本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 IPAM 政策定義公有 IPv4 配置策略 IPAM 政策是一組規則,定義如何將 IPAM 集區的公有 IPv4 地址分配給 AWS 資源。每個規則會將 AWS 服務映射至服務將用於取得 IP 地址的 IPAM 集區。單一政策可以有多個規則,並套用到多個 AWS 區域。如果 IPAM 集區的位址用盡,則服務會回復為使用 Amazon 提供的 IP 位址。政策可以套用到 AWS Organizations 內的個別 AWS 帳戶或實體。如果您[使用自己的 IP (BYOIP)](https://docs.aws.amazon.com/vpc/latest/ipam/tutorials-byoip-ipam.html),這有助於降低 AWS 公有 IPv4 成本。 **何時使用 IPAM 政策** 使用 IPAM 政策來: + 使用 BYOIP 地址降低公有 IPv4 成本 + 集中控制 AWS 資源使用的 IP 集區 + 確保整個組織的 IP 配置一致 **運作方式** 當您在強制執行 IPAM 政策的帳戶中建立需要公有 IP 地址 AWS 的資源時: + IPAM 會依序檢查您的政策規則。 + 如果規則符合資源類型,IPAM 會從指定的集區配置 IP。 + 如果集區為空且啟用溢位,Amazon 會提供 IP 地址。 + 如果沒有相符的規則,則會套用預設行為。 **支援的 服務和資源** 您可以建立 IPAM 政策,以定義如何將 IPAM 集區的公有 IPv4 地址配置給下列 AWS 服務和資源: + 彈性 IP 地址 EIPs) + Application Load Balancer ALBs) + Amazon Relational Database Service (RDS) + 區域 NAT 閘道 **重要** 如果您在建立 AWS 資源時選擇特定的 IPAM 集區或 EIP 配置 ID, 會覆寫 IPAM 政策。 **先決條件** + 委派管理員帳戶中已啟用[進階方案](https://docs.aws.amazon.com/vpc/latest/ipam/mod-ipam-tier.html)的 [IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/create-ipam.html) + 具有 IPv4 地址的[公有 IPAM 集區](https://docs.aws.amazon.com/vpc/latest/ipam/create-top-ipam.html) + IPAM 和 EC2 操作的 [IAM 許可](https://docs.aws.amazon.com/vpc/latest/ipam/iam-ipam.html) **術語** **IPAM 政策** IPAM 政策是一組規則,定義如何將 IPAM 集區的公有 IPv4 地址分配給 AWS 資源。每個規則會將 AWS 服務映射至服務將用於取得 IP 地址的 IPAM 集區。單一政策可以有多個規則,並套用到多個 AWS 區域。如果 IPAM 集區的位址用盡,則服務會回復為使用 Amazon 提供的 IP 位址。政策可以套用到 AWS Organizations 內的個別 AWS 帳戶或實體。政策可以套用到 AWS Organizations 內的個別 AWS 帳戶或實體。 **配置規則** IPAM 政策中的選用組態,可將 AWS 資源類型映射至特定 IPAM 集區。若未定義任何規則,資源類型會預設為使用 Amazon 提供的 IP 位址。 **Target** 組織中可套用 IPAM 政策 AWS 的個別 AWS 帳戶或實體。 **步驟 1:建立 IPAM 政策** **使用 AWS 主控台:** 請依照下列步驟,使用 AWS 主控台建立 IPAM 政策: 1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。 1. 在左側導覽窗格中選擇 **Policies** (政策)。 1. 選擇**建立政策**。 1. 輸入政策**的名稱** (選用)。 1. 選取要與此政策建立關聯的 **IPAM**。 1. (選用) 新增標籤。 1. 選擇**建立政策**。 **使用 AWS CLI:** 使用 [create-ipam-policy](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-ipam-policy.html) 命令。 **步驟 2:新增配置規則** 建立政策後,您需要新增配置規則,以定義 IP 地址的配置方式: **使用 AWS 主控台:** 請依照下列步驟,使用 AWS 主控台新增配置規則: 1. 在左側導覽窗格中選擇 **Policies** (政策)。 1. 選擇您在上一個步驟中建立的政策。 1. 在您的政策詳細資訊頁面中,選擇**配置規則**索引標籤。 1. 選擇**建立配置規則**。 1. 設定 **服務組態**: + **地區設定**:選擇您希望套用此政策 AWS 的區域 (us-east-1) 或本地區域。 + **資源類型**:選取此政策 AWS 的服務或資源類型 (彈性 IP 地址、RDS 資料庫執行個體、Application Load Balancer 或區域可用性模式中的 NAT 閘道)。 1. 設定**規則組態**: + **IPAM 集**區:選取將提供 IP 地址的 IPAM 集區。 + 檢閱集區詳細資訊 (地區、公有 IP 來源、可用空間和可用 CIDR 範圍)。 1. (選用) 選擇**新增規則**以建立其他規則。 1. 選擇**建立配置規則**。 **使用 AWS CLI:** 使用 [modify-ipam-policy-allocation-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-ipam-policy-allocation-rules.html) 命令。 **步驟 3:啟用政策** 指定哪些帳戶應該使用此政策。 **使用 AWS 主控台:** 請依照下列步驟,使用 AWS 主控台啟用政策: 1. 在您的政策詳細資訊頁面中,選擇**目標**索引標籤。 1. 選擇**管理政策目標**。 1. 執行以下任意一項: + 對於單一帳戶用量 (IPAM 未與 AWS Organizations 整合),請**為您的帳戶選擇啟用**。 + 對於與 AWS Organizations 整合的 IPAM (當您是委派管理員時): + 在**組織結構**區段中,選取您要套用此政策的帳戶或組織單位。 + 勾選每個目標**的已啟用**核取方塊。 + 選擇 **Save Changes** (儲存變更)。 + **重要**:啟用此政策將取代所選帳戶或組織單位上的任何作用中 IPAM 政策。 **使用 AWS CLI:** 根據您的設定使用 [enable-ipam-policy](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ipam-policy.html) 命令: 對於單一帳戶使用 (IPAM 未與 AWS Organizations 整合): ``` aws ec2 enable-ipam-policy \ --ipam-policy-id ipam-policy-12345678 ``` 對於與 AWS Organizations 整合的 IPAM (當您是委派管理員時),請將政策設定為以 AWS Organization 中的帳戶為目標: ``` aws ec2 enable-ipam-policy \ --ipam-policy-id ipam-policy-12345678 \ --organization-target-id 123456789012 ``` 對於與 AWS Organizations 整合的 IPAM (當您是委派管理員時),請將政策設定為以組織單位為目標: ``` aws ec2 enable-ipam-policy \ --ipam-policy-id ipam-policy-12345678 \ --organization-target-id ou-123 ``` **重要** 啟用此政策將取代所選取帳戶或組織單位上的任何現行 IPAM 政策。 **步驟 4:測試您的政策** 為您在其中一個目標帳戶中設定的類型 (例如 EIP) 建立新的資源。資源會自動使用來自 IPAM 集區的 IP 地址。 **重要** 如果您在建立 AWS 資源時選擇特定的 IPAM 集區或 EIP 配置 ID, 會覆寫 IPAM 政策。 **步驟 5:監控用量** 在主控台中檢查您的 [IPAM 集區](https://docs.aws.amazon.com/vpc/latest/ipam/monitor-cidr-usage-ipam.html),以查看要配置給資源的 IP 地址。