本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 將 IPAM 與 AWS Organizations 中的帳戶整合 或者,您可以依照本節中的步驟,將 IPAM 與 AWS Organizations 整合,並將成員帳戶委派為 IPAM 帳戶。 IPAM 帳戶負責建立 IPAM,並使用 IPAM 來管理和監控 IP 地址使用情況。 將 IPAM 與 AWS Organizations 整合並委派 IPAM 管理員的優點如下: + **與您的組織共用 IPAM 集區**:當您委派 IPAM 帳戶時,IPAM 可讓組織中的其他 AWS Organizations 成員帳戶從使用 AWS Resource Access Manager (RAM) 共用的 IPAM 集區來配置 CIDR。如需有關設定組織的詳細資訊,請參閱*《AWS Organizations 使用者指南》*中的[什麼是 AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)。 + **監控組織中的 IP 地址使用情況**:當您委派 IPAM 帳戶時,您會授與 IPAM 許可,以監控所有帳戶的 IP 使用情況。因此,IPAM 會自動將由現有 VPC 跨其他 AWS Organizations 成員帳戶使用的 CIDR 匯入 IPAM。 如果您未將 AWS Organizations 成員帳戶委派為 IPAM 帳戶時,IPAM 將僅監控您用於建立 IPAM 的 AWS 帳戶中的資源。 **注意** 與 AWS Organizations 整合: 您必須使用 AWS 管理主控台中的 IPAM 或 [enable-ipam-organization-admin-account](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ipam-organization-admin-account.html) AWS CLI 命令來啟用與 AWS Organizations 的整合。此可確保建立了 `AWSServiceRoleForIPAM` 服務連結角色。若使用 AWS Organizations 主控台或 [register-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/register-delegated-administrator.html) AWS CLI 命令來啟用 AWS Organizations 的受信任存取,則不會建立 `AWSServiceRoleForIPAM` 服務連結角色,而您也無法在組織內管理或監控資源。 **IPAM 帳戶必須是 AWS Organizations 成員帳戶。**您無法使用 AWS Organizations 管理帳戶作為 IPAM 帳戶。若要檢查您的 IPAM 是否已與 AWS Organizations 整合,請執行下列步驟,並在 *Organization 設定*中檢視與整合相關的詳細資訊。 IPAM 會針對在組織成員帳戶中監控的每個有效 IP 地址向您收費。如需定價的詳細資訊,請參閱 [IPAM 定價](https://aws.amazon.com/vpc/pricing/)。 您必須在 AWS Organizations 中擁有帳戶,並擁有設定有一或多個成員帳戶的管理帳戶。如需帳戶類型的詳細資訊,請參閱*《AWS Organizations 使用者指南》*中的[術語與概念](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)。如需有關設定組織的詳細資訊,請參閱 [《AWS Organizations 入門》](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)。 IPAM 帳戶使用的 IAM 角色所連接的 IAM 政策必須允許 `iam:CreateServiceLinkedRole` 動作。當您建立 IPAM 時,您將自動建立 AWSServiceRoleForIPAM 服務連結角色。 與 AWS Organizations 管理帳戶關聯的使用者使用的 IAM 角色必須連接有下列 IAM 政策動作: `ec2:EnableIpamOrganizationAdminAccount` `organizations:EnableAwsServiceAccess` `organizations:RegisterDelegatedAdministrator` `iam:CreateServiceLinkedRole` 如需有關建立 IAM 角色的詳細資訊,請參閱《IAM 使用者指南》**中的[建立角色以委派許可給 IAM 使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)。 與 AWS Organizations 管理帳戶關聯的使用者可以使用連接有下列 IAM 政策動作的 IAM 角色,來列出您目前的 AWS Orgs 委派管理員:`organizations:ListDelegatedAdministrators` ------ #### [ AWS Management Console ] **選取 IPAM 帳戶** 1. 使用 AWS Organizations 管理帳戶,造訪 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。 1. 在 AWS 管理主控台中,選擇欲使用 IPAM 的 AWS 區域。 1. 在導覽窗格中,選擇 **Organization settings (組織設定)**。 1. 只有在您已經以 AWS 組織管理帳戶的身分登入主控台後,才能使用 **Delegate** (委派) 選項。選擇**委派**。 1. 針對 IPAM 帳戶,輸入 AWS 帳戶 ID。IPAM 管理員必須是 AWS Organizations 成員帳戶。 1. 選擇**儲存變更**。 ------ #### [ Command line ] 本節中的命令與 *AWS CLI Command Reference* 連結。本文件旨在詳細說明執行命令時可使用的選項。 + 若要使用 AWS CLI 委派 IPAM 管理員帳戶,請使用下列的命令:[enable-ipam-organization-admin-account](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ipam-organization-admin-account.html) ------ 當您將 Organizations 成員帳戶委派為 IPAM 帳戶時,IPAM 會自動在組織的所有成員帳戶中建立服務連結的 IAM 角色。IPAM 會擔任每個成員帳戶中的服務連結 IAM 角色、探索資源及其 CIDR,並將其與 IPAM 整合,以監控這些帳戶中的 IP 地址使用情況。IPAM 可以探索所有成員帳戶內的資源,無論其 Organizational Unit 為何。例如,如果有已建立 VPC 的成員帳戶,您將會在 IPAM 主控台的 Resources 區段中看到 VPC 及其 CIDR。 **重要** 委派 IPAM 管理員的 AWS Organizations 管理帳戶的角色現已完成。若要繼續使用 IPAM,IPAM 管理員帳戶必須登入 Amazon VPC IPAM 並建立 IPAM。