

# 强制使用 IPAM 通过 SCP 进行 VPC 创建
<a name="scp-ipam"></a>

**注意**  
 此部分仅在您启用了 IPAM 与 AWS Organizations 集成时适用您。有关更多信息，请参阅 [将 IPAM 与 AWS Organization 中的账户集成](enable-integ-ipam.md)。

此部分描述如何在 AWS Organizations 中创建服务控制策略，从而要求组织中的成员在创建 VPC 时使用 IPAM。服务控制策略 (SCP) 是一种组织策略，使您能够管理组织中的权限。有关更多信息，请参阅 *AWS Organizations 用户指南*中的[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。

## 创建 VPC 时强制使用 IPAM
<a name="scp-ipam-enforce-scen-1"></a>

按照本部分中的步骤，要求组织中的成员在创建 VPC 时使用 IPAM。

**要创建 SCP 并将 VPC 创建限制为 IPAM**

1. 按照《*AWS Organizations 用户指南*》中的 [Create a service control policy](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_create.html#create-an-scp) 中的步骤操作，并在 JSON 编辑器中输入以下文本：

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [{
          "Effect": "Deny",
           "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
           "Resource": "arn:aws:ec2:*:*:vpc/*",
           "Condition": {
               "Null": {
                   "ec2:Ipv4IpamPoolId": "true"
               }
           }
        }]
   }
   ```

------

1. 将策略附加到组织中的一个或多个组织单位。有关更多信息，请参阅《*AWS Organizations 用户指南*》中的 [Attach policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_attach.html) 和 [Detach policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_detach.html)。

## 创建 VPC 时强制使用 IPAM 池
<a name="scp-ipam-enforce-scen-2"></a>

按照本部分中的步骤，要求组织中的成员在创建 VPC 时使用特定 IPAM 池。

**要创建 SCP 并将 VPC 创建限制为 IPAM 池**

1. 按照《*AWS Organizations 用户指南*》中的 [Create a service control policy](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_create.html#create-an-scp) 中的步骤操作，并在 JSON 编辑器中输入以下文本：

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [{
           "Effect": "Deny",
           "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
           "Resource": "arn:aws:ec2:*:*:vpc/*",
           "Condition": {
               "StringNotEquals": {
                   "ec2:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg"
               }
             }
       }]
   }
   ```

------

1. 将 `ipam-pool-0123456789abcdefg` 示例值更改为您希望对用户进行限制的 IPv4 池 ID。

1. 将策略附加到组织中的一个或多个组织单位。有关更多信息，请参阅《*AWS Organizations 用户指南*》中的 [Attach policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_attach.html) 和 [Detach policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_detach.html)。

## 对除给定 OU 列表之外的所有 OU 强制实施 IPAM
<a name="scp-ipam-enforce-scen-3"></a>

按照本部分中的步骤，对除给定组织单位（OU）列表之外的所有组织单位强制实施 IPAM。本部分介绍的策略需要组织中除您在 `aws:PrincipalOrgPaths` 中指定的 OU 之外的 OU 使用 IPAM 创建和扩展 VPC。列出的 OU 可以在创建 VPC 时使用 IPAM，也可以手动指定 IP 地址范围。

**创建 SCP 并对除给定 OU 列表之外的所有 OU 强制实施 IPAM**

1. 按照《*AWS Organizations 用户指南*》中的 [Create a service control policy](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_create.html#create-an-scp) 中的步骤操作，并在 JSON 编辑器中输入以下文本：

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [{
   	"Effect": "Deny",
   	    "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
   	    "Resource": "arn:aws:ec2:*:*:vpc/*",
   	    "Condition": {
   	        "Null": {
   		      "ec2:Ipv4IpamPoolId": "true"
                   },
   	        "ForAnyValue:StringNotLike": {
   	            "aws:PrincipalOrgPaths": [
   	                "o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/",
   	                "o-a1b2c3d4e5/r-ab12/ou-ab13-22222222/ou-ab13-33333333/"
   	            ]
                   }
               }
        }]
   }
   ```

------

1. 删除示例值（例如 `o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/`）并添加您希望可以选择（但不要求）使用 IPAM 的 OU 的 AWS Organizations 实体路径。有关实体路径的更多信息，请参阅《*IAM 用户指南*》中的[了解 AWS Organizations 实体路径](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed-view-data-orgs.html#access_policies_last-accessed-viewing-orgs-entity-path)和 [aws:PrincipalOrgPaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths)。

1. 将策略附加到组织根。有关更多信息，请参阅《*AWS Organizations 用户指南*》中的 [Attach policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_attach.html) 和 [Detach policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_detach.html)。