本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon VPC IP Address Manager (IPAM) 和 AWS Organizations
<a name="services-that-can-integrate-ipam"></a>

Amazon VPC IP Address Manager (IPAM) 是一種 VPC 功能，可讓您更輕鬆地規劃、追蹤和監控 AWS 工作負載的 IP 地址。

使用 AWS Organizations 可讓您監控整個組織的 IP 地址用量，並跨成員帳戶共用 IP 地址集區。



如需詳細資訊，請參閱 *Amazon VPC IPAM 使用者指南*中的[整合 IPAM 與 AWS Organizations](https://docs.aws.amazon.com/vpc/latest/ipam/enable-integ-ipam.html)。

使用以下資訊來協助您整合 Amazon VPC IP Address Manager (IPAM) 與 AWS Organizations。

## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-ipam"></a>

使用 IPAM 主控台或使用 IPAM 的 `EnableIpamOrganizationAdminAccount` API 將 IPAM 與 AWS Organizations 整合時，會在組織的管理帳戶和每個成員帳戶中自動建立下列服務連結角色。
+ `AWSServiceRoleForIPAM`

如需詳細資訊，請參閱 *Amazon VPC 使用者指南*中的[IPAM 的服務連結角色](https://docs.aws.amazon.com//vpc/latest/ipam/iam-ipam-slr.html)。

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-ipam"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。IPAM 使用的服務連結角色會授予存取權給下列服務委託人：
+ `ipam.amazonaws.com`

## 使用 IPAM 啟用受信任存取
<a name="integrate-enable-ta-ipam"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

**注意**  
當您指定 IPAM 的委派管理員時，其會自動啟用組織中 IPAM 的受信任存取。  
IPAM 需要對 的受信任存取權 AWS Organizations ，才能將成員帳戶指定為組織的此服務委派管理員。

您只能使用 Amazon VPC IP 地址管理員 (IPAM) 工具啟用受信任存取。

如果您 AWS Organizations 使用 IPAM 主控台或使用 IPAM `EnableIpamOrganizationAdminAccount` API 將 IPAM 與 整合，則會自動授予 IPAM 的受信任存取權。授予受信任存取會在管理帳戶中和組織內所有成員帳戶中建立服務連結角色 ` AWS ServiceRoleForIPAM`。IPAM 使用服務連結角色來監控與組織中 EC2 聯網資源相關聯的 CIDR，並將與 IPAM 相關的指標存放在 Amazon CloudWatch 中。如需詳細資訊，請參閱 *Amazon VPC IPAM 使用者指南*中的[IPAM 的服務連結角色](https://docs.aws.amazon.com//vpc/latest/ipam/iam-ipam-slr.html)。

 如需啟用受信任存取的相關說明，請參閱 *Amazon VPC IPAM 使用者指南*中的[整合 IPAM 與 AWS Organizations](https://docs.aws.amazon.com//vpc/latest/ipam/enable-integ-ipam.html)。

**注意**  
 您無法使用 AWS Organizations 主控台或 [https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) API 透過 IPAM 啟用受信任存取。

## 使用 IPAM 停用受信任存取
<a name="integrate-disable-ta-ipam"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

只有 AWS Organizations 管理帳戶中的管理員可以使用 API 停用 IPAM 的 AWS Organizations `disable-aws-service-access`受信任存取。

 如需停用 IPAM 帳戶許可和刪除服務連結角色的詳細資訊，請參閱 *Amazon VPC 使用者指南*中的[IPAM 的服務連結角色](https://docs.aws.amazon.com/vpc/latest/ipam/iam-ipam-slr.html)。

您可以透過執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令來停用 Amazon VPC IP Address Manager (IPAM) 做為 Organizations 的受信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal ipam.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用 IPAM 的委派管理員帳戶
<a name="integrate-enable-da-ipam"></a>

IPAM 的委派管理員帳戶負責建立 IPAM 和 IP 地址集區、管理和監控組織中 IP 地址的使用情況，並進行跨成員帳戶的 IP地位址集區共用。如需詳細資訊，請參閱 *Amazon VPC IPAM 使用者指南*中的[整合 IPAM 與 AWS Organizations](https://docs.aws.amazon.com//vpc/latest/ipam/enable-integ-ipam.html)。

只有組織管理帳戶中的管理員可以設定 IPAM 的委派管理員。

您可以從 IPAM 主控台或使用 `enable-ipam-organization-admin-account` API 指定委派的管理員帳戶。如需詳細資訊，請參閱《 * AWS AWS CLI 命令參考*》中的 [enable-ipam-organization-admin-account](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ipam-organization-admin-account.html)。

**最低許可**  
只有 Organizations 管理帳戶中的使用者或角色，才能將成員帳戶設定為組織中 IPAM 的委託管理員。

若要使用 IPAM 主控台設定委派管理員，請參閱《Amazon VPC IPAM 使用者指南》**中的[整合 IPAM 與 AWS Organizations](https://docs.aws.amazon.com//vpc/latest/ipam/enable-integ-ipam.html)。

## 停用 IPAM 的委派管理員
<a name="integrate-disable-da-ipam"></a>

只有組織管理帳戶中的管理員可以設定 IPAM 的委派管理員。

 若要使用 移除委派管理員 AWS AWS CLI，請參閱《 *AWS AWS CLI 命令參考*》中的 [disable-ipam-organization-admin-account](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-ipam-organization-admin-account.html)。

 若要使用 IPAM 主控台停用委派管理員 IPAM 帳戶，請參閱《Amazon VPC IPAM 使用者指南》**中的[整合 IPAM 與 AWS Organizations](https://docs.aws.amazon.com//vpc/latest/ipam/enable-integ-ipam.html)。