy](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_create.html#create-an-scp) 中的步骤操作,并在 JSON 编辑器中输入以下文本: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [{ "Effect": "Deny", "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"], "Resource": "arn:aws:ec2:*:*:vpc/*", "Condition": { "Null": { "ec2:Ipv4IpamPoolId": "true" } } }] } ``` ------ 1. 将策略附加到组织中的一个或多个组织单位。有关更多信息,请参阅《*AWS Organizations 用户指南*》中的 [Attach policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_attach.html) 和 [Detach policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_detach.html)。 ## 创建 VPC 时强制使用 IPAM 池 按照本部分中的步骤,要求组织中的成员在创建 VPC 时使用特定 IPAM 池。 **要创建 SCP 并将 VPC 创建限制为 IPAM 池** 1. 按照《*AWS Organizations 用户指南*》中的 [Create a service control policy](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_create.html#create-an-scp) 中的步骤操作,并在 JSON 编辑器中输入以下文本: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [{ "Effect": "Deny", "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"], "Resource": "arn:aws:ec2:*:*:vpc/*", "Condition": { "StringNotEquals": { "ec2:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg" } } }] } ``` ------ 1. 将 `ipam-pool-0123456789abcdefg` 示例值更改为您希望对用户进行限制的 IPv4 池 ID。 1. 将策略附加到组织中的一个或多个组织单位。有关更多信息,请参阅《*AWS Organizations 用户指南*》中的 [Attach policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_attach.html) 和 [Detach policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_detach.html)。 ## 对除给定 OU 列表之外的所有 OU 强制实施 IPAM 按照本部分中的步骤,对除给定组织单位(OU)列表之外的所有组织单位强制实施 IPAM。本部分介绍的策略需要组织中除您在 `aws:PrincipalOrgPaths` 中指定的 OU 之外的 OU 使用 IPAM 创建和扩展 VPC。列出的 OU 可以在创建 VPC 时使用 IPAM,也可以手动指定 IP 地址范围。 **创建 SCP 并对除给定 OU 列表之外的所有 OU 强制实施 IPAM** 1. 按照《*AWS Organizations 用户指南*》中的 [Create a service control policy](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_create.html#create-an-scp) 中的步骤操作,并在 JSON 编辑器中输入以下文本: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [{ "Effect": "Deny", "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"], "Resource": "arn:aws:ec2:*:*:vpc/*", "Condition": { "Null": { "ec2:Ipv4IpamPoolId": "true" }, "ForAnyValue:StringNotLike": { "aws:PrincipalOrgPaths": [ "o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/", "o-a1b2c3d4e5/r-ab12/ou-ab13-22222222/ou-ab13-33333333/" ] } } }] } ``` ------ 1. 删除示例值(例如 `o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/`)并添加您希望可以选择(但不要求)使用 IPAM 的 OU 的 AWS Organizations 实体路径。有关实体路径的更多信息,请参阅《*IAM 用户指南*》中的[了解 AWS Organizations 实体路径](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed-view-data-orgs.html#access_policies_last-accessed-viewing-orgs-entity-path)和 [aws:PrincipalOrgPaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths)。 1. 将策略附加到组织根。有关更多信息,请参阅《*AWS Organizations 用户指南*》中的 [Attach policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_attach.html) 和 [Detach policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_detach.html)。 # 从 IPAM 中排除组织单位 如果您的 IPAM 与 AWS Organizations 集成,则可以将[组织单位 (OU)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#organizationalunit) 排除在 IPAM 管理之外。排除 OU 时,IPAM 不会管理该 OU 中账户的 IP 地址。此功能使您可以更灵活地使用 IPAM。 您可以通过以下方式使用 OU 排除项: + **为业务的特定部分启用 IPAM**:如果您在 AWS Organizations 中有多个业务部门或子公司,则现在可以将 IPAM 仅用于需要该功能的业务部门或子公司。 + **将沙盒账户分开**:您可以从 IPAM 排除沙盒账户,只关注对 IP 管理真正重要的账户。 ## OU 排除项工作原理 本节中的图演示了在 IPAM 中添加 OU 排除项的两个使用案例。 第一张图显示仅对父 OU 添加组织单位(OU)排除项的影响。因此,IPAM 不会管理父 OU 中账户的 IP 地址。IPAM 将管理排除项之外的其他 OU 中账户的 IP 地址。 ![\[父 OU 上的 OU 排除项示意图\]](http://docs.aws.amazon.com/zh_cn/vpc/latest/ipam/images/ipam-ou-1.png) 第二张图显示对父 OU *和*所有子 OU 添加组织单位(OU)排除项的影响。因此,IPAM 不会管理父 OU 中账户或任意子 OU 中账户的 IP 地址。IPAM 将管理排除项之外的 OU 中账户的 IP 地址。 ![\[父 OU 和所有子 OU 上的 OU 排除项示意图。\]](http://docs.aws.amazon.com/zh_cn/vpc/latest/ipam/images/ipam-ou-2.png) ## 添加或移除 OU 排除项 完成本节中的步骤以添加或移除 OU 排除项。 **注意** 即使委托的 IPAM 管理员账户位于已排除 OU 中,也不会将其排除在外。 您的 IPAM 必须与 AWS Organizations 集成才能添加 OU 排除项。组织中必须有 OU。 您必须是委托的 IPAM 管理员才能查看、添加或移除 OU 排除项。 IPAM 需要时间才能发现最近创建的组织单位。 每次资源发现可以添加的排除项数量有默认配额。有关更多信息,请参阅 [IPAM 的配额](quotas-ipam.md)中的*每次资源发现的组织单位排除项数*。 如果您[与其他账户共享资源发现](res-disc-work-with-share.md),则该账户可以看到其上的 OU 排除项,其中包含资源发现所有者组织的组织 ID、根 ID 和组织单位 ID 等信息。 ------ #### [ AWS Management Console ] **要添加或移除 OU 排除项** 1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。 1. 在导航窗格中,选择**资源发现**。 1. 选择默认资源发现。 1. 选择**编辑**。 1. 在**组织单位排除项**下,执行以下操作: + **要添加 OU 排除项**: + 如果要排除 OU 及其所有子 OU: + 在表中找到该 OU 并选中该复选框。系统会自动选择所有子 OU。 + 如果想仅排除父 OU 账户: + 在表中找到该 OU 并选中该复选框。系统会自动选择所有子 OU。取消选择所有子 OU。 + 或者,您可以使用**操作**列仅选择父 OU 或选择父 OU 和子 OU: + **选择所有子 OU**:在排除项中包含所有子 OU。选择 OU 后,屏幕上会添加该 OU。每个 OU 均包含 OU 排除项的 ID 和[实体路径](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_last-accessed-view-data-orgs.html#access_policies_last-accessed-viewing-orgs-entity-path)。 + **仅选择此 OU**:在排除项中仅包含此 OU。选择 OU 后,屏幕上会添加该 OU。每个 OU 均包含 OU 排除项的 ID 和[实体路径](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_last-accessed-view-data-orgs.html#access_policies_last-accessed-viewing-orgs-entity-path)。 + **复制 OU 实体路径**:复制组织实体路径以根据需要使用。 + 如果您已经知道 AWS Organizations 实体路径或者想要构建该路径: + 选择**输入组织单位排除项**,然后输入 OU 排除项的[实体路径](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_last-accessed-view-data-orgs.html#access_policies_last-accessed-viewing-orgs-entity-path)。使用由 `/` 分隔的 AWS Organizations ID 构建 OU 的路径。以 `/*` 结尾的路径包含所有子 OU。 + 示例 1 + 子 OU 的路径:`o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/` + 在此示例中,`o-a1b2c3d4e5` 是组织 ID,`r-f6g7h8i9j0example` 是根 ID,`ou-ghi0-awsccccc` 是 OU ID,`ou-jkl0-awsddddd` 是子 OU ID。 + IPAM 不会管理子 OU 中账户的 IP 地址。 + 示例 2 + 所有子 OU 都将成为排除项一部分的路径:`o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*` + 在此示例中,IPAM 不会管理 OU(`ou-ghi0-awsccccc`)中账户的 IP 地址,也不会管理 OU 所属任何子 OU 中账户的 IP 地址。 + **要移除 OU 排除项**: + 选择已添加的 OU 旁边的 **X**。OU ID 之后的 `/*` 表示其是父 OU,而子 OU 是 OU 排除项的一部分。 1. 选择**保存更改**。 ------ #### [ Command line ] 本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。 1. 使用 [describe-ipam-resource-discoveries](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-ipam-resource-discoveries.html) 查看资源发现详细信息,以获取下一步的默认资源发现的 ID。 输入: ``` aws ec2 describe-ipam-resource-discoveries ``` 输出: ``` { "IpamResourceDiscoveries": [ { "OwnerId": "111122223333", "IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0", "IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0", "IpamResourceDiscoveryRegion": "us-east-1", "OperatingRegions": [ { "RegionName": "us-east-1" }, { "RegionName": "us-west-1" }, { "RegionName": "us-west-2" } ], "IsDefault": true, "State": "modify-complete", "Tags": [] } ] } ``` 1. 使用 [modify-ipam-resource-discovery](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/modify-ipam-resource-discovery.html) 以及 `--add-organizational-unit-exclusions` 或 `--remove-organizational-unit-exclusions` 选项,在资源发现中添加或移除组织单位排除项。您需要输入 AWS Organizations 实体路径。使用由 `/` 分隔的 AWS Organizations ID 构建 OU 的路径。以 `/*` 结尾的路径包含所有子 OU。在添加或移除参数中不能多次包含相同的实体路径。 + 示例 1 + 子 OU 的路径:`o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/` + 在此示例中,`o-a1b2c3d4e5` 是组织 ID,`r-f6g7h8i9j0example` 是根 ID,`ou-ghi0-awsccccc` 是 OU ID,`ou-jkl0-awsddddd` 是子 OU ID。 + IPAM 不会管理子 OU 中账户的 IP 地址。 + 示例 2 + 所有子 OU 都将成为排除项一部分的路径:`o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*` + 在此示例中,IPAM 不会管理 OU(`ou-ghi0-awsccccc`)中账户的 IP 地址,也不会管理 OU 所属任何子 OU 中账户的 IP 地址。 **注意** 生成的排除项集不得“重叠”,这意味着两个或多个 OU 排除项不得排除同一 OU。 **不重叠的实体路径示例:** 路径 1 =“o-1/r-1/ou-1/” 路径 2 =“o-1/r-1/ou-1/ou-2/” 这些路径不重叠,因为路径 1 仅排除 ou-1 下的账户,而路径 2 仅排除 ou-2 下的账户。 **重叠的实体路径示例:** 路径 1 =“o-1/r-1/ou-1/\$1” 路径 2 =“o-1/r-1/ou-1/ou-2/” 这些路径重叠,因为路径 1 同时表示“o-1/r-1/ou-1/”和“o-1/r-1/ou-1/ou-2/”,而“o-1/r-1/ou-1/ou-2/”与路径 2 重叠。 输入: ``` aws ec2 modify-ipam-resource-discovery \ --ipam-resource-discovery-id ipam-res-disco-1234567890abcdef0 \ --add-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*' \ --remove-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/' \ --region us-east-1 ``` 输出: ``` { "IpamResourceDiscovery": { "OwnerId": "111122223333", "IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0", "IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0", "IpamResourceDiscoveryRegion": "us-east-1", "OperatingRegions": [ { "RegionName": "us-east-1" } ], "IsDefault": false, "State": "modify-in-progress", "OrganizationalUnitExclusions": [ { "OrganizationsEntityPath": "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*" } ] } } ``` ------ # 修改 IPAM 等级 IPAM 提供两个等级:免费等级和高级等级。切换到 Amazon VPC IP 地址管理器的高级套餐可以更精细地控制您的 IP 地址管理。随着网络复杂性的增加,这可能会有所帮助,让您能够更好地优化和管理 IP 地址空间。有关免费等级中提供的功能以及与高级等级相关的费用的更多信息,请参阅 [Amazon VPC 定价页面](https://aws.amazon.com//vpc/pricing/)中的 IPAM 选项卡。 **注意** 在从高级等级切换到免费等级之前,您必须: 删除私有范围池。 删除非默认设置私有范围。 删除区域设置与 IPAM 主区域不同的池。 删除非默认设置资源发现关联。 删除分配给不是 IPAM 所有者的账户的池。 ------ #### [ AWS Management Console ] **如需修改 IPAM 等级** 1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。 1. 在导航窗格中,选择 **IPAM**。 1. 在内容窗格中,选择 IPAM。 1. 选择**操作** > **编辑**。 **注意** 如果您使用的是免费套餐,则会看到**您的估计 IPAM 活跃 IP 总数为...**。 总活跃 IP 数是如果您从免费套餐切换到高级套餐则您的 IPAM 中需要向您收费的活跃 IP 地址数量。活动 IP 地址定义为与附加到 EC2 实例等资源的弹性网络接口(ENI)关联的 IP 地址或前缀。 此指标仅适用于免费套餐的客户。 如果您的 IPAM [与 AWS Organizations 集成](enable-integ-ipam.md),则活动 IP 计数将涵盖所有组织账户。 您无法按 IP 类型(公有/私有)或类别(IPv4/IPv6)查看活动 IP 数的明细。 IPAM 仅计入受监控账户拥有的 ENI 的 IP。共享子网的计数可能不准确。如果子网所有者或 ENI 所有者不在 IPAM 覆盖范围内,则不包括其 IP 地址。 1. 选择要用于 **IPAM 的 IPAM 等级**。 1. 选择**保存更改**。 ------ #### [ Command line ] 本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。 使用以下AWS CLI命令查看和修改 IPAM 等级: 1. 查看当前的 IPAM:[describe-ipams](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipams.html) 1. 修改 IPAM 等级:[modify-ipam](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-ipam.html) 1. 查看已更新的 IPAM:[describe-ipams](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipams.html) ------ # 修改 IPAM 运营区域 运营区域是允许 IPAM 管理 IP 地址 CIDR 的 AWS 区域。IPAM 仅发现和监控您选择作为运营区域的 AWS 区域中的资源。 向 IPAM 添加操作区域使您能够跨多个 AWS 区域管理 IP 地址空间。这可以提高 IP 地址利用率、实现区域分割,并支持地理分布式基础架构。扩大 IPAM 的区域范围可以提高您的整体 IP 地址管理的灵活性和控制。 ------ #### [ AWS Management Console ] **如需修改 IPAM 运营区域** 1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。 1. 在导航窗格中,选择 **IPAM**。 1. 在内容窗格中,选择 IPAM。 1. 选择**操作** > **编辑**。 1. 在 **IPAM 设置**下,选择要用于 IPAM 的**运营区域**。 1. 选择**保存更改**。 ------ #### [ Command line ] 本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。 使用以下 AWS CLI 命令查看和修改 IPAM 运营区域: 1. 查看当前的 IPAM:[describe-ipams](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipams.html) 1. 添加或删除 IPAM 运营区域:[modify-ipam](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-ipam.html) 1. 查看已更新的 IPAM:[describe-ipams](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipams.html) ------ # 将 CIDR 预置到池 按照本部分中的步骤将 CIDR 预置到池。如果您在创建池时已经预置了 CIDR,则如果池接近完全分配,则可能需要预置额外的 CIDR。要监控池的使用情况,请参阅 [使用 IPAM 控制面板监控 CIDR 使用情况](monitor-cidr-usage-ipam.md)。 **注意** 术语 *provision*(预置)和 *allocate*(分配)在本用户指南和 IPAM 控制台中使用。*Provision*(预置)在您将 CIDR 添加到 IPAM 池时使用。*分配*在您将 IPAM 池中的 CIDR 与 VPC 或弹性 IP 地址关联时使用。 ------ #### [ AWS Management Console ] **要将 CIDR 预置到池** 1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。 1. 在导航窗格中,选择 **Pools**(池)。 1. 默认情况下,默认的私有范围被选中。如果您不想使用默认的私有范围,请从内容窗格顶部的下拉菜单中选择要使用的范围。有关范围的更多信息,请参阅 [IPAM 的工作原理](how-it-works-ipam.md)。 1. 在内容窗格中,选择要将 CIDR 添加到其中的池。 1. 选择 **Actions**(操作)> **Provision CIDRs**(预置 CIDR)。 1. 请执行以下操作之一: + 如果要向公有范围内的池预置 CIDR,请输入**网络掩码**。 + 如果要向私有范围内的 IPv4 池预置 CIDR,请输入 **CIDR**。 + 如果要向私有范围内的 IPv6 池预置 CIDR,请注意以下几点: + 有关私有 IPv6 寻址的重要详细信息,请参阅《Amazon VPC 用户指南》**中的[私有 IPv6 地址](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#vpc-ipv6-addresses-private)。 + 要使用私有 IPv6 ULA 范围,则在**要预置的 CIDR** 下选择**按网络掩码添加 ULA CIDR**并选择网络掩码大小,或者选择**输入私有 IPv6 CIDR** 并输入 ULA 范围。私有 IPv6 ULA 的有效范围为 /9 至 /60(从 fd80::/9 开始)。 + 要使用私有 IPv6 GUA 范围,必须先在 IPAM 上启用该选项(请参阅[启用预置私有 IPv6 GUA CIDR](enable-prov-ipv6-gua.md))。启用私有 IPv6 GUA CIDR 后,在**输入私有 IPv6 CIDR** 中输入 IPv6 GUA。 **注意** 默认情况下,您可以向区域池添加一个 Amazon 提供的 IPv6 CIDR 块。有关提高默认限制的信息,请参阅 [IPAM 的配额](quotas-ipam.md)。 您要预置的 CIDR 必须在范围内可用。 如果要将 CIDR 预置到池中的资源池,则您要预置的 CIDR 空间必须在池中可用。 1. 选择**预置**。 1. 您可以通过选择导航窗格中的 **Pools**(池)、选择一个池并查看该池的 CIDR 选项卡以查看 IPAM 中的 CIDR。 ------ #### [ Command line ] 本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。 使用以下 AWS CLI 命令将 CIDR 预置到池中: 1. 获取 IPAM 池的 ID:[describe-ipam-pools](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-pools.html) 1. 获取预置到池中的 CIDR:[get-ipam-pool-cidrs](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-pool-cidrs.html) 1. 为池预置新的 CIDR:[provision-ipam-pool-cidr](https://docs.aws.amazon.com/cli/latest/reference/ec2/provision-ipam-pool-cidr.html) 1. 获取预置到池中的 CIDR 并查看新的 CIDR:[get-ipam-pool-cidrs](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-pool-cidrs.html) ------ # 在范围之间移动 VPC CIDR 在范围之间移动 CIDR 可以优化 IP 地址分配、按区域组织、分离关注点、强制实施合规性以及适应基础设施的变化。这种灵活性有助于随着工作负载的变化高效管理您的 IP 地址空间。 按照本部分中的步骤将一个范围中的 VPC CIDR 移动到另一个范围。 **重要** 您只能移动 VPC CIDR。当您移动 VPC CIDR 时,VPC 的子网 CIDR 也会自动移动。 您只能将 VPC CIDR 从一个私有范围移动到另一个私有范围。您不能将 VPC CIDR 从公有范围移动到私有范围,也不能从私有范围移动到公有范围。 相同的 AWS 账户必须同时拥有这两个范围。 如果 VPC CIDR 当前是从私有范围内的池中分配的,移动请求将成功,但是在您从当前池中释放 VPC CIDR 分配之后,系统才会移动 VPC CIDR。有关释放分配的信息,请参阅[释放分配](https://docs.aws.amazon.com/vpc/latest/ipam/release-alloc-ipam.html)。 ------ #### [ AWS Management Console ] **移动分配给 VPC 的 CIDR** 1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。 1. 在导航窗格中,选择 **Resources**(资源)。 1. 从内容窗格顶部的下拉菜单中,选择要使用的范围。 1. 在内容窗格中,选择 VPC 并查看 VPC 的详细信息。 1. 在 **VPC CIDRs**(VPC CIDR)下,选择分配给资源的 CIDR 之一,然后选择 **Actions**(操作)> **Move CIDR to different scope**(将 CIDR 移至其他范围)。 1. 选择要将 VPC CIDR 移动到的范围。 1. 选择 **Move CIDR to different scope**(将 CIDR 移至其他范围)。 ------ #### [ Command line ] 使用以下 AWS CLI 命令移动 VPC CIDR: 1. 获取当前范围内的 VPC CIDR:[get-ipam-resource-cidrs](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-resource-cidrs.html) 1. 移动 VPC CIDR:[modify-ipam-resource-cidr](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-ipam-resource-cidr.html) 1. 获取其他范围内的 VPC CIDR:[get-ipam-resource-cidrs](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-resource-cidrs.html) ------ # 使用 IPAM 策略定义公有 IPv4 分配策略 IPAM 策略是一组规则,这些规则用于定义如何将 IPAM 池中的公有 IPv4 地址分配给 AWS 资源。每条规则都将 AWS 服务映射到该服务将用于获取 IP 地址的 IPAM 池。单个策略可以有多个规则,并且可以应用于多个 AWS 区域。如果 IPAM 池中的地址耗尽,则服务将回退到 Amazon 提供的 IP 地址。策略可以应用于 AWS Organizations 中的各个 AWS 账户或实体。如果您[自带 IP(BYOIP)](https://docs.aws.amazon.com/vpc/latest/ipam/tutorials-byoip-ipam.html),这将有助于降低您的 AWS 公有 IPv4 成本。 **IPAM 策略的使用场景** 使用 IPAM 策略具有以下优势: + 通过使用 BYOIP 地址降低公有 IPv4 成本 + 集中控制您的 AWS 资源使用的 IP 池 + 确保整个组织的 IP 分配保持一致 **工作原理** 当您在强制执行 IPAM 策略的账户中创建需要公有 IP 地址的 AWS 资源时: + IPAM 会按顺序检查您的策略规则。 + 如果某条规则与该资源类型匹配,IPAM 会从指定的池中分配一个 IP。 + 如果该池为空且启用了溢出功能,则 Amazon 会提供一个 IP 地址。 + 如果没有匹配的规则,则会应用默认行为。 **支持的服务和资源** 您可以创建 IPAM 策略,来定义如何将 IPAM 池中的公有 IPv4 地址分配给以下 AWS 服务和资源: + 弹性 IP 地址(EIP) + 应用程序负载均衡器(ALB) + Amazon Relational Database Service(RDS) + 区域 NAT 网关 **重要** 如果您在创建 AWS 资源时选择了特定的 IPAM 池或 EIP 分配 ID,则该设置将覆盖 IPAM 策略。 **先决条件** + 已启用[高级套餐](https://docs.aws.amazon.com/vpc/latest/ipam/mod-ipam-tier.html)的委托管理员账户中的一个 [IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/create-ipam.html) + 一个具有 IPv4 地址的[公有 IPAM 池](https://docs.aws.amazon.com/vpc/latest/ipam/create-top-ipam.html) + 用于执行 IPAM 和 EC2 操作的 [IAM 权限](https://docs.aws.amazon.com/vpc/latest/ipam/iam-ipam.html) **术语** **IPAM 策略** IPAM 策略是一组规则,这些规则用于定义如何将 IPAM 池中的公有 IPv4 地址分配给 AWS 资源。每条规则都将 AWS 服务映射到该服务将用于获取 IP 地址的 IPAM 池。单个策略可以有多个规则,并且可以应用于多个 AWS 区域。如果 IPAM 池中的地址耗尽,则服务将回退到 Amazon 提供的 IP 地址。策略可以应用于 AWS Organizations 中的各个 AWS 账户或实体。策略可以应用于 AWS Organizations 中的各个 AWS 账户或实体。 **分配规则** IPAM 策略中用于将 AWS 资源类型映射到特定 IPAM 池的可选配置。如果未定义任何规则,则资源类型默认为使用 Amazon 提供的 IP 地址。 **Target** 可向其应用 IPAM 策略的单个 AWS 账户或 AWS 组织内的实体。 **第 1 步:创建 IPAM 策略** **使用 AWS 控制台:** 按照以下步骤操作,使用 AWS 控制台创建一个 IAM 策略: 1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。 1. 在左侧导航窗格中,选择 **Policies(策略)**。 1. 选择**创建策略**。 1. 为您的策略输入一个**名称**(可选)。 1. 选择要关联到此策略的 **IPAM**。 1. (可选)添加标签。 1. 选择**创建策略**。 **使用 AWS CLI:** 使用 [create-ipam-policy](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-ipam-policy.html) 命令。 **第 2 步:添加分配规则** 创建策略后,您需要添加分配规则来定义如何分配 IP 地址: **使用 AWS 控制台:** 按照以下步骤操作,使用 AWS 控制台添加分配规则: 1. 在左侧导航窗格中,选择 **Policies(策略)**。 1. 选择在上一步中创建的策略。 1. 在策略详细信息页面中,选择**分配规则**选项卡。 1. 选择**创建分配规则**。 1. 配置**服务配置**: + **区域设置**:选择要应用此策略的 AWS 区域 (us-east-1) 或本地区域。 + **资源类型**:选择此策略的 AWS 服务或资源类型(弹性 IP 地址、RDS 数据库实例、应用程序负载均衡器或区域可用性模式的 NAT 网关)。 1. 配置**规则配置**: + **IPAM 池**:选择将提供 IP 地址的 IPAM 池。 + 检查池详细信息(区域设置、公有 IP 源、可用空间和可用 CIDR 范围)。 1. (可选)选择**添加新规则**以创建其他规则。 1. 选择**创建分配规则**。 **使用 AWS CLI:** 使用 [modify-ipam-policy-allocation-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-ipam-policy-allocation-rules.html) 命令。 **第 3 步:启用策略** 指定应使用此策略的账户。 **使用 AWS 控制台:** 按以下步骤操作,使用 AWS 控制台启用策略: 1. 在策略详细信息页面中,选择**目标**选项卡。 1. 选择**管理策略目标**。 1. 请执行以下操作之一: + 如果用于单个账户(IPAM 未与 AWS Organizations 集成),请选择**为您的账户启用**。 + 如果 IPAM 已与 AWS Organizations 集成(您是委托管理员时): + 在**组织结构**部分中,选择要应用此策略的账户或组织单元。 + 为每个目标选中**已启用**复选框。 + 选择**保存更改**。 + **重要提示**:启用此策略将取代选定账户或组织单元中任何有效的 IPAM 策略。 **使用 AWS CLI:** 根据您的设置使用 [enable-ipam-policy](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ipam-policy.html) 命令: 如果用于单个账户(IPAM 未与 AWS Organizations 集成): ``` aws ec2 enable-ipam-policy \ --ipam-policy-id ipam-policy-12345678 ``` 如果 IPAM 已与 AWS Organizations 集成(您是委托管理员时),请设置策略以定位 AWS 组织中的帐户: ``` aws ec2 enable-ipam-policy \ --ipam-policy-id ipam-policy-12345678 \ --organization-target-id 123456789012 ``` 如果 IPAM 已与 AWS Organizations 集成(您是委托管理员时),请设置策略以定位组织单元: ``` aws ec2 enable-ipam-policy \ --ipam-policy-id ipam-policy-12345678 \ --organization-target-id ou-123 ``` **重要** 启用此策略将取代选定账户或组织单元中任何有效的 IPAM 策略。 **第 4 步:测试策略** 在其中一个目标账户中创建一个所配置类型的新资源(如 EIP)。该资源将自动使用您的 IPAM 池中的 IP 地址。 **重要** 如果您在创建 AWS 资源时选择了特定的 IPAM 池或 EIP 分配 ID,则该设置将覆盖 IPAM 策略。 **第 5 步:监控使用情况** 在控制台中检查您的 [IPAM 池](https://docs.aws.amazon.com/vpc/latest/ipam/monitor-cidr-usage-ipam.html),以查看分配给您的资源的 IP 地址。 # 释放分配 如果您计划删除池,则可能需要释放池分配。分配是从一个 IPAM 池到另一个资源或 IPAM 池的 CIDR 分配。 如果池已预置 CIDR,则无法删除该池;如果 CIDR 已分配给资源,则无法取消预置该 CIDR。 **注意** 要释放手动分配,请使用此部分中的步骤或调用 [ReleaseIpamPoolAllocation API](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ReleaseIpamPoolAllocation.html)。 要在私有范围内释放分配,您必须忽略或删除资源 CIDR。有关更多信息,请参阅 [更改 VPC CIDR 的监控状态](change-monitoring-state-ipam.md)。一段时间后,Amazon VPC IPAM 会自动代表您释放分配。 **Example** **示例** 如果您在私有范围内有 VPC CIDR,要释放分配,您必须忽略或删除 VPC CIDR。一段时间后,Amazon VPC IPAM 将自动从 IPAM 池中释放 VPC CIDR 分配。 要在公有范围内释放分配,您必须删除资源 CIDR。您不能忽略公有资源 CIDR。有关更多信息,请参阅 [仅使用 AWS CLI 自带公有 IPv4 CIDR 到 IPAM 中](tutorials-byoip-ipam-ipv4.md) 中的*清理*或 [仅使用 AWS CLI 自带 IPv6 CIDR 到 IPAM 中](tutorials-byoip-ipam-ipv6.md) 中的*清理*。一段时间后,Amazon VPC IPAM 会自动代表您释放分配。 要让 Amazon VPC IPAM 代表您释放分配,所有账户权限都必须正确配置为[单账户使用](enable-single-user-ipam.md)或[多账户使用](enable-integ-ipam.md)。 当您释放由 IPAM 管理的 CIDR 时,Amazon VPC IPAM 会将 CIDR 回收回 IPAM 池中。如果使用高级套餐的 IPAM,CIDR 可在几分钟时间后用于未来分配。如果使用免费套餐的 IPAM,CIDR 需要 48 小时才能用于未来分配。有关池和分配的更多信息,请参阅 [IPAM 的工作原理](how-it-works-ipam.md)。 ------ #### [ AWS Management Console ] **要释放池分配** 1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。 1. 在导航窗格中,选择 **Pools**(池)。 1. 从内容窗格顶部的下拉菜单中,选择要使用的范围。有关范围的更多信息,请参阅 [IPAM 的工作原理](how-it-works-ipam.md)。 1. 在内容窗格中,选择分配所在的池。 1. 选择 **Allocations**(分配)选项卡。 1. 选择一个或多个分配。您可以按分配的**资源类型**来识别分配: + **自定义**:自定义分配。 + **vpc**:VPC 分配。 + **ipam-pool**:IPAM 池分配。 + **ec2-public-ipv4-pool**:公有 IPv4 池分配。 + **子网**:子网分配。 1. 选择 **Actions**(操作)> **Release custom allocation**(释放自定义分配)。 1. 选择 **Deallocate CIDR**(取消分配 CIDR)。 ------ #### [ Command line ] 本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。 使用以下 AWS CLI 命令释放池分配: 1. 获取 IPAM 池 ID:[describe-ipam-pools](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-pools.html) 1. 查看您在池中的当前分配:[get-ipam-pool-allocations](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-pool-allocations.html) 1. 释放分配:[release-ipam-pool-allocation](https://docs.aws.amazon.com/cli/latest/reference/ec2/release-ipam-pool-allocation.html) 1. 查看已更新的分配:[get-ipam-pool-allocations](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-pool-allocations.html) ------ 要添加新分配,请参阅 [从 IPAM 池中分配 CIDR](allocate-cidrs-ipam.md)。要在释放分配后删除池,首先必须 [从池中取消预置 CIDR](depro-pool-cidr-ipam.md)。 # 使用 AWS RAM 共享 IPAM 池 按照此部分中的步骤适用 AWS Resource Access Manager (RAM) 共享 IPAM 池。当您与 RAM 共享 IPAM 池时,“主体”可以将池中的 CIDR 分配给来自各自账户的 AWS 资源,例如 VPC。主体是 RAM 中的一个概念,表示 AWS Organizations 中的任何 AWS 账户、IAM 角色、IAM 角色或组织部门。有关更多信息,请参阅 *AWS RAM 用户指南*中的[使用共享的共享您的 AWS 资源](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html)。 **注意** 如果您已将 IPAM 与 AWS Organizations 集成,您只能与 AWS RAM 共享 IPAM 池。有关更多信息,请参阅 [将 IPAM 与 AWS Organization 中的账户集成](enable-integ-ipam.md)。如果您是单个账户 IPAM 用户,则无法与 AWS RAM 共享 IPAM 池。 您必须启用在 AWS RAM 中与 AWS Organizations 共享资源。有关更多信息,请参阅 *AWS RAM 用户指南*中的[在 AWS Organizations 内启用资源共享](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)。 RAM 共享仅在您 IPAM 所在的主 AWS 区域中可用。您必须在 IPAM 所在的 AWS 区域创建共享,而不是在 IPAM 池的区域中。 创建和删除 IPAM 池资源共享的账户在附加到其 IAM 角色的 IAM 策略中必须具有以下权限: `ec2:PutResourcePolicy` `ec2:DeleteResourcePolicy` 您可以向 RAM 共享添加多个 IPAM 池。 虽然您可以与 AWS 组织外部的任何 AWS 账户共享 IPAM 池,但只有在账户所有者完成了与委派的 IPAM 管理员共享资源发现的过程后,IPAM 才会监控组织外部账户中的 IP 地址,如[将 IPAM 与组织外部的账户集成](enable-integ-ipam-outside-org.md)中所述。 ------ #### [ AWS Management Console ] **要使用 RAM 共享 IPAM 池** 1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。 1. 在导航窗格中,选择 **Pools**(池)。 1. 默认情况下,默认的私有范围被选中。如果您不想使用默认的私有范围,请从内容窗格顶部的下拉菜单中选择要使用的范围。有关范围的更多信息,请参阅 [IPAM 的工作原理](how-it-works-ipam.md)。 1. 在内容窗格中,选择要共享的池,然后选择 **Actions**(操作)> **View details**(查看详细信息)。 1. 在 **Resource sharing**(资源共享)下,选择 **Create resource share**(创建资源共享)。因此,AWS RAM 控制台将打开。您将在 AWS RAM 中创建共享池。 1. 选择 **Create a Resource Group**(创建资源组)。 1. 为共享资源添加 **Name**(名称)。 1. 在 **Select resource type**(选择资源类型)下,选择 IPAM 池并选择一个或多个 IPAM 池。 1. 选择 **Next**(下一步)。 1. 选择资源共享的权限之一: + **AWSRAMDefaultPermissionsIpamPool**:选择此权限可允许主体查看共享 IPAM 池中的 CIDR 和分配,并在池中分配/释放 CIDR。 + **AWSRAMPermissionIpamPoolByoipCidrImport**:选择此权限可允许主体将 BYOIP CIDR 导入共享 IPAM 池中。只有当您具有现有的 BYOIP CIDR 并且想要将它们导入 IPAM 并与主体共享时,才需要此权限。有关 BYOIP CIDR 到 IPAM 的其他信息,请参阅 [教程:将 BYOIP IPv4 CIDR 传输到 IPAM](tutorials-byoip-ipam-transfer-ipv4.md)。 1. 选择允许访问此资源的主体。如果主体要将现有的 BYOIP CIDR 导入到此共享 IPAM 池中,请将 BYOIP CIDR 所有者账户添加为主体。 1. 查看资源共享选项和要共享的委托人,然后选择 **Create**(创建)。 ------ #### [ Command line ] 本节中的命令链接到《AWS CLI 命令参考》**。在那里,您可以找到运行命令时可以使用的选项的详细说明。 使用以下 AWS CLI 命令通过 RAM 共享 IPAM 池: 1. 获取 IPAM 的 ARN:[describe-ipam-pools](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-pools.html) 1. 创建资源共享:[create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html) 1. 查看资源共享:[get-resource-shares](https://docs.aws.amazon.com/cli/latest/reference/ram/get-resource-shares.html) ------ 由于在 RAM 中创建资源共享,其他主体现在可以使用 IPAM 池将 CIDR 分配给资源。有关监控主体创建的资源的信息,请参阅 [按资源监控 CIDR 使用情况](monitor-cidr-compliance-ipam.md)。有关如何从共享 IPAM 池创建 VPC 和分配 CIDR 的更多信息,请参阅《*Amazon VPC 用户指南*》中的[创建 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)。 # 使用资源发现 资源发现是一个 IPAM 组件,IPAM 可以通过它来管理和监控属于拥有资源发现的账户的资源。这使得 IPAM 能够维持工作负载中 IP 地址使用情况的最新清单,从而便于管理和规划 IP 地址。 默认情况下,创建 IPAM 时会创建资源发现。您也可以独立于 IPAM 创建资源发现,并将其与其他账户或组织所拥有的 IPAM 集成。如果资源发现拥有者是组织的委托管理员,IPAM 会监控该组织所有成员的资源。 **注意** 创建、共享和关联资源发现是将 IPAM 与组织外部账户集成的过程的一部分(请参阅 [将 IPAM 与组织外部的账户集成](enable-integ-ipam-outside-org.md))。如果您不想创建 IPAM 并将其与组织外部的账户集成,则无需创建、共享或关联资源发现。 请注意,本部分为一组程序,都与使用资源发现相关。 **Topics** + [创建资源发现以与其他 IPAM 集成](res-disc-work-with-create.md) + [查看资源发现详细信息](res-disc-work-with-view.md) + [与其他 AWS 账户共享资源发现](res-disc-work-with-share.md) + [将资源发现与 IPAM 关联](res-disc-work-with-associate.md) + [取消关联资源发现](res-disc-work-with-disassociate.md) + [删除资源发现](res-disc-work-with-delete.md) # 创建资源发现以与其他 IPAM 集成 本部分介绍如何创建资源发现。默认情况下,创建 IPAM 时会创建资源发现。每个区域资源发现的默认限额为 1。有关 IPAM 限额的更多信息,请参阅 [IPAM 的配额](quotas-ipam.md)。 **注意** 创建、共享和关联资源发现是将 IPAM 与组织外部账户集成的过程的一部分(请参阅 [将 IPAM 与组织外部的账户集成](enable-integ-ipam-outside-org.md))。如果您不想创建 IPAM 并将其与组织外部的账户集成,则无需创建、共享或关联资源发现。 如果您想将 IPAM 与组织外部的账户集成,则此步骤必须由**辅助组织管理员账户**完成。有关此过程所涉及角色的更多信息,请参阅 [过程概述](enable-integ-ipam-outside-org-process.md)。 ------ #### [ AWS Management Console ] **创建资源发现** 1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。 1. 在导航窗格中,选择**资源发现**。 1. 选择**创建资源发现**。 1. 选择**允许 Amazon VPC IP 地址管理器将数据从源账户复制到 IPAM 委托账户中**。如果未选中此选项,则无法创建资源发现。 1. (可选)向资源发现添加**名称**标签。标签是为 AWS 资源分配的标记。每个标签都包含一个键和一个可选值。您可以使用标签来搜索和筛选您的资源或跟踪 AWS 成本。 1. (可选)添加描述。 1. 在**运营区域**下,选择需要发现资源的 AWS 区域。当前区域将自动设置为运营区域之一。如果您正在创建资源发现以便将其与运营区域 `us-east-1` 中的 IPAM 共享,请确保选择此处的 `us-east-1`。如果忘记选择运营区域,可以稍后返回并编辑资源发现设置。 **注意** 大多数情况下,资源发现应与 IPAM 位于同一运营区域,否则您只能在该区域进行资源发现。 1. (可选)为池选择任何其他**标签**。 1. 选择**创建**。 ------ #### [ Command line ] 本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。 + 创建资源发现:[create-ipam-resource-discovery](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-ipam-resource-discovery.html) ------ # 查看资源发现详细信息 查看 AWS IPAM 中资源发现的详细信息可以提供有价值的见解,例如: + 识别已导入的特定 AWS 资源及其关联的 IP 地址分配。 + 监控资源发现过程的状态和进度。 + 对 IPAM 与发现的资源之间的任何问题或差异进行问题排除。 + 分析 IP 地址利用率和趋势。 此信息可以帮助您优化 IP 地址管理,并确保 IPAM 与实际资源部署保持一致。 ------ #### [ AWS Management Console ] **查看资源发现详细信息** 1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。 1. 在导航窗格中,选择**资源发现**。 1. 选择资源发现。 1. 在**资源发现详细信息**下,查看与资源发现相关的详细信息,例如“默认”,该信息表明资源发现是否为默认设置。默认资源发现是创建 IPAM 时自动创建的资源发现。 1. 在选项卡中,查看资源发现的详细信息: + **已发现资源**–资源发现所监控的资源。IPAM 会监控以下资源类型 VPC、公有 IPv4 池、VPC 子网和弹性 IP 地址的 CIDR。 + **名称(资源 ID)** - 资源发现 ID。 + **IP 分配情况** – 正在使用的 IP 地址空间百分比。要将十进制转换为百分比,请将十进制乘以 100。请注意以下几点: + 对于属于 VPC 的资源,这表示 VPC 中子网 CIDR 所占用 IP 地址空间的百分比。 + 对于属于子网的资源,如果子网预置了 IPv4 CIDR,则表示子网中正在使用的 IPv4 地址空间的百分比。如果子网配置了 IPv6 CIDR,则不表示正在使用的 IPv6 地址空间的百分比。目前无法计算正在使用的 IPv6 地址空间的百分比。 + 对于属于公有 IPv4 池的资源,这表示池中分配给弹性 IP 地址(EIP)的 IP 地址空间的百分比。 + **CIDR** – 资源 CIDR。 + **区域** – 资源区域。 + **拥有者 ID** – 资源拥有者 ID。 + **采样时间** – 上次成功发现资源的时间。 + **已发现账户**:资源发现所监控的 AWS 账户。如果 IPAM 已与 AWS Organizations 集成,则组织中的所有账户均为已发现账户。 + **账户 ID** – 账户 ID。 + **区域** – 从中返回账户信息的 AWS 区域。 + **上次尝试发现时间** – 上次尝试发现资源的时间。 + **上次成功发现时间** – 上次成功发现资源的时间。 + **状态** – 资源发现失败的原因。 + **运营区域** – 资源发现的运营区域。 + **资源共享** – 如已共享资源发现,则会列出资源共享 ARN。 + **资源共享 ARN** – 资源共享 ARN。 + **状态** – 资源共享的当前状态。可能的值有: + **活动** – 资源共享处于活动状态并且可供使用。 + **已删除** – 资源共享已删除并且不再可用。 + **待处理** – 资源共享接受邀请正在等待响应。 + **创建时间** – 资源共享的创建时间。 + **标签** – 标签是您为 AWS 资源分配的标记。每一个标签都包含一个键和一个可选值。您可以使用标签来搜索和筛选您的资源或跟踪 AWS 成本。 ------ #### [ Command line ] 本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。 + 查看资源发现详细信息:[describe-ipam-resource-discoveries](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-resource-discoveries.html) ------ # 与其他 AWS 账户共享资源发现 按照本部分中的步骤使用 AWS Resource Access Manager 共享资源发现。有关 AWS RAM 的更多信息,请参阅《AWS RAM 用户指南**》中的[共享 AWS 资源](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html)。 **注意** 创建、共享和关联资源发现是将 IPAM 与组织外部账户集成的过程的一部分(请参阅 [将 IPAM 与组织外部的账户集成](enable-integ-ipam-outside-org.md))。如果您不想创建 IPAM 并将其与组织外部的账户集成,则无需创建、共享或关联资源发现。 创建用于监控组织外部账户的 IPAM 时,辅助组织管理员账户将使用 AWS RAM 与主组织 IPAM 账户共享其资源发现。您必须先与主组织 IPAM 账户共享资源发现,主组织 IPAM 账户才能将资源发现与其 IPAM 相关联。有关此过程所涉及角色的更多信息,请参阅 [过程概述](enable-integ-ipam-outside-org-process.md)。 **注意** 使用 AWS RAM 创建资源共享以共享资源发现时,您必须在主组织 IPAM 的主区域中创建资源共享。 要创建和删除用于资源发现的资源共享,账户的 IAM 策略中必须具有以下权限: ec2:PutResourcePolicy ec2:DeleteResourcePolicy 如果您与其他账户共享资源发现,则该账户可以看到其上的任何 [OU 排除项](exclude-ous.md),其中包含资源发现所有者组织的组织 ID、根 ID 和组织单位 ID 等信息。 如果您想将 IPAM 与组织外部的账户集成,则此步骤必须由**辅助组织管理员账户**完成。 ------ #### [ AWS Management Console ] **共享资源发现** 1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。 1. 在导航窗格中,选择**资源发现**。 1. 选择**资源共享**选项卡。 1. 选择**创建资源共享**。AWS RAM 控制台随即打开,您可以在其中创建资源共享。 1. 在 AWS RAM 控制台中,选择**设置**。 1. 选择**允许与 AWS Organizations 共享**,然后选择**保存设置**。 1. 选择**创建资源共享**。 1. 为共享资源添加**名称**。 1. 在**选择资源类型**下,选择 **IPAM 资源发现**,然后选择相应的资源发现。 1. 选择**下一步**。 1. 在**关联权限**下,您可以查看将为被授予此资源共享访问权限的主体启用的默认权限: + AWSRAMPermissionIpamResourceDiscovery + 此权限允许以下操作: + ec2:AssociateIpamResourceDiscovery + ec2:GetIpamDiscoveredAccounts + ec2:GetIpamDiscoveredPublicAddresses + ec2:GetIpamDiscoveredResourceCidrs 1. 指定允许访问共享资源的主体。对于**主体**,请选择主组织 IPAM 账户,然后选择**添加**。 1. 选择**下一步**。 1. 查看资源共享选项和要共享的主体。然后选择**创建资源共享**。 1. 资源发现共享后,主组织 IPAM 账户必须接受,然后将其与 IPAM 关联。有关更多信息,请参阅 [将资源发现与 IPAM 关联](res-disc-work-with-associate.md)。 ------ #### [ Command line ] 本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。 1. 创建资源共享:[create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html) 1. 查看资源共享:[get-resource-shares](https://docs.aws.amazon.com/cli/latest/reference/ram/get-resource-shares.html) ------ # 将资源发现与 IPAM 关联 本部分介绍如何将资源发现与 IPAM 关联。将资源发现与 IPAM 关联后,IPAM 会监控资源发现所发现的所有资源 CIDR 和账户。创建 IPAM 时,系统会为 IPAM 创建默认资源发现并自动将其与 IPAM 关联。 资源发现关联的默认限额为 5。有关更多信息(包括如何调整限额),请参阅 [IPAM 的配额](quotas-ipam.md)。 **注意** 创建、共享和关联资源发现是将 IPAM 与组织外部账户集成的过程的一部分(请参阅 [将 IPAM 与组织外部的账户集成](enable-integ-ipam-outside-org.md))。如果您不想创建 IPAM 并将其与组织外部的账户集成,则无需创建、共享或关联资源发现。 如果您想将 IPAM 与组织外部的账户集成,则此步骤必须由**主组织 IPAM 账户**完成。有关此过程所涉及角色的更多信息,请参阅 [过程概述](enable-integ-ipam-outside-org-process.md)。 ------ #### [ AWS Management Console ] **关联资源发现** 1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。 1. 在导航窗格中,选择 **IPAM**。 1. 选择**关联发现**,然后选择**关联资源发现**。 1. 在 **IPAM 资源发现**下,选择**辅助组织管理员账户**与您共享的资源发现。 1. 选择**关联**。 ------ #### [ Command line ] 本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。 + 关联资源发现:[associate-ipam-resource-discovery](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-ipam-resource-discovery.html) ------ # 取消关联资源发现 本部分介绍如何将资源发现与 IPAM 取消关联。将资源发现与 IPAM 取消关联后,IPAM 不会再监控资源发现所发现的所有资源 CIDR 和账户。 **注意** 无法取消关联默认资源发现。默认资源发现关联是创建 IPAM 时自动创建的关联。但是,删除 IPAM 也将一并删除默认资源发现关联。 此步骤必须由**主组织 IPAM 账户**完成。有关此过程所涉及角色的更多信息,请参阅 [过程概述](enable-integ-ipam-outside-org-process.md)。 ------ #### [ AWS Management Console ] **取消关联资源发现** 1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。 1. 在导航窗格中,选择 **IPAM**。 1. 选择**关联发现**,然后选择**取消关联资源发现**。 1. 在 **IPAM 资源发现**下,选择**辅助组织管理员账户**与您共享的资源发现。 1. 选择**取消关联**。 ------ #### [ Command line ] 本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。 + 取消关联资源发现:[disassociate-ipam-resource-discovery](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-ipam-resource-discovery.html) ------ # 删除资源发现 本部分介绍如何删除资源发现。 **注意** 无法删除默认资源发现。默认资源发现是创建 IPAM 时自动创建的资源发现。但是,删除 IPAM 也将一并删除默认资源发现。 此步骤必须由**辅助组织管理员账户**完成。有关此过程所涉及角色的更多信息,请参阅 [过程概述](enable-integ-ipam-outside-org-process.md)。 ------ #### [ AWS Management Console ] **删除资源发现** 1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。 1. 在导航窗格中,选择**资源发现**。 1. 选择资源发现,然后选择**操作**>**删除资源发现**。 ------ #### [ Command line ] 本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。 + 删除资源发现:[delete-ipam-resource-discovery](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-ipam-resource-discovery.html) ------