本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 管理 IPAM 中的 IP 地址空間
本節中的任務是選用的。請注意,本節提供與使用 IPAM 相關的一組程序。程序依字母順序排列。
如果您要完成本節中的任務,且已委派 IPAM 帳戶,則需由 IPAM 管理員完成這些任務。
請依照本節中的步驟來管理 IPAM 中的 IP 地址空間。
**Topics**
+ [使用 IPAM 自動化字首清單更新](automate-prefix-list-updates.md)
+ [變更 VPC CIDR 的監控狀態](change-monitoring-state-ipam.md)
+ [建立其他範圍](add-scope-ipam.md)
+ [刪除 IPAM](delete-ipam.md)
+ [刪除集區](delete-pool-ipam.md)
+ [刪除範圍](delete-scope-ipam.md)
+ [從集區解除佈建 CIDR](depro-pool-cidr-ipam.md)
+ [編輯 IPAM 集區](mod-pool-ipam.md)
+ [啟用成本分配](ipam-enable-cost-distro.md)
+ [將 VPC IPAM 與 Infoblox 基礎設施整合](integrate-infoblox-ipam.md)
+ [啟用佈建私有 IPv6 GUA CIDR](enable-prov-ipv6-gua.md)
+ [使用 SCP 強制使用 IPAM 建立 VPC](scp-ipam.md)
+ [從 IPAM 排除組織單位](exclude-ous.md)
+ [修改 IPAM 方案](mod-ipam-tier.md)
+ [修改 IPAM 作業區域](mod-ipam-region.md)
+ [佈建集區的 CIDR](prov-cidr-ipam.md)
+ [在各範圍之間移動 VPC CIDR](move-resource-ipam.md)
+ [使用 IPAM 政策定義公有 IPv4 配置策略](define-public-ipv4-allocation-strategy-with-ipam-policies.md)
+ [釋出配置](release-alloc-ipam.md)
+ [透過 AWS RAM 共用 IPAM 集區](share-pool-ipam.md)
+ [使用資源探索](res-disc-work-with.md)
# 使用 IPAM 自動化字首清單更新
[受管字首清單](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html)是一組 CIDR 區塊,您可以在安全群組規則與路由表中引用,而不是指定個別 IP 位址。例如,您可以建立一個包含所有三個 CIDR 的字首清單,並在單一規則中引用它,而不是為 `10.1.0.0/16`、`10.2.0.0/16` 和 `10.3.0.0/16` 分別建立安全群組規則。
受管字首清單有兩種類型:
+ **客戶管理字首清單**:您定義並管理的 IP 範圍
+ **AWS受管字首清單**: AWS 服務的 IP 範圍 (例如 S3 或 CloudFront)
此 IPAM 功能可使 CIDR 項目與您的網路變更保持同步,從而自動化管理**客戶管理字首清單**。
## 此功能解決了以下問題
如果沒有自動化,網路團隊會在基礎結構變更與維護跨環境和跨區域的字首清單一致性時,花費大量時間手動更新字首清單。
IPAM 可讓您建立自動填入字首清單的規則,從而解決了此問題。您可以使用兩種方法:參考 IPAM 集區的 CIDRs,或根據您的實際 AWS 資源建立規則,例如 ' 包含標記 env=prod' 的所有 VPCs、' 包含 us-east-1' 中的所有子網路,或 ' 包含帳戶 123456789' 擁有的所有彈性 IP 地址。您新增或移除這些資源時,IPAM 會自動根據 CIDR 更新字首清單。
## 運作方式
您可以建立規則,告知 IPAM 要在字首清單中包含的 IP 位址。例如「包含帶有 env=prod 標記的所有 VPC CIDR」。您新增或移除生產 VPC 時,IPAM 會自動更新字首清單。
## 使用時機
+ **安全群組**:建立規則「包含標記帶有 env=prod 標記所有 VPC」,因此當您新增新的生產 VPC 時,安全群組規則會自動允許這些 VPC
+ **多區域**:在多個區域中部署相同的 IPAM 規則,以保持相同的字首清單,而無需手動複製 CIDR 項目
+ **動態基礎結構**:您建立/刪除 VPC 或子網路時,其 CIDR 會自動從字首清單中新增/移除,無需手動更新
## 先決條件
開始前,請確保您具備以下條件:
+ 已啟用[進階方案](https://docs.aws.amazon.com/vpc/latest/ipam/mod-ipam-tier.html)的 [IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/create-ipam.html)
+ [客戶管理字首清單](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html#create-prefix-list) (或在設定期間建立字首清單)
+ IPAM 與 EC2 字首清單操作的 [IAM 許可](https://docs.aws.amazon.com/vpc/latest/ipam/iam-ipam.html)
## 設定步驟
### 步驟 1:建立 IPAM 字首清單解析程式
透過建立 IPAM 字首清單解析程式,定義要包含在字首清單中的 CIDR。
------
#### [ AWS Management Console ]
**建立 IPAM 字首清單解析程式**
1. 開啟 [IAM 主控台](https://console.aws.amazon.com/ipam/)。
1. 在導覽窗格中,選擇**字首清單解析程式**。
1. 選擇**建立字首清單解析程式**。
1. 在**步驟 1:設定解析程式詳細資訊**中,選擇下列項目:
+ **IPAM**:IPAM 執行個體
+ **位址系列**:IPv4 或 IPv6
+ **名稱標籤 – 選用**:描述性名稱
+ **描述 – 選用**:描述
+ **標籤**:資源標籤
1. 選擇**下一步**。
1. 在**步驟 2:設定規則**中,選擇**新增規則**。您最多可以新增 99 個規則。
**重要**
可以在沒有任何 CIDR 選取規則的情況下建立字首清單解析程式,但此操作會產生空白版本 (不包含任何 CIDR),直至您新增規則為止。
1. 選擇其中一個規則類型:
+ **靜態 CIDR**:不會變更的 CIDR 固定清單 (例如,跨區域複寫的手動清單)
+ **IPAM 集區 CIDR**:來自特定 IPAM 集區的 CIDR (例如來自 IPAM 生產集區的所有 CIDR)
如果您選擇此選項,請選擇下列項目:
+ **IPAM 範圍**:選取用於搜尋資源的 IPAM 範圍
+ **條件:**
+ **屬性**
+ **IPAM 集區 ID**:選取包含資源的 IPAM 集區
+ **CIDR** (例如 10.24.34.0/23)
+ **操作**:等於/不等於
+ **值**:要比對條件的值
+ **範圍資源 CIDR**:來自 IPAM 範圍內 VPCs、子網路、EIPs 等 AWS 資源的 CIDRs
如果您選擇此選項,請選擇下列項目:
+ **IPAM 範圍**:選取用於搜尋資源的 IPAM 範圍
+ **資源類型**:選取資源,例如 VPC 或子網路。
+ **條件**:
+ **屬性**:
+ 資源 ID:資源的唯一 ID (例如 vpc-1234567890abcdef0)
+ 資源擁有者 (例如 111122223333)
+ 資源區域 (例如 us-east-1)
+ 資源標籤 (例如索引鍵:名稱、值:dev-vpc-1)
+ CIDR (例如 10.24.34.0/23)
+ **操作**:等於/不等於
+ **值**:要比對條件的值
1. 選擇**下一步**。
1. 選擇**驗證並建立**。
------
#### [ Command line ]
本節中的命令與《AWS CLI 命令參考》**連結。本文件旨在詳細說明執行命令時可使用的選項。
使用下列 AWS CLI 命令來建立 IPAM 字首清單解析程式:
+ 使用 [create-ipam-prefix-list-resolver](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-ipam-prefix-list-resolver.html) 命令,並儲存傳回解析程式 ID,在步驟 2 中使用。
------
### 步驟 2:建立解析程式目標以連線至字首清單
建立解析程式目標,將解析程式連結至現有的字首清單。使用步驟 1 傳回的解析程式 ID。
------
#### [ AWS Management Console ]
**建立 IPAM 字首清單解析程式目標**
1. 在 IPAM 主控台中,選擇**字首清單解析程式**。
1. 選擇您在步驟 1 中建立的解析程式。
1. 在解析程式詳細資訊頁面上,選擇**目標**索引標籤。
1. 選擇**建立目標**。
1. 設定目標:
+ **區域**:選取存在現有受管字首清單所在區域或您要在其中建立字首清單的區域。
+ **字首清單**:選擇現有的受管字首清單或建立新的字首清單
1. 在**所需版本**下,選取下列其中一個項目:
+ **一律追蹤最新版本**:如果您希望字首清單與基礎結構變更保持同步,完全不需要手動介入,請選擇此選項以進行自動更新。
+ **追蹤特定版本**:如果您需要可預測、可控制的更新,並想要手動核准字首清單的變更,請選擇此選項,獲得針穩定性。
1. 選擇**建立目標**。
------
#### [ Command line ]
本節中的命令與《AWS CLI 命令參考》**連結。本文件旨在詳細說明執行命令時可使用的選項。
使用下列 AWS CLI 命令來建立 IPAM 字首清單解析程式目標:
+ 使用步驟 1 的解析程式 ID 和現有的字首清單 ID 執行 [create-ipam-prefix-list-resolver-target](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-ipam-prefix-list-resolver-target.html) 命令。
------
IPAM 現在會根據規則自動更新您的字首清單。該字首清單會填入符合條件的 CIDR。
### 步驟 3:監控版本與同步情況
由於建立了字首清單解析程式與目標,字首清單解析程式會根據規則產生 CIDR 版本,然後目標會將這些 CIDR 從解析程式同步到特定的受管字首清單。每個版本都是在特定時刻與您的規則相符的 CIDR 的快照。每次 CIDR 清單因基礎設施變更而變更時,版本編號就會遞增。
**版本範例:**
**初始狀態 (第 1 版)**
生產環境:
+ vpc-prod-web (10.1.0.0/16) – 帶有 env=prod 標記
+ vpc-prod-db (10.2.0.0/16) – 帶有 env=prod 標記
解析程式規則:包含所有帶有 env=prod 標記的 VPC
**第 1 版 CIDR:**10.1.0.0/16、10.2.0.0/16
**基礎結構變更 (第 2 版)**
新增了新的 VPC:
+ vpc-prod-api (10.3.0.0/16) – 帶有 env=prod 標記
IPAM 會自動偵測變更並建立新版本。
**第 2 版 CIDR:**10.1.0.0/16、10.2.0.0/16、10.3.0.0/16
本節說明如何使用 AWS 主控台或 CLI AWS 監控版本建立,以及使用 CLI AWS 同步成功。
此外,建議針對失敗指標設定 CloudWatch 警示,因為您可能需要重新評估與調整 CIDR 選取規則,以確保版本與字首清單大小在限制範圍內。如需與 IPAM 字首清單相關的 CloudWatch 指標清單,請參閱 [IPAM 字首清單解析程式指標](cloudwatch-ipam-ip-address-usage.md#cloudwatch-ipam-prefix-list-resolver-metrics)。
------
#### [ AWS Management Console ]
**檢視建立的版本並監控目標同步情況**
1. 在 IPAM 主控台中,選擇**字首清單解析程式**。
1. 選擇您在步驟 1 中建立的解析程式。
1. 在解析程式詳細資訊頁面上,選擇**版本**索引標籤。在這裡,您將看到解析程式已建立的所有版本,以及各版本中的所有 CIDR。
1. 在解析程式詳細資訊頁面上,選擇**監控**索引標籤。在此檢視中,[IPAM 字首清單解析程式指標](cloudwatch-ipam-ip-address-usage.md#cloudwatch-ipam-prefix-list-resolver-metrics) 會以圖形形式顯示:
+ 字首清單解析程式版本建立成功
+ 字首清單解析程式版本建立失敗
1. 在**監控**索引標籤中,也可以選擇**為字首清單解析程式版本建立建立警示**來設定 CloudWatch 警示。系統會將您導向 CloudWatch 主控台,您會看到針對該指標的警示已完成部分設定。如需有關如何完成警示建立的詳細資訊,請參閱《Amazon CloudWatch 使用者指南**》中的[建立基於靜態閾值的 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)。
------
#### [ Command line ]
本節中的命令與《AWS CLI 命令參考》**連結。本文件旨在詳細說明執行命令時可使用的選項。
使用下列 AWS CLI 命令來監控版本和同步:
1. 使用 [get-ipam-prefix-list-resolver-version-entries](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-prefix-list-resolver-version-entries.html) 命令來檢視解析程式建立的最新版本。
1. 使用 [describe-ipam-prefix-list-resolver-targets](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-prefix-list-resolver-targets.html) 命令來監控解析程式目標同步狀態。
監控命令會顯示:
+ state– 目前同步狀態 (建立完成、修改完成等)
+ lastSyncedVersion – 上次成功同步的版本
+ desiredVersion – 要同步的目標版本
+ stateMessage – 同步失敗時的錯誤詳細資訊
------
**重要**
為了支援轉返工作流程,IPAM 會為每個目標保留先前 10 個字首清單解析程式版本的副本;此外,如果超過此閾值的版本保留 7 天,IPAM 將會刪除這些版本。
### 步驟 4:(選用) 啟用和停用 IPAM 字首清單同步
如果受管字首清單已設定為 IPAM 字首清單目標,而且您想要變更字首清單,而不需要存取 IPAM 字首清單解析程式目標的許可,您可以[修改受管字首清單](https://docs.aws.amazon.com/vpc/latest/userguide/work-with-cust-managed-prefix-lists.html#modify-managed-prefix-list),並停用與 IPAM 字首清單解析程式的同步。停用後,字首清單 CIDR 不會自動更新,您可以對其進行變更。啟用後,字首清單 CIDR 會根據相關聯的解析程式 CIDR 選取規則自動更新。
# 變更 VPC CIDR 的監控狀態
請依照本節中的步驟,變更 VPC CIDR 的監控狀態。如果您不希望 IPAM 管理或監控 VPC 並允許配置給 VPC 的 CIDR 可供使用,您可能希望將 VPC CIDR 從「已監控」變更為「已忽略」。如果您希望 IPAM 管理和監控 VPC CIDR,可能會想要將 VPC CIDR 從「已忽略」變更為「已監控」。
**注意**
您無法忽略公有範圍中的 VPC CIDR。
如果忽略 CIDR,您仍需支付 CIDR 中作用中 IP 地址的費用。如需詳細資訊,請參閱[IPAM 定價](pricing-ipam.md)。
如果忽略 CIDR,您仍然可以在 CIDR 中檢視 IP 地址的記錄。如需詳細資訊,請參閱[檢視 IP 位址歷程記錄](view-history-cidr-ipam.md)。
您可以將 VPC CIDR 的監控狀態變更為「已監控」或「已忽略」:
+ **Monitored** (已監控):IPAM 已偵測到 VPC CIDR,並正在監控是否與其他 CIDR 重疊和符合配置規則。
+ **Ignored** (已忽略):VPC CIDR 已被選擇為免於監控。不會評估已忽略的 VPC CIDR 是否與其他 CIDR 重疊或符合配置規則。若選擇忽略 VPC CIDR,從 IPAM 集區配置給該資源的任何空間都會傳回至集區,而且不會透過自動匯入再次將該 VPC CIDR 匯入 (如果已設定集區的自動匯入配置規則)。
------
#### [ AWS Management Console ]
**變更配置給 VPC 之 CIDR 的監控狀態**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中,選擇 **Resources** (資源)。
1. 請從內容窗格最上方的下拉式選單中選擇您要使用的私有範圍。
1. 在內容窗格中,選擇 VPC 並檢視該 VPC 的詳細資訊。
1. 在 **VPC CIDR** 下,選取配置給 VPC 的其中一個 CIDR,然後選擇**動作** > **標記為已忽略**或**取消標記為已忽略**。
1. 選擇 **Mark as ignored** (標記為已忽略) 或 **Unmark as ignored** (取消標記為已忽略)。
------
#### [ Command line ]
使用下列 AWS CLI 命令來變更 VPC CIDR 的監控狀態:
1. 取得範圍 ID:[describe-ipam-scopes](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-pools.html)
1. 檢視 VPC CIDR 的目前監控狀態:[get-ipam-resource-cidrs](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-resource-cidrs.html)
1. 變更 VPC CIDR 的狀態:[modify-ipam-resource-cidr](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-ipam-resource-cidr.html)
1. 檢視 VPC CIDR 新的監控狀態:[get-ipam-resource-cidrs](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-resource-cidrs.html)
------
# 建立其他範圍
請依照本節中的步驟來建立其他的範圍。
範圍是 IPAM 內最高層級的容器。建立 IPAM 時,IPAM 會為您建立兩個預設範圍。每個範圍代表單一網路的 IP 空間。私有範圍適用於所有私有空間。公有範圍適用於所有公有空間。範圍可讓您在多個未連線的網路上重複使用 IP 地址,而不會造成 IP 地址重疊或衝突。
建立 IPAM 時,會為您建立預設範圍 (一個私有和一個公有)。您可建立其他的私有範圍。您無法建立其他的公有範圍。
如果您需要支援多個中斷連線的私有網路,您可以建立其他的私有範圍。其他私有範圍可允許您建立集區,並管理使用相同 IP 空間的資源。
**重要**
如果 IPAM 發現具有私有 IPv4 或私有 IPv6 CIDR 的資源,則資源 CIDR 會匯入預設的私有範圍,而且不會出現在您建立的任何其他私有範圍中。您可以將 CIDR 從預設的私有範圍移至另一個私有範圍。如需相關資訊,請參閱 [在各範圍之間移動 VPC CIDR](move-resource-ipam.md)。
------
#### [ AWS Management Console ]
**建立其他私有範圍**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中,選擇 **Scopes** (範圍)。
1. 選擇 **Create scope** (建立範圍)。
1. 選擇您要新增範圍的 IPAM。
1. 新增範圍的描述。
1. 選擇 **Create scope** (建立範圍)。
1. 您可以在導覽窗格中選擇 **Scopes** (範圍) 來檢視 IPAM 中的範圍。
------
#### [ Command line ]
本節中的命令與《AWS CLI 命令參考》**連結。本文件旨在詳細說明執行命令時可使用的選項。
使用下列 AWS CLI 命令來建立額外的私有範圍:
1. 檢視目前的範圍:[describe-ipam-scopes](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-scopes.html)
1. 建立新的私有範圍:[create-ipam-scope](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-ipam-scope.html)
1. 檢視您目前的範圍以檢視新的範圍:[describe-ipam-scopes](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-scopes.html)
------
# 刪除 IPAM
如果不再需要 IPAM、需要重組 IP 位址管理,或者想要開始使用新的 IPAM 組態,您可能想要刪除 IPAM。刪除 IPAM 有助於簡化 IP 位址管理,並滿足不斷變化的業務或營運需求。
請依照本節中的步驟來刪除 IPAM。如需有關增加可擁有的 IPAM 預設數量而非刪除現有 IPAM 的資訊,請參閱 [IPAM 的配額](quotas-ipam.md)。
**注意**
若刪除 IPAM,會移除與 IPAM 相關聯的所有監控資料,包括 CIDR 的歷史資料。
------
#### [ AWS Management Console ]
**刪除 IPAM**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中,選擇 **IPAMs**。
1. 在內容窗格中,選取 IPAM。
1. 選擇 **Actions** (動作) > **Delete IPAM** (刪除 IPAM)。
1. 執行以下任意一項:
+ 選擇 **Cascade delete** (串聯刪除) 刪除 IPAM、私有範圍、私有範圍中的集區,以及私有範圍中集區的任何分配。如果您的公有範圍中存在集區,則無法使用此選項刪除 IPAM。如果使用此選項,則 IPAM 會執行以下操作:
+ 在私有範圍的集區中取消分配已分配給 VPC 資源 (如 VPC) 的所有 CIDR。
**注意**
啟用此選項後,不會刪除任何 VPC 資源。與資源關聯的 CIDR 將不再從 IPAM 集區中分配,但 CIDR 本身會保持不變。
+ 取消佈建已佈建至私有範圍中 IPAM 集區的所有 IPv4 CIDR。
+ 刪除私有範圍中的所有 IPAM 集區。
+ 刪除 IPAM 中的所有非預設私有範圍。
+ 刪除預設公有和私有範圍以及 IPAM。
+ 在刪除 IPAM 前,如果沒有選擇 **Cascade delete** (串聯刪除) 核取方塊,則您必須執行下列操作:
+ 釋出 IPAM 集區內的配置。如需詳細資訊,請參閱 [釋出配置](release-alloc-ipam.md)。
+ 取消佈建已佈建至 IPAM 內集區的 CIDR。如需詳細資訊,請參閱[從集區解除佈建 CIDR](depro-pool-cidr-ipam.md)。
+ 刪除任何其他非預設範圍。如需詳細資訊,請參閱[刪除範圍](delete-scope-ipam.md)。
+ 刪除 IPAM 集區。如需詳細資訊,請參閱[刪除集區](delete-pool-ipam.md)。
1. 輸入 **delete**,然後選擇 **Delete** (刪除)。
------
#### [ Command line ]
本節中的命令與《AWS CLI 命令參考》**連結。本文件旨在詳細說明執行命令時可使用的選項。
使用下列 AWS CLI 命令來刪除 IPAM:
1. 檢視目前的 IPAM:[describe-ipams](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipams.html)
1. 刪除 IPAM:[delete-ipam](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-ipam.html)
1. 檢視已更新的 IPAM:[describe-ipam](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipams.html)
------
若要建立新 IPAM,請參閱 [建立 IPAM](create-ipam.md)。
# 刪除集區
中的 IPAM 集區 AWS 代表可在特定 AWS 環境或組織中配置和管理的已定義 IP 地址範圍。集區用於組織 IP 位址空間、啟用自動化 IP 位址管理,以及在整個雲端基礎設施中強制執行 IP 位址控管政策。
您可能想要刪除某個 IPAM 集區,以移除未使用的或不必要的 IP 位址空間,並將其回收以用於其他目的。如果 IP 地址集區中有配置,則無法刪除 IP 地址集區。您必須先釋放配置和 [從集區解除佈建 CIDR](depro-pool-cidr-ipam.md),然後才能刪除集區。
請依照本節中的步驟來刪除 IPAM 集區。
------
#### [ AWS Management Console ]
**刪除集區**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中選擇 **Pools** (集區)。
1. 在內容窗格最上方的下拉式選單中,選擇想要使用的範圍。如需有關範圍的詳細資訊,請參閱 [IPAM 的運作方式](how-it-works-ipam.md)。
1. 在內容窗格中,選擇您要刪除其 CIDR 的集區。
1. 選擇 **Actions** (動作) > **Delete pool** (刪除集區集區)。
1. 輸入 **delete**,然後選擇 **Delete** (刪除)。
------
#### [ Command line ]
本節中的命令與《AWS CLI 命令參考》**連結。本文件旨在詳細說明執行命令時可使用的選項。
使用下列 AWS CLI 命令來刪除集區:
1. 檢視集區並取得 IPAM 集區 ID:[describe-ipam-pools](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-pools.html)
1. 刪除集區:[delete-ipam-pool](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-ipam-pool.html)
1. 檢視集區:[describe-ipam-pools](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-pools.html)
------
若要建立新集區,請參閱 [建立頂層 IPv4 集區](create-top-ipam.md)。
# 刪除範圍
如果某個 IPAM 範圍不再符合其預期目的 (例如當您重組網路、合併區域或調整 IP 位址配置時),您可能會想要刪除該範圍。刪除未使用的範圍有助於簡化 IPAM 組態,並最佳化 AWS中的 IP 位址管理。
**注意**
如果以下任一情況為真,則無法刪除範圍:
範圍是預設範圍。建立 IPAM 時,會自動建立兩個預設範圍 (一個公有、一個私有),且無法刪除。若要查看範圍是否為預設範圍,請檢視範圍詳細資訊中的 **Scope type** (範圍類型)。
範圍中有一或多個集區。您必須先 [刪除集區](delete-pool-ipam.md),然後才能刪除範圍。
------
#### [ AWS Management Console ]
**刪除範圍**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中,選擇 **Scopes** (範圍)。
1. 在內容窗格中,選擇您要刪除的範圍。
1. 選擇 **Actions** (動作) > **Delete scope** (刪除範圍)。
1. 輸入 **delete**,然後選擇 **Delete** (刪除)。
------
#### [ Command line ]
本節中的命令與《AWS CLI 命令參考》**連結。本文件旨在詳細說明執行命令時可使用的選項。
使用下列 AWS CLI 命令來刪除範圍:
1. 檢視範圍:[describe-ipam-scopes](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-scopes.html)
1. 刪除範圍:[delete-ipam-scope](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-ipam-scope.html)
1. 檢視更新的範圍:[describe-ipam-scopes](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-scopes.html)
------
若要建立新範圍,請參閱 [建立其他範圍](add-scope-ipam.md)。若要刪除 IPAM,請參閱 [刪除 IPAM](delete-ipam.md)。
# 從集區解除佈建 CIDR
您可能想要解除佈建集區 CIDR,以釋放 IP 位址空間、簡化 IP 位址管理、準備進行網路變更,或滿足合規要求。解除佈建集區 CIDR 可讓您在 IPAM 內更好地控制和最佳化 IP 位址配置,同時確保回收未使用的 IP 空間供日後使用。如果集區中有配置,則無法解除佈建 CIDR。若要移除配置,請參閱 [釋出配置](release-alloc-ipam.md)。
請依照本節中的步驟,從 IPAM 集區解除佈建 CIDR。當您取消佈建所有集區 CIDR 時,集區將無法再用於配置。您必須先將新的 CIDR 佈建至集區,才能使用集區進行配置。
------
#### [ AWS Management Console ]
**取消佈建集區 CIDR**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中選擇 **Pools** (集區)。
1. 在內容窗格最上方的下拉式選單中,選擇想要使用的範圍。如需有關範圍的詳細資訊,請參閱 [IPAM 的運作方式](how-it-works-ipam.md)。
1. 在內容窗格中,選擇您要取消佈建其 CIDR 的集區。
1. 選擇 **CIDRs** 索引標籤。
1. 選取一或多個 CIDR,然後選擇 **Deprovision CIDRs** (取消佈建 CIDR)。
1. 選擇 **Deprovision CIDR** (取消佈建 CIDR)。
------
#### [ Command line ]
本節中的命令與《AWS CLI 命令參考》**連結。本文件旨在詳細說明執行命令時可使用的選項。
使用下列 AWS CLI 命令來取消佈建集區 CIDR:
1. 取得 IPAM 集區 ID:[describe-ipam-pools](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-pools.html)
1. 檢視集區目前的 CIDR:[get-ipam-pool-cidrs](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-pool-cidrs.html)
1. 取消佈建 CIDR:[deprovision-ipam-pool-cidr](https://docs.aws.amazon.com/cli/latest/reference/ec2/deprovision-ipam-pool-cidr.html)
1. 檢視已更新的 CIDR:[get-ipam-pool-cidrs](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-pool-cidrs.html)
------
若要將新的 CIDR 佈建至集區,請參閱 [從集區解除佈建 CIDR](#depro-pool-cidr-ipam)。若要刪除集區,請參閱 [刪除集區](delete-pool-ipam.md)。
# 編輯 IPAM 集區
您可能想要編輯集區以執行下列其中一項作業:
+ 變更集區的配置規則。如需有關分配規則的詳細資訊,請參閱[建立頂層 IPv4 集區](create-top-ipam.md)。
+ 修改集區的名稱、說明或其他中繼資料,以改善 IPAM 中的組織和可見性。
+ 變更集區選項,例如自動匯入發現的資源,以最佳化 IPAM 的自動化 IP 位址管理。
請依照本節中的步驟來編輯 IPAM 集區。
------
#### [ AWS Management Console ]
**編輯集區**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中選擇 **Pools** (集區)。
1. 按預設,會選取預設的私有範圍。如果不想使用預設的私有範圍,請從內容窗格最上方的下拉式選單中選擇您要使用的範圍。如需有關範圍的詳細資訊,請參閱 [IPAM 的運作方式](how-it-works-ipam.md)
1. 在內容窗格中,選擇您要編輯其 CIDR 的集區。
1. 選擇 **Actions** (動作) > **Edit** (編輯)。
1. 對集區進行您需要的任何變更。如需集區組態選項的詳細資訊,請參閱 [建立頂層 IPv4 集區](create-top-ipam.md)。
1. 選擇 **Update** (更新)。
------
#### [ Command line ]
使用下列 AWS CLI 命令來編輯集區:
1. 取得 IPAM 集區 ID:[describe-ipam-pools](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-pools.html)
1. 修改集區:[modify-ipam-pool](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-ipam-pool.html)
------
# 啟用成本分配
啟用成本分配後,[作用中 IP 位址的費用](pricing-ipam.md)將分配給使用這些 IP 位址的帳戶,而不是 IPAM 擁有者。這對於委派 IPAM 管理員使用 IPAM 集中管理 IP 位址的大型組織很有用,每個帳戶都負責自己的使用量,因此不需要手動計算帳單費用。
在**計量模式**下[建立 IPAM](create-ipam.md) 或[修改 IPAM](mod-ipam-region.md) 時,可以使用成本分配選項,其中:
+ **IPAM 擁有者** (預設):擁有 IPAM 的 AWS 帳戶需為 IPAM 中管理的所有作用中 IP 位址付費。
+ **資源擁有者**:擁有 IP 位址的 AWS 帳戶需為作用中 IP 位址付費。
**要求**
+ 您的 IPAM 必須與 [AWS Organizations 整合](enable-integ-ipam.md)。
+ IPAM 必須由 AWS Organizations 中的委派 IPAM 管理員建立。
+ IPAM 的主要區域必須是預設啟用的區域,不能是[選擇加入區域](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-regions.html#regions-opt-in-status)。
**費用分配的運作方式**
+ 雖然您可以在組織內分配 IP 位址費用,但透過 [AWS Organizations 合併帳單](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/con-bill-blended-rates.html)功能,所有 IPAM 費用仍會合併到組織的付款人帳戶。
+ 啟用成本分配後,組織成員帳戶仍然可以在其帳戶帳單中檢視個別 IPAM 用量與費用。
+ 啟用成本分配後,IPAM ARN 會出現在個別帳戶帳單上,這讓資源擁有者可以追蹤其 IPAM 作用中 IP 用量。如果您使用 [AWS 資料匯出](https://docs.aws.amazon.com/cur/latest/userguide/what-is-data-exports.html),IPAM 費用會在合併帳戶帳單和個別帳戶帳單中與相關聯的 IPAM ARN 一起顯示。
+ 只有委派管理員組織內的帳戶才會被收取所擁有資源的費用。組織外部的 IP 位址費用會向 IPAM 擁有者收取。
**時間限制**
+ 啟用成本分配後,您有 24 小時可選擇退出。24 小時後將無法變更設定 7 天。7 天後可停用成本分配功能。
# 將 VPC IPAM 與 Infoblox 基礎設施整合
Amazon VPC IPAM 和 Infoblox 整合會將 AWS VPC IP Address Manager (IPAM) 與 [Infoblox](https://www.infoblox.com/) 連線,讓您能夠透過現有的 Infoblox 工作流程管理 AWS IP 地址,同時取得雲端原生 AWS 功能。
此整合解決了常見的企業挑戰:避免重複的 IP 管理系統。您可以指定 Infoblox 做為 VPC IPAM 範圍的管理授權單位,並繼續在所有 IP 地址操作中使用熟悉的 Infoblox 介面,而不是學習新工具 AWS 和維護個別的程序。
## 整合程序概觀
下列步驟提供完整整合程序的概觀:
1. **設定 IPAM 範圍** (本文件所述):Amazon VPC IPAM 委派管理員建立新的範圍,或修改現有範圍以使用 Infoblox 做為其外部授權。
1. **設定 Infoblox** (本文件外部說明):請參閱 [後續步驟](#infoblox-next-steps)。
1. **建立最上層集**區:Amazon VPC IPAM 委派管理員會在連結到 Infoblox 的範圍內建立集區。集區會從未指派 CIDR 開始。
1. **從外部授權機構佈建 CIDR**:Amazon VPC IPAM 委派管理員為集區佈建 CIDR。您可以請求任何可用的 CIDR (Infoblox 從允許的範圍中選擇) 或請求特定的 CIDR (Infoblox 根據可用性接受或拒絕)。IPAM 會自動與 Infoblox 協調,以取得和佈建核准的 CIDR。
1. **繼續進行標準 IPAM 操作**:使用標準 Amazon VPCs從配置的 CIDR 建立子集區和 VPC。
## 何時使用此整合
如果您已經使用或計劃使用 Infoblox 進行內部部署網路管理,並希望將現有的 IP 管理實務擴展到 , AWS 而無需維護單獨的系統,請使用此整合。
## 先決條件
在設定此整合之前,請確定您有:
+ **VPC IPAM 進階方案**:已在您的帳戶中啟用 AWS 。如需詳細資訊,請參閱 [VPC IPAM 進階方案](https://docs.aws.amazon.com/vpc/latest/ipam/mod-ipam-tier.html)。
+ **必要的 IAM 許可**:如下所列
+ **Infoblox 資源識別符**:來自 Infoblox 管理員
## Infoblox 的 IAM 角色
為要擔任的 Infoblox 主體建立 IAM 角色,或使用現有角色。此角色需要這些許可:
+ `ec2:DescribeIpamPools`
+ `ec2:DescribeIpams`
+ `ec2:DescribeIpamScopes`
+ `ec2:GetIpamPoolAllocations`
+ `ec2:GetIpamPoolCidrs`
+ `ec2:GetIpamResourceCidrs`
如需如何將這些許可新增至 IAM 角色或政策的說明,請參閱《[IAM 使用者指南》中的新增和移除 IAM 身分許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。 **
**注意**
除了啟用此整合所需的這些許可之外,Infoblox 可能需要 VPC IPAM 探索的許可。
## 在 VPC IPAM 中設定 Infoblox 整合
您可以在 AWS VPC IPAM 主控台或 中建立或修改範圍時啟用 Infoblox 整合 AWS CLI。
**重要**
Infoblox 整合僅適用於私有範圍,不適用於公有範圍。
### 使用 Infoblox 整合建立新範圍
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **IPAM**,然後選擇**範圍**。
1. 選擇 **Create scope** (建立範圍)。
1. 對於**範圍設定**,請執行下列動作:
+ **IPAM ID** 會自動填入。
+ (選用) 針對**名稱標籤**,輸入範圍的名稱。
+ (選用) 針對**描述**,輸入範圍的描述。
1. 針對**範圍授權**單位,選擇 **Infoblox IPAM**。
1. 針對 **Infoblox 資源識別符**,以 格式輸入 Infoblox 資源識別符`.identity.account..`。
1. 確認您具有資訊方塊中顯示的所需 IAM 許可。
1. 選擇 **Create scope** (建立範圍)。
此的相關 AWS CLI 命令是 [create-ipam-scope](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-ipam-scope.html)。
### 修改現有範圍
若要將現有範圍的範圍授權機構從 **Amazon VPC IPAM** 變更為 **Infoblox IPAM**,請編輯範圍設定,並遵循先前程序中相同的組態步驟。
此的相關 AWS CLI 命令是 [modify-ipam-scope](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-ipam-scope.html)。
## 後續步驟
如此即完成整合所需的 Amazon VPC IPAM 組態。設定範圍授權機構後,您可以在範圍內建立頂層 IPAM 集區。如需詳細資訊,請參閱[建立頂層 IPv4 集區](create-top-ipam.md)。
整合還需要設定 Infoblox 來源集區、驗證探索任務狀態、設定由 Infoblox 管理的私有範圍、啟用 Amazon VPC IPAM 的 Infoblox 管理,以及從 Infoblox 整合或直接從 Infoblox 入口網站建立集區。
如需有關整合的 Infoblox 端的資訊,請參閱 Infoblox 文件中的 *AWS IPAM 整合使用者指南*。
# 啟用佈建私有 IPv6 GUA CIDR
如果您希望私有網路支援 IPv6,且無意將流量從這些位址路由到網際網路,可以將私有 IPv6 ULA 或 GUA 範圍佈建至私有範圍內的 IPAM 集區。
如需有關私有 IPv6 定址的重要詳細資訊,請參閱*《Amazon VPC 使用者指南》*中的[私有 IPv6 地址](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#vpc-ipv6-addresses-private)。
私有 IPv6 地址有兩種類型:
+ **IPv6 ULA 範圍**:[RFC4193](https://datatracker.ietf.org/doc/html/rfc4193) 中定義的 IPv6 地址。這些位址範圍一律以 “fc” 或 “fd” 開頭,以便它們易於識別。有效的 IPv6 ULA 空間為 fd00::/8 下不與 Amazon 保留範圍 fd00::/16 重疊的任何空間。
+ **IPv6 GUA 範圍**:[RFC3587](https://datatracker.ietf.org/doc/html/rfc3587) 中定義的 IPv6 地址。使用 IPv6 GUA 範圍做為私有 IPv6 地址的選項預設為停用,必須先啟用才能使用。
若要使用 IPv6 ULA 位址範圍,請在將 CIDR 佈建至 IPAM 集區時選擇 IPv6 選項,然後輸入 IPv6 ULA 範圍。不過,若要使用您自己的 IPv6 GUA 範圍做為私有 IPv6 地址,您必須先完成本節中的步驟。依預設,此選項為停用。
**注意**
當您使用私有 IPv6 GUA 範圍時,您需要使用自己擁有的 IPv6 GUA 範圍。
IPAM 會發現使用 IPv6 ULA 和 GUA 地址的資源,並監控集區是否有重疊的 IPv6 ULA 和 GUA 地址空間。
如果想要從使用私有 IPv6 地址的資源連線至網際網路,您雖然可以連線,但必須透過另一個子網路中的資源路由流量,並使用公有 IPv6 地址來完成。
如果您的私有 IPv6 GUA 範圍已配置給 VPC,則無法使用與相同 VPC 中的私有 IPv6 GUA 空間重疊的公有 IPv6 GUA 空間。
支援使用私有 IPv6 ULA 和 GUA 地址範圍的資源之間的通訊 (例如跨 Direct Connect、VPC 互連、轉換閘道或 VPN 連接)。
私有 GUA IPv6 範圍無法轉換為公開公告的 IPv6 GUA 範圍。
------
#### [ AWS Management Console ]
**啟用佈建私有 IPv6 GUA CIDR**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中,選擇 **IPAMs**。
1. 選擇 IPAM,然後選擇 **動作** > **編輯**。
1. 在 **私有 IPv6 GUA CIDR** 下,選擇 **啟用將 GUA CIDR 空間佈建至私有 IPv6 IPAM 集區**。
1. 選擇**儲存變更**。
------
#### [ Command line ]
本節中的命令與 *AWS CLI Command Reference* 連結。本文件旨在詳細說明執行命令時可使用的選項。
使用以下 AWS CLI 命令來啟用佈建私有 IPv6 GUA CIDR:
1. 使用 [describe-ipams](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipams.html) 檢視目前的 IPAM
1. 使用 [modify-ipam](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-ipam.html) 修改 IPAM,並將選項納入 `enable-private-gua`。
------
啟用此選項以佈建私有 IPv6 GUA CIDR 後,您可以將私有 IPv6 GUA CIDR 佈建至集區。如需更多詳細資訊,請參閱 [佈建集區的 CIDR](prov-cidr-ipam.md)。
# 使用 SCP 強制使用 IPAM 建立 VPC
**注意**
本節僅適用於已啟用 IPAM 與 整合的情況 AWS Organizations。如需詳細資訊,請參閱[將 IPAM 與 AWS Organizations 中的帳戶整合](enable-integ-ipam.md)。
本節說明如何在 中建立服務控制政策 AWS Organizations ,要求組織中的成員在建立 VPC 時使用 IPAM。服務控制政策 (SCP) 是一種組織政策類型,可用來管理組織中的許可。如需詳細資訊,請參閱《AWS Organizations 使用者指南》中的[服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
## 強制使用 IPAM 建立 VPC
請依照本節中的步驟來要求組織中的成員使用 IPAM 建立 VPC。
**建立 SCP 並限制為使用 IPAM 建立 VPC**
1. 請遵循 *AWS Organizations User Guide* 中的 [Create a service control policy](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_create.html#create-an-scp) 的步驟進行操作,在 JSON 編輯器中輸入以下文字:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Deny",
"Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
"Resource": "arn:aws:ec2:*:*:vpc/*",
"Condition": {
"Null": {
"ec2:Ipv4IpamPoolId": "true"
}
}
}]
}
```
------
1. 將政策連接至組織中的一個或多個組織單位。如需詳細資訊,請參閱《AWS Organizations 使用者指南**》中的[連接政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_attach.html)與[分離政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_detach.html)。
## 強制使用 IPAM 集區建立 VPC
請依照本節中的步驟來要求組織中的成員使用特定 IPAM 集區建立 VPC。
**建立 SCP 並限制為使用 IPAM 集區建立 VPC**
1. 請遵循 *AWS Organizations User Guide* 中的 [Create a service control policy](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_create.html#create-an-scp) 的步驟進行操作,在 JSON 編輯器中輸入以下文字:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Deny",
"Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
"Resource": "arn:aws:ec2:*:*:vpc/*",
"Condition": {
"StringNotEquals": {
"ec2:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg"
}
}
}]
}
```
------
1. 將 `ipam-pool-0123456789abcdefg` 範例值變更為您想要限制使用者存取的 IPv4 集區 ID。
1. 將政策連接至組織中的一個或多個組織單位。如需詳細資訊,請參閱《AWS Organizations 使用者指南**》中的[連接政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_attach.html)與[分離政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_detach.html)。
## 針對指定 OU 清單以外的所有 OU 強制執行 IPAM
請遵循本節中的步驟,針對指定組織單位 (OU) 清單以外的所有 OU 強制執行 IPAM。本節所述的政策需要組織中OUs,但您在 中指定的 OUs 除外,`aws:PrincipalOrgPaths`才能使用 IPAM 來建立和展開 VPCs。列出的 OU 可以在建立 VPC 時使用 IPAM,或手動指定 IP 地址範圍。
**針對指定 OU 清單以外的所有 OU 建立 SCP 並強制執行 IPAM**
1. 請遵循 *AWS Organizations User Guide* 中的 [Create a service control policy](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_create.html#create-an-scp) 的步驟進行操作,在 JSON 編輯器中輸入以下文字:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Deny",
"Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
"Resource": "arn:aws:ec2:*:*:vpc/*",
"Condition": {
"Null": {
"ec2:Ipv4IpamPoolId": "true"
},
"ForAnyValue:StringNotLike": {
"aws:PrincipalOrgPaths": [
"o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/",
"o-a1b2c3d4e5/r-ab12/ou-ab13-22222222/ou-ab13-33333333/"
]
}
}
}]
}
```
------
1. 移除範例值 (例如 `o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/`),並新增您想要有使用 IPAM 選項 (但不需要) 之 OUs 的 AWS Organizations 實體路徑。如需實體路徑的詳細資訊,請參閱《*IAM 使用者指南*》中的[了解 AWS Organizations 實體路徑](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed-view-data-orgs.html#access_policies_last-accessed-viewing-orgs-entity-path)和 [aws:PrincipalOrgPaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths)。
1. 將此政策連接至組織根目錄。如需詳細資訊,請參閱《AWS Organizations 使用者指南》**中的[連接政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_attach.html)與[分離政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_detach.html)。
# 從 IPAM 排除組織單位
如果您的 IPAM 已與 AWS Organizations 整合,您可以排除由 IPAM 管理[的組織單位 (OU)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#organizationalunit)。排除組織單位後,IPAM 就不會管理該組織單位帳戶中的 IP 位址。此功能可讓您更靈活地使用 IPAM。
您可以透過以下方式使用 OU 排除:
+ **為業務的特定部分啟用 IPAM**:如果您在 AWS Organizations 中多個業務部門或子公司,您現在可以只為需要的部門使用 IPAM。
+ **保持沙盒帳戶分離**:您可以將沙盒帳戶排除在 IPAM 之外,只專注於對 IP 管理真正重要的帳戶。
## OU 排除的運作方式
本節中的圖表示範了在 IPAM 中新增組織單位排除的兩個使用案例。
第一個圖表顯示僅在父級 OU 上新增組織單位 (OU) 排除的影響。結果是,IPAM 不會管理父級 OU 中帳戶的 IP 位址。IPAM 會管理其他不在排除範圍內的 OU 中帳戶的 IP 位址。
![\[父級 OU 上的 OU 排除圖表\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/ipam-ou-1.png)
第二個圖表顯示在父級 OU *和*所有子級 OU 上新增組織單位 (OU) 排除的影響。結果是,IPAM 不會管理父級 OU 中帳戶的 IP 位址,也不會管理任何子級 OU 中帳戶的 IP 位址。IPAM 仍然會管理不在排除範圍內的其他 OU 中帳戶的 IP 位址。
![\[父級 OU 和所有子級 OU 上的 OU 排除圖表。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/ipam/images/ipam-ou-2.png)
## 新增或移除 OU 排除
完成本節中的步驟,以新增或移除 OU 排除。
**注意**
即使委派的 IPAM 管理帳戶位於已排除的 OU 中,也不會被排除。
您的 IPAM 必須與 整合 AWS Organizations ,才能新增 OU 排除。組織中必須有 OU。
您必須是委派 IPAM 管理員,才能檢視、新增或移除 OU 排除。
IPAM 需要一些時間來發現最近建立的組織單位。
每次資源發現會有一個預設配額,限制您能夠新增的排除數量。如需詳細資訊,請參閱 [IPAM 的配額](quotas-ipam.md)中*每個資源發現的組織單位排除*。
如果您[將資源探索共享給另一個帳戶](res-disc-work-with-share.md),則該帳戶可以看到與資源發現相關的組織單位排除,並能查看其中包含的資源發現擁有者的組織 ID、根 ID 以及組織單位 ID 等資訊。
------
#### [ AWS Management Console ]
**新增或移除 OU 排除**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中,選擇**尋找探索**。
1. 選擇預設資源發現。
1. 選擇**編輯**。
1. 在 **組織單位排除** 下,執行以下操作:
+ **新增 OU 排除**:
+ 如果要排除 OU 及其所有子級 OU:
+ 在資料表中尋找 OU,然後選取核取方塊。系統會自動選取所有子級 OU。
+ 如果只想要排除父級 OU 帳戶:
+ 在資料表中尋找 OU,然後選取核取方塊。系統會自動選取所有子級 OU。取消選取所有子級 OU。
+ 或者,您可以使用**動作**欄來僅選取父級 OU,或父級和子級 OU:
+ **選取所有子級 OU**:在排除範圍中包含所有子級 OU。選擇一個 OU 之後,該 OU 會被顯示在畫面上。每個 OU 都包含該 OU 排除的 ID 和[實體路徑](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_last-accessed-view-data-orgs.html#access_policies_last-accessed-viewing-orgs-entity-path)。
+ **僅選取此 OU**:在排除範圍中僅包含此 OU。選擇一個 OU 之後,該 OU 會被顯示在畫面上。每個 OU 都包含該 OU 排除的 ID 和[實體路徑](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_last-accessed-view-data-orgs.html#access_policies_last-accessed-viewing-orgs-entity-path)。
+ **複製組織單位實體路徑**:視需要複製要使用的組織實體路徑。
+ 如果您已經知道 AWS Organizations 實體路徑,或想要建置它:
+ 選擇 **輸入組織單位排除**,然後輸入 OU 排除的[實體路徑](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_last-accessed-view-data-orgs.html#access_policies_last-accessed-viewing-orgs-entity-path)。使用 AWS Organizations ID 建立 OU 路徑,並以 `/` 分隔。若要包含所有子級 OU,請將路徑結尾加上 `/*`。
+ 範例 1
+ 子級 OU 的路徑:`o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/`
+ 在此範例中,`o-a1b2c3d4e5` 是組織 ID,`r-f6g7h8i9j0example` 是根 ID,`ou-ghi0-awsccccc` 是組織單位 ID,`ou-jkl0-awsddddd` 是子組織單位 ID。
+ IPAM 不會管理子級 OU 中帳戶的 IP 位址。
+ 範例 2
+ 所有子級 OU 都包含在排除範圍內的路徑:`o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*`
+ 在此範例中,IPAM 不會管理 OU (`ou-ghi0-awsccccc`) 中帳戶的 IP 位址,也不會管理任何其子級 OU 中帳戶的 IP 位址。
+ **移除 OU 排除**:
+ 選擇已新增的 OU 旁的 **X**。OU ID 後的 `/*` 表示它是父級 OU,並且其子級 OU 在排除範圍內。
1. 選擇**儲存變更**。
------
#### [ Command line ]
本節中的命令與《AWS CLI 命令參考》**連結。本文件旨在詳細說明執行命令時可使用的選項。
1. 使用 [describe-ipam-resource-discoveries](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-ipam-resource-discoveries.html) 查看資源發現詳細資訊,以取得預設資源發現的 ID 供後續步驟使用。
輸入:
```
aws ec2 describe-ipam-resource-discoveries
```
輸出:
```
{
"IpamResourceDiscoveries": [
{
"OwnerId": "111122223333",
"IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",
"IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",
"IpamResourceDiscoveryRegion": "us-east-1",
"OperatingRegions": [
{
"RegionName": "us-east-1"
},
{
"RegionName": "us-west-1"
},
{
"RegionName": "us-west-2"
}
],
"IsDefault": true,
"State": "modify-complete",
"Tags": []
}
]
}
```
1. 使用 [modify-ipam-resource-discovery](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/modify-ipam-resource-discovery.html) 以及 `--add-organizational-unit-exclusions` 或 `--remove-organizational-unit-exclusions` 選項,在資源發現中新增或移除組織單位排除。您需要輸入 AWS Organizations 實體路徑。使用以 分隔 AWS 的組織 IDs 來建置 OU 的路徑 (OU)`/`。若要包含所有子級 OU,請將路徑結尾加上 `/*`。無法在新增或移除參數中多次包含相同的實體路徑。
+ 範例 1
+ 子級 OU 的路徑:`o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/`
+ 在此範例中,`o-a1b2c3d4e5` 是組織 ID,`r-f6g7h8i9j0example` 是根 ID,`ou-ghi0-awsccccc` 是組織單位 ID,`ou-jkl0-awsddddd` 是子組織單位 ID。
+ IPAM 不會管理子級 OU 中帳戶的 IP 位址。
+ 範例 2
+ 所有子級 OU 都包含在排除範圍內的路徑:`o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*`
+ 在此範例中,IPAM 不會管理 OU (`ou-ghi0-awsccccc`) 中帳戶的 IP 位址,也不會管理任何其子級 OU 中帳戶的 IP 位址。
**注意**
產生的排除項目集不得「重疊」,這表示兩個或多個組織單位排除項目不得排除相同的組織單位。
**非重疊實體路徑的範例:**
路徑 1 ="o-1/r-1/ou-1/"
路徑 2 ="o-1/r-1/ou-1/ou-2/"
這些路徑不重疊,因為路徑 1 僅排除 ou-1 下的帳戶,而路徑 2 僅排除 ou-2 下的帳戶。
**重疊實體路徑的範例:**
路徑 1 ="o-1/r-1/ou-1/\$1"
路徑 2 ="o-1/r-1/ou-1/ou-2/"
這些路徑重疊,因為路徑 1 同時代表 "o-1/r-1/ou-1/" 和 "o-1/r-1/ou-1/ou-2/",而 "o-1/r-1/ou-1/ou-2/" 與路徑 2 重疊。
輸入:
```
aws ec2 modify-ipam-resource-discovery \
--ipam-resource-discovery-id ipam-res-disco-1234567890abcdef0 \
--add-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*' \
--remove-organizational-unit-exclusions OrganizationsEntityPath='o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/' \
--region us-east-1
```
輸出:
```
{
"IpamResourceDiscovery": {
"OwnerId": "111122223333",
"IpamResourceDiscoveryId": "ipam-res-disco-1234567890abcdef0",
"IpamResourceDiscoveryArn": "arn:aws:ec2::111122223333:ipam-resource-discovery/ipam-res-disco-1234567890abcdef0",
"IpamResourceDiscoveryRegion": "us-east-1",
"OperatingRegions": [
{
"RegionName": "us-east-1"
}
],
"IsDefault": false,
"State": "modify-in-progress",
"OrganizationalUnitExclusions": [
{
"OrganizationsEntityPath": "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/*"
}
]
}
}
```
------
# 修改 IPAM 方案
IPAM 提供兩種方案:免費方案和進階方案。切換到 Amazon VPC IP 位址管理員的進階方案可讓您更精細地控制 IP 位址管理。隨著網路複雜性的增加,這會有所助益,讓您更好地最佳化和管理 IP 位址空間。如需免費方案中的可用功能以及進階方案關聯成本的詳細資訊,請參閱 [Amazon VPC 定價頁面](https://aws.amazon.com//vpc/pricing/)中的 IPAM 索引標籤。
**注意**
在可以從進階方案切換至免費方案之前,必須:
刪除私有範圍集區。
刪除非預設的私有範圍。
刪除地區設定不同於 IPAM 主區域的集區。
刪除非預設資源探索關聯。
刪除非 IPAM 擁有者帳戶的集區配置。
------
#### [ AWS Management Console ]
**修改 IPAM 方案**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中,選擇 **IPAMs**。
1. 在內容窗格中,選取 IPAM。
1. 選擇 **Actions** (動作) > **Edit** (編輯)。
**注意**
如果您使用的是免費方案,您會看到**預估 IPAM 作用中 IP 總數為…**。
如果從免費方案切換到進階方案,則作用中 IP 總計數即為 IPAM 中需要支付費用的作用中 IP 位址的數量。作用中的 IP 位址是指與附加到 EC2 執行個體等資源的彈性網絡介面 (ENI) 關聯的 IP 位址或字首。
此指標僅適用於免費方案客戶。
如果您的 IPAM [已與 AWS Organizations 整合](enable-integ-ipam.md),則作用中 IP 計數會涵蓋所有 Organization 帳戶。
您無法依 IP 類型 (公有/私有) 或類別 (IPv4/IPv6) 檢視作用中 IP 計數的明細。
IPAM 只計算由受監控帳戶擁有的 ENI 中的 IP 位址數量。共用子網路的計數可能不準確。如果 IPAM 未涵蓋子網路擁有者或 ENI 擁有者,則 IP 位址會被排除在外。
1. 選擇要用於 IPAM 的 **IPAM tier** (IPAM 方案)。
1. 選擇**儲存變更**。
------
#### [ Command line ]
本節中的命令與《AWS CLI 命令參考》**連結。本文件旨在詳細說明執行命令時可使用的選項。
使用下列 AWS CLI 命令來檢視和修改 IPAM 層:
1. 檢視目前的 IPAM:[describe-ipams](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipams.html)
1. 修改 IPAM 方案:[modify-ipam](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-ipam.html)
1. 檢視已更新的 IPAM:[describe-ipam](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipams.html)
------
# 修改 IPAM 作業區域
操作區域是允許 IPAM 管理 IP 地址 CIDRs AWS 的區域。IPAM 只會探索和監控您選取做為操作 AWS 區域的區域中的資源。
將操作區域新增至 IPAM 可讓您管理跨多個 AWS 區域的 IP 地址空間。這可以改善 IP 位址利用率、實現區域分割,並支援地理分散式基礎設施。擴充 IPAM 的區域範圍可為您的整體 IP 位址管理提供更高的靈活性和更大的控制力。
------
#### [ AWS Management Console ]
**修改 IPAM 作業區域**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中,選擇 **IPAMs**。
1. 在內容窗格中,選取 IPAM。
1. 選擇 **Actions** (動作) > **Edit** (編輯)。
1. 在 **IPAM settings** (IPAM 設定) 下,選擇要用於 IPAM 的 **Operating Regions** (作業區域)。
1. 選擇**儲存變更**。
------
#### [ Command line ]
本節中的命令與《AWS CLI 命令參考》**連結。本文件旨在詳細說明執行命令時可使用的選項。
使用下列 AWS CLI 命令來檢視和修改 IPAM 作業系統區域:
1. 檢視目前的 IPAM:[describe-ipams](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipams.html)
1. 新增或移除 IPAM 作業區域:[modify-ipam](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-ipam.html)
1. 檢視已更新的 IPAM:[describe-ipam](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipams.html)
------
# 佈建集區的 CIDR
請依照本節中的步驟來佈建集區 的 CIDR。如果在建立集區時已佈建 CIDR,則可能需要在集區已將近全數配置完畢時佈建其他 CIDR。若要監控集區使用情況,請參閱 [使用 IPAM 儀表板監控 CIDR 使用情況](monitor-cidr-usage-ipam.md)。
**注意**
本使用者指南和 IPAM 主控台中不時會使用*佈建*和*配置*等專有名詞。*佈建*是指在 IPAM 集區中新增 CIDR。將 IPAM 集區中的 CIDR 與 VPC 或彈性 IP 地址建立關聯時,會使用*配置*。
------
#### [ AWS Management Console ]
**佈建集區的 CIDR**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中選擇 **Pools** (集區)。
1. 按預設,會選取預設的私有範圍。如果不想使用預設的私有範圍,請從內容窗格最上方的下拉式選單中選擇您要使用的範圍。如需有關範圍的詳細資訊,請參閱 [IPAM 的運作方式](how-it-works-ipam.md)。
1. 在內容窗格中,選擇您要在哪個集區中新增 CIDR。
1. 選擇 **Actions** (動作) > **Provision CIDRs** (佈建 CIDR)。
1. 執行以下任意一項:
+ 如果您要將 CIDR 佈建至公有範圍內的集區,請輸入 **網路遮罩**。
+ 如果您要將 CIDR 佈建至私有範圍內的 IPv4 集區,請輸入 **CIDR**。
+ 如果您要將 CIDR 佈建至私有範圍內的 IPv6 集區,請注意下列事項:
+ 如需有關私有 IPv6 定址的重要詳細資訊,請參閱*《Amazon VPC 使用者指南》*中的[私有 IPv6 地址](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#vpc-ipv6-addresses-private)。
+ 若要使用私有 IPv6 ULA 範圍,請在**佈建的 CIDR** 下,選擇**透過網路遮罩新增 ULA CIDR**,然後選擇網路遮罩大小,或選擇**輸入私有 IPv6 CIDR** 並輸入 ULA 範圍。私有 IPv6 ULA 的有效範圍為 /9 到 /60,開頭為 fd80::/9。
+ 若要使用私有 IPv6 GUA 範圍,您必須先在 IPAM 上啟用此選項 (請參閱[啟用佈建私有 IPv6 GUA CIDR](enable-prov-ipv6-gua.md))。啟用私有 IPv6 GUA CIDRs 後,請在 **輸入私有 IPv6 CIDR** 中輸入 IPv6 GUA。
**注意**
依預設,您可以將 Amazon 提供的一個 IPv6 CIDR 區塊新增至區域集區。如需有關提高預設限制的資訊,請參閱 [IPAM 的配額](quotas-ipam.md)。
您要佈建的 CIDR 必須在該範圍內可用。
如果您要在集區內佈建該集區的 CIDR,則您要佈建的 CIDR 空間必須在該集區中可用。
1. 選擇 **Provision** (佈建)。
1. 在 IPAM 中檢視 CIDR 的方法是選擇導覽窗格中的 **Pools** (集區)、選擇一個集區,然後檢視該集區的 CIDR 索引標籤。
------
#### [ Command line ]
本節中的命令與《AWS CLI 命令參考》**連結。本文件旨在詳細說明執行命令時可使用的選項。
使用下列 AWS CLI 命令將 CIDRs佈建至集區:
1. 取得 IPAM 集區 ID:[describe-ipam-pools](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-pools.html)
1. 取得佈建至集區的 CIDR:[get-ipam-pool-cidrs](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-pool-cidrs.html)
1. 在集區中佈建新的 CIDR:[provision-ipam-pool-cidr](https://docs.aws.amazon.com/cli/latest/reference/ec2/provision-ipam-pool-cidr.html)
1. 取得佈建至集區的 CIDR 並檢視新的 CIDR:[get-ipam-pool-cidrs](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-pool-cidrs.html)
------
# 在各範圍之間移動 VPC CIDR
透過將 CIDR 在不同範圍之間移動,您可以最佳化 IP 位址配置、依區域進行組織、區隔顧慮、強制執行合規性,並適應基礎設施變更。隨著工作負載的演進,這種靈活性有助於高效管理 IP 位址空間。
請依照本節中的步驟,將某個範圍內的 VPC CIDR 移至另一個範圍內。
**重要**
您僅能移動 VPC CIDR。當您移動 VPC CIDR 時,VPC 的子網路 CIDR 也會自動移動。
僅能將 VPC CIDR 從某個私有範圍移至另一個。無法將 VPC CIDR 從公有範圍移至私有範圍或從私有範圍移至公有範圍。
相同的 AWS 帳戶必須擁有這兩個範圍。
如果 VPC CIDR 目前從私有範圍中的集區配置,則移動請求成功,但在您從目前集區釋出 VPC CIDR 配置之前,不會移動 VPC CIDR。如需有關釋出配置的資訊,請參閱[釋出配置](https://docs.aws.amazon.com/vpc/latest/ipam/release-alloc-ipam.html)。
------
#### [ AWS Management Console ]
**如何移動配置給某個 VPC 的 CIDR**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中,選擇 **Resources** (資源)。
1. 在內容窗格最上方的下拉式選單中,選擇想要使用的範圍。
1. 在內容窗格中,選擇某個 VPC 並檢視該 VPC 的詳細資訊。
1. 在 **VPC CIDR** 底下,選取配置給該資源的其中一個 CIDR,然後選擇 **Actions** (動作) > **Move CIDR to different scope** (將 CIDR 移至其他範圍)。
1. 選取要將 VPC CIDR 移至哪個範圍。
1. 選擇**將 CIDR 移至不同範圍**。
------
#### [ Command line ]
使用下列 AWS CLI 命令來移動 VPC CIDR:
1. 取得目前範圍內的 VPC CIDR:[get-ipam-resource-cidrs](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-resource-cidrs.html)
1. 移動 VPC CIDR:[modify-ipam-resource-cidr](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-ipam-resource-cidr.html)
1. 取得其他範圍內的 VPC CIDR:[get-ipam-resource-cidrs](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-resource-cidrs.html)
------
# 使用 IPAM 政策定義公有 IPv4 配置策略
IPAM 政策是一組規則,定義如何將 IPAM 集區的公有 IPv4 地址分配給 AWS 資源。每個規則會將 AWS 服務映射至服務將用於取得 IP 地址的 IPAM 集區。單一政策可以有多個規則,並套用到多個 AWS 區域。如果 IPAM 集區的位址用盡,則服務會回復為使用 Amazon 提供的 IP 位址。政策可以套用到 AWS Organizations 內的個別 AWS 帳戶或實體。如果您[使用自己的 IP (BYOIP)](https://docs.aws.amazon.com/vpc/latest/ipam/tutorials-byoip-ipam.html),這有助於降低 AWS 公有 IPv4 成本。
**何時使用 IPAM 政策**
使用 IPAM 政策來:
+ 使用 BYOIP 地址降低公有 IPv4 成本
+ 集中控制 AWS 資源使用的 IP 集區
+ 確保整個組織的 IP 配置一致
**運作方式**
當您在強制執行 IPAM 政策的帳戶中建立需要公有 IP 地址 AWS 的資源時:
+ IPAM 會依序檢查您的政策規則。
+ 如果規則符合資源類型,IPAM 會從指定的集區配置 IP。
+ 如果集區為空且啟用溢位,Amazon 會提供 IP 地址。
+ 如果沒有相符的規則,則會套用預設行為。
**支援的 服務和資源**
您可以建立 IPAM 政策,以定義如何將 IPAM 集區的公有 IPv4 地址配置給下列 AWS 服務和資源:
+ 彈性 IP 地址 EIPs)
+ Application Load Balancer ALBs)
+ Amazon Relational Database Service (RDS)
+ 區域 NAT 閘道
**重要**
如果您在建立 AWS 資源時選擇特定的 IPAM 集區或 EIP 配置 ID, 會覆寫 IPAM 政策。
**先決條件**
+ 委派管理員帳戶中已啟用[進階方案](https://docs.aws.amazon.com/vpc/latest/ipam/mod-ipam-tier.html)的 [IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/create-ipam.html)
+ 具有 IPv4 地址的[公有 IPAM 集區](https://docs.aws.amazon.com/vpc/latest/ipam/create-top-ipam.html)
+ IPAM 和 EC2 操作的 [IAM 許可](https://docs.aws.amazon.com/vpc/latest/ipam/iam-ipam.html)
**術語**
**IPAM 政策**
IPAM 政策是一組規則,定義如何將 IPAM 集區的公有 IPv4 地址分配給 AWS 資源。每個規則會將 AWS 服務映射至服務將用於取得 IP 地址的 IPAM 集區。單一政策可以有多個規則,並套用到多個 AWS 區域。如果 IPAM 集區的位址用盡,則服務會回復為使用 Amazon 提供的 IP 位址。政策可以套用到 AWS Organizations 內的個別 AWS 帳戶或實體。政策可以套用到 AWS Organizations 內的個別 AWS 帳戶或實體。
**配置規則**
IPAM 政策中的選用組態,可將 AWS 資源類型映射至特定 IPAM 集區。若未定義任何規則,資源類型會預設為使用 Amazon 提供的 IP 位址。
**Target**
組織中可套用 IPAM 政策 AWS 的個別 AWS 帳戶或實體。
**步驟 1:建立 IPAM 政策**
**使用 AWS 主控台:**
請依照下列步驟,使用 AWS 主控台建立 IPAM 政策:
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在左側導覽窗格中選擇 **Policies** (政策)。
1. 選擇**建立政策**。
1. 輸入政策**的名稱** (選用)。
1. 選取要與此政策建立關聯的 **IPAM**。
1. (選用) 新增標籤。
1. 選擇**建立政策**。
**使用 AWS CLI:**
使用 [create-ipam-policy](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-ipam-policy.html) 命令。
**步驟 2:新增配置規則**
建立政策後,您需要新增配置規則,以定義 IP 地址的配置方式:
**使用 AWS 主控台:**
請依照下列步驟,使用 AWS 主控台新增配置規則:
1. 在左側導覽窗格中選擇 **Policies** (政策)。
1. 選擇您在上一個步驟中建立的政策。
1. 在您的政策詳細資訊頁面中,選擇**配置規則**索引標籤。
1. 選擇**建立配置規則**。
1. 設定 **服務組態**:
+ **地區設定**:選擇您希望套用此政策 AWS 的區域 (us-east-1) 或本地區域。
+ **資源類型**:選取此政策 AWS 的服務或資源類型 (彈性 IP 地址、RDS 資料庫執行個體、Application Load Balancer 或區域可用性模式中的 NAT 閘道)。
1. 設定**規則組態**:
+ **IPAM 集**區:選取將提供 IP 地址的 IPAM 集區。
+ 檢閱集區詳細資訊 (地區、公有 IP 來源、可用空間和可用 CIDR 範圍)。
1. (選用) 選擇**新增規則**以建立其他規則。
1. 選擇**建立配置規則**。
**使用 AWS CLI:**
使用 [modify-ipam-policy-allocation-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-ipam-policy-allocation-rules.html) 命令。
**步驟 3:啟用政策**
指定哪些帳戶應該使用此政策。
**使用 AWS 主控台:**
請依照下列步驟,使用 AWS 主控台啟用政策:
1. 在您的政策詳細資訊頁面中,選擇**目標**索引標籤。
1. 選擇**管理政策目標**。
1. 執行以下任意一項:
+ 對於單一帳戶用量 (IPAM 未與 AWS Organizations 整合),請**為您的帳戶選擇啟用**。
+ 對於與 AWS Organizations 整合的 IPAM (當您是委派管理員時):
+ 在**組織結構**區段中,選取您要套用此政策的帳戶或組織單位。
+ 勾選每個目標**的已啟用**核取方塊。
+ 選擇 **Save Changes** (儲存變更)。
+ **重要**:啟用此政策將取代所選帳戶或組織單位上的任何作用中 IPAM 政策。
**使用 AWS CLI:**
根據您的設定使用 [enable-ipam-policy](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ipam-policy.html) 命令:
對於單一帳戶使用 (IPAM 未與 AWS Organizations 整合):
```
aws ec2 enable-ipam-policy \
--ipam-policy-id ipam-policy-12345678
```
對於與 AWS Organizations 整合的 IPAM (當您是委派管理員時),請將政策設定為以 AWS Organization 中的帳戶為目標:
```
aws ec2 enable-ipam-policy \
--ipam-policy-id ipam-policy-12345678 \
--organization-target-id 123456789012
```
對於與 AWS Organizations 整合的 IPAM (當您是委派管理員時),請將政策設定為以組織單位為目標:
```
aws ec2 enable-ipam-policy \
--ipam-policy-id ipam-policy-12345678 \
--organization-target-id ou-123
```
**重要**
啟用此政策將取代所選取帳戶或組織單位上的任何現行 IPAM 政策。
**步驟 4:測試您的政策**
為您在其中一個目標帳戶中設定的類型 (例如 EIP) 建立新的資源。資源會自動使用來自 IPAM 集區的 IP 地址。
**重要**
如果您在建立 AWS 資源時選擇特定的 IPAM 集區或 EIP 配置 ID, 會覆寫 IPAM 政策。
**步驟 5:監控用量**
在主控台中檢查您的 [IPAM 集區](https://docs.aws.amazon.com/vpc/latest/ipam/monitor-cidr-usage-ipam.html),以查看要配置給資源的 IP 地址。
# 釋出配置
如果您打算刪除某個集區,則可能需要釋出集區配置。配置是指將某個 IPAM 集區中的 CIDR 指派到另一個資源或 IPAM 集區。
如果集區已佈建 CIDR,則無法刪除集區,如果 CIDR 已分配給資源,則無法將 CIDR 取消佈建。
**注意**
若要解除手動分配,應使用本節中的步驟,或呼叫 [ReleaseIpamPoolAllocation API](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ReleaseIpamPoolAllocation.html)。
若要解除私有範圍中的分配,則必須忽略或刪除資源 CIDR。如需詳細資訊,請參閱[變更 VPC CIDR 的監控狀態](change-monitoring-state-ipam.md)。一段時間後,Amazon VPC IPAM 將自動代表您解除分配。
**Example**
**範例**
如果您在私有範圍中具有 VPC CIDR,若要解除分配,則必須忽略或刪除 VPC CIDR。一段時間後,Amazon VPC IPAM 會自動解除 IPAM 集區的 VPC CIDR 分配。
若要解除公有範圍中的分配,則必須刪除資源 CIDR。您無法忽略公有資源 CIDR。如需詳細資訊,請參閱 [僅使用 CLI 將您自己的公有 IPv4 CIDR AWS 帶到 IPAM](tutorials-byoip-ipam-ipv4.md) 中的*清除*或 [僅使用 CLI 將您自己的 IPv6 CIDR AWS 帶到 IPAM](tutorials-byoip-ipam-ipv6.md) 中的*清除*。一段時間後,Amazon VPC IPAM 將自動代表您解除分配。
若要使 Amazon VPC IPAM 代表您解除分配,必須正確地將所有帳戶許可設定為 [single-account use](enable-single-user-ipam.md) (單一帳戶使用) 或 [multi-account use](enable-integ-ipam.md) (多帳戶使用)。
當您釋出由 IPAM 管理的 CIDR 時,Amazon VPC IPAM 會將 CIDR 重新回收至 IPAM 集區。如果您在進階方案中使用 IPAM,則需要幾分鐘的時間才能將 CIDR 用於未來的配置。如果您在免費方案中使用 IPAM,則最多需要 48 小時才能將 CIDR 用於未來的配置。如需有關集區和配置的詳細資訊,請參閱 [IPAM 的運作方式](how-it-works-ipam.md)。
------
#### [ AWS Management Console ]
**釋出集區配置**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中選擇 **Pools** (集區)。
1. 在內容窗格最上方的下拉式選單中,選擇想要使用的範圍。如需有關範圍的詳細資訊,請參閱 [IPAM 的運作方式](how-it-works-ipam.md)。
1. 在內容窗格中,選擇配置所在的集區。
1. 選擇 **Allocations** (配置) 索引標籤。
1. 選取一或多個配置。您可以依據配置的**資源類型**來識別配置:
+ **自訂**:自訂配置。
+ **vpc**:某種 VPC 配置。
+ **ipam-pool**:某種 IPAM 集區配置。
+ **ec2-public-ipv4-pool**:某種公有 IPv4 集區配置。
+ **子網路**:子網路配置。
1. 選擇**動作** > **發佈自訂配置**。
1. 選擇 **Deallocate CIDR** (解除分配 CIDR)。
------
#### [ Command line ]
本節中的命令與《AWS CLI 命令參考》**連結。本文件旨在詳細說明執行命令時可使用的選項。
使用下列 AWS CLI 命令來釋出集區配置:
1. 取得 IPAM 集區 ID:[describe-ipam-pools](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-pools.html)
1. 檢視集區中目前的配置:[get-ipam-pool-allocations](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-pool-allocations.html)
1. 釋出配置:[release-ipam-pool-allocation](https://docs.aws.amazon.com/cli/latest/reference/ec2/release-ipam-pool-allocation.html)
1. 檢視更新後的配置:[get-ipam-pool-allocations](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-pool-allocations.html)
------
若要新增配置,請參閱 [從 IPAM 集區配置 CIDR](allocate-cidrs-ipam.md)。若要在釋出配置之後刪除集區,必須先 [從集區解除佈建 CIDR](depro-pool-cidr-ipam.md)。
# 透過 AWS RAM 共用 IPAM 集區
請依照本節中的步驟,透過 AWS Resource Access Manager (RAM) 來共用 IPAM 集區。當您透過 RAM 共用 IPAM 集區時,「委託人」可將集區中的 CIDR 配置給 AWS 資源 (例如委託人各自帳戶的 VPC)。主體是 RAM 中的概念,意指任何 AWS 帳戶、IAM 角色或 AWS Organizations 中的組織單位。如需詳細資訊,請參閱*《AWS RAM 使用者指南》*中的[共用 AWS 資源](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html)。
**注意**
必須先將 IPAM 與 AWS Organizations 整合,才能透過 AWS RAM 共用 IPAM 集區。如需更多詳細資訊,請參閱 [將 IPAM 與 AWS Organizations 中的帳戶整合](enable-integ-ipam.md)。如果您是單一 IPAM 帳戶的使用者,則您無法與 AWS RAM 共用 IPAM 集區。
您必須啟用與 AWS RAM 中的 AWS Organizations 共享資源。如需詳細資訊,請參閱*《AWS RAM 使用者指南》*中的[啟用 AWS Organizations 中的共享資源](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)。
RAM 共用功能僅適用於 IPAM 的本地 AWS 區域。必須在 IPAM 所在的 AWS 區域 (而不是 IPAM 集區的區域) 建立共用。
用來建立和刪除 IPAM 集區資源共用的帳戶,其 IAM 角色連接的 IAM 政策必須具有下列許可:
`ec2:PutResourcePolicy`
`ec2:DeleteResourcePolicy`
一次 RAM 共用可新增多個 IPAM 集區。
雖然您可以與 AWS 組織外部的任何 AWS 帳戶共用 IPAM 集區,但 IPAM 只會在帳戶擁有者已經歷與委派 IPAM 管理員共用其資源探索的程序時,才會監控組織外部帳戶中的 IP 位址,如 [將 IPAM 與組織外的帳戶整合](enable-integ-ipam-outside-org.md) 中所述。
------
#### [ AWS Management Console ]
**共用使用 RAM 的 IPAM 集區**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中選擇 **Pools** (集區)。
1. 按預設,會選取預設的私有範圍。如果不想使用預設的私有範圍,請從內容窗格最上方的下拉式選單中選擇您要使用的範圍。如需有關範圍的詳細資訊,請參閱 [IPAM 的運作方式](how-it-works-ipam.md)。
1. 在內容窗格中,選擇您要共用的集區,然後選擇 **Actions** (動作) > **View details** (檢視詳細資訊)。
1. 在 **Resource sharing** (資源共用) 底下,選擇 **Create resource share** (建立資源共用)。AWS RAM 主控台隨即開啟。您會在 AWS RAM 中建立共用集區。
1. 選擇 **Create a resource share** (建立資源共用)。
1. 新增要為共用資源指定的 **Name** (名稱)。
1. 在 **Select resource type** (選取資源類型) 底下,選取 IPAM 集區並選擇一或多個 IPAM 集區。
1. 選擇 **Next** (下一步)。
1. 選擇其中一個資源共用的許可:
+ **AWSRAMDefaultPermissionsIpamPool**:選擇此許可可允許委託人檢視共用 IPAM 集區中的 CIDR 和配置以及集區中的 CIDR 配置/釋出。
+ **AWSRAMPermissionIpamPoolByoipCidrImport**:選擇此許可可允許委託人將 BYOIP CIDR 匯入共用的 IPAM 集區。只有在您已有 BYOIP CIDR 且想要將它們匯入 IPAM 並與委託人共用時,才需要此許可。如需有關將 BYOIP CIDR 匯入 IPAM 的其他資訊,請參閱 [教學課程:將 BYOIP IPv4 CIDR 傳輸至 IPAM](tutorials-byoip-ipam-transfer-ipv4.md)。
1. 選擇可存取此資源的委託人。如果委託人要將現有的 BYOIP CIDR 匯入此共用的 IPAM 集區,請以委託人身分來新增 BYOIP CIDR 擁有者帳戶。
1. 檢閱資源共用選項以及您要與其共用的委託人,然後選擇 **Create** (建立)。
------
#### [ Command line ]
本節中的命令與 *AWS CLI Command Reference* 連結。該處載有執行命令時可用選項的相關詳細說明。
使用下列 AWS CLI 命令可透過 RAM 與他人共用 IPAM 集區:
1. 取得 IPAM 的 ARN:[describe-ipam-pools](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-pools.html)
1. 建立資源共用:[create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html)
1. 檢視資源共用:[get-resource-shares](https://docs.aws.amazon.com/cli/latest/reference/ram/get-resource-shares.html)
------
使用 RAM 建立資源共用之後,其他委託人就可以使用 IPAM 集區將 CIDR 配置給資源。如需監控委託人所建立之資源的相關資訊,請參閱 [依資源監控 CIDR 使用情況](monitor-cidr-compliance-ipam.md)。如需有關如何從共用 IPAM 集區建立 VPC 及配置 CIDR 的詳細資訊,請參閱 *Amazon VPC User Guide* 中的 [Create a VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)。
# 使用資源探索
資源探索是一個 IPAM 元件,可讓 IPAM 管理和監控屬於擁有資源發現的帳戶的資源。這可讓 IPAM 維持工作負載中 IP 位址使用情況的最新清查,協助管理及規劃 IP 位址。
依預設,在建立 IPAM 時,會建立資源探索。您也可以獨立於 IPAM 建立資源探索,並將其與其他帳戶或組織擁有的 IPAM 整合。如果資源探索擁有者是組織的委派管理員,IPAM 將監控組織所有成員的資源。
**注意**
建立、共用和關聯資源探索是整合 IPAM 與組織外部帳戶之處理程序的一部分 (請參閱 [將 IPAM 與組織外的帳戶整合](enable-integ-ipam-outside-org.md))。如果您不建立 IPAM 且不會將其與組織外部帳戶整合,則無需建立、共用或關聯資源探索。
請注意,本節提供與使用資源探索相關的一組程序。
**Topics**
+ [建立資源探索以與其他 IPAM 整合](res-disc-work-with-create.md)
+ [檢視資源探索詳細資訊](res-disc-work-with-view.md)
+ [與其他 AWS 帳戶共用資源探索](res-disc-work-with-share.md)
+ [將資源探索與 IPAM 建立關聯](res-disc-work-with-associate.md)
+ [取消關聯資源探索](res-disc-work-with-disassociate.md)
+ [刪除資源探索](res-disc-work-with-delete.md)
# 建立資源探索以與其他 IPAM 整合
本節描述如何建立資源探索。依預設,在建立 IPAM 時,會建立資源探索。每個區域的資源探索預設配額為 1。如需有關配額的詳細資訊,請參閱 [IPAM 的配額](quotas-ipam.md)。
**注意**
建立、共用和關聯資源探索是整合 IPAM 與組織外部帳戶之處理程序的一部分 (請參閱 [將 IPAM 與組織外的帳戶整合](enable-integ-ipam-outside-org.md))。如果您不建立 IPAM 且不會將其與組織外部帳戶整合,則無需建立、共用或關聯資源探索。
如果要將 IPAM 與組織外部帳戶整合,則這是**次要組織管理員帳戶**必須完成的必要步驟。如需有關本處理程序中所涉及角色的詳細資訊,請參閱 [程序概觀](enable-integ-ipam-outside-org-process.md)。
------
#### [ AWS Management Console ]
**建立資源探索**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中,選擇**尋找探索**。
1. 選擇**建立資源探索**。
1. 選擇 **Allow Amazon VPC IP Address Manager to replicate data from source account(s) into the IPAM delegate account** (允許 Amazon VPC IP 地址管理員將來源帳戶的資料複寫到 IPAM 委託帳戶)。若未選取此選項,則無法建立資源探索。
1. (選用) 將**名稱**標籤新增至資源探索。標籤是您指派給 AWS 資源的標籤。每個標籤皆包含索引鍵與選用值。您可以使用標籤來搜尋和篩選資源,或追蹤 AWS 成本。
1. (選用) 新增描述。
1. 在**作業區域**下,選取將在其中探索資源的 AWS 區域。目前的區域會自動設定為其中一個作業區域。如果正在建立資源探索,以便可以在作業區域 `us-east-1` 中與 IPAM 共用,則請務必在此處選取 `us-east-1`。如果忘記作業區域,稍後可以返回並編輯資源探索設定。
**注意**
大多數情況下,資源探索應具有與 IPAM 相同的作業區域,否則您只能在該區域取得資源探索。
1. (選用) 為集區選擇其他**標籤**。
1. 選擇**建立**。
------
#### [ Command line ]
本節中的命令與 *AWS CLI Command Reference* 連結。本文件旨在詳細說明執行命令時可使用的選項。
+ 建立資源探索:[create-ipam-resource-discovery](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-ipam-resource-discovery.html)
------
# 檢視資源探索詳細資訊
檢視 AWS IPAM 中資源探索的詳細資訊可提供寶貴的洞見,例如:
+ 識別已匯入的特定 AWS 資源及其相關聯的 IP 位址配置。
+ 監控資源探索程序的狀態和進度。
+ 對 IPAM 與探索的資源之間的任何問題或差異進行故障診斷。
+ 分析 IP 位址使用率和趨勢。
此資訊可協助您最佳化 IP 位址管理,並確保 IPAM 與實際資源部署之間的一致性。
------
#### [ AWS Management Console ]
**檢視資源探索詳細資訊**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中,選擇**尋找探索**。
1. 選擇資源探索。
1. 在**資源探索詳細資訊**下,檢視與資源探索相關的詳細資訊,例如「預設值」,指出資源探索是否為預設值。預設資源探索是建立 IPAM 時自動建立的資源探索。
1. 在索引標籤中,檢視資源探索的詳細資訊:
+ **探索到的資源** - 在資源探索下監控的資源。IPAM 會監控下列資源類型的 CIDR:VPC、公有 IPv4 集區、VPC 子網路和彈性 IP 地址。
+ **名稱 (資源 ID)** – 資源探索 ID。
+ **已分配 IP** – 使用中 IP 位址空間的百分比。若要將小數轉換為百分比,請將小數乘以 100。注意下列事項:
+ 如果是 VPC 資源,則為 VPC 中由子網路 CIDR 佔用的 IP 地址空間百分比。
+ 如果是子網資源,若子網已佈建 IPv4 CIDR,則此為使用中的子網內 IPv4 地址空間的百分比。若子網已佈建 IPv6 CIDR,則不會顯示使用中的 IPv6 地址空間百分比。目前無法計算使用中的 IPv6 地址空間百分比。
+ 如果是公有 IPv4 集區資源,則為集區中已配置給彈性 IP 地址 (EIP) 的 IP 地址空間百分比。
+ **CIDR** – 資源 CIDR。
+ **區域** – 資源區域。
+ **擁有者 ID** – 資源擁有者 ID。
+ **取樣時間** - 上次成功的資源探索時間。
+ **探索到的帳戶**:在資源探索下監控的 AWS 帳戶。如果已將 IPAM 與 AWS Organizations 整合,則組織中的所有帳戶都是探索到的帳戶。
+ **帳戶 ID** – 帳戶 ID。
+ **區域** – 從中傳回帳戶資訊的 AWS 區域。
+ **上次嘗試探索時間** - 上次嘗試探索資源的時間。
+ **上次成功探索時間** – 上次成功資源探索時間。
+ **狀態** - 資源探索失敗原因。
+ **作業區域** – 資源探索的作業區域。
+ **資源共用** - 如果已共用資源探索,則會列出資源共用 ARN。
+ **資源共用 ARN** – 資源共用 ARN。
+ **狀態** - 資源共用的目前狀態。可能值為:
+ **作用中** - 資源共用為作用中且可供使用。
+ **刪除** - 已刪除資源共用且無法再使用。
+ **待定** - 接受資源共用的邀請正在等待回應。
+ **建立時間** - 建立資源共用的時間。
+ **標籤** - 標籤是您指派給 AWS 資源的標籤。每個標籤皆包含一個鍵和一個選用值。您可以使用標籤來搜尋和篩選資源,或追蹤 AWS 成本。
------
#### [ Command line ]
本節中的命令與 *AWS CLI Command Reference* 連結。本文件旨在詳細說明執行命令時可使用的選項。
+ 檢視資源探索詳細資訊:[describe-ipam-resource-discoveries](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-resource-discoveries.html)
------
# 與其他 AWS 帳戶共用資源探索
請依照本節中的步驟,使用 AWS Resource Access Manager 來共用資源探索。如需有關 AWS RAM 的詳細資訊,請參閱《AWS RAM 使用者指南》**中的[共用 AWS 資源](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html)。
**注意**
建立、共用和關聯資源探索是整合 IPAM 與組織外部帳戶之處理程序的一部分 (請參閱 [將 IPAM 與組織外的帳戶整合](enable-integ-ipam-outside-org.md))。如果您不建立 IPAM 並不會將其與組織外部帳戶整合,則無需建立、共用或關聯資源探索。
當您建立可監控組織外帳戶的 IPAM 時,次要組織管理員帳戶會使用 AWS RAM 與主要組織 IPAM 帳戶共用其資源探索。您必須先與主要組織 IPAM 帳戶共用資源探索,主要組織 IPAM 帳戶才能將資源探索與其 IPAM 建立關聯。如需有關本處理程序中所涉及角色的詳細資訊,請參閱 [程序概觀](enable-integ-ipam-outside-org-process.md)。
**注意**
當您使用 AWS RAM 建立資源共用以共用資源探索時,必須在主要組織 IPAM 的主要區域中建立資源共用。
用來建立和刪除資源探索之資源共享的帳戶在其 IAM 政策中必須具有下列許可:
ec2:PutResourcePolicy
ec2:DeleteResourcePolicy
如果您將資源探索共享給另一個帳戶,則該帳戶可以看到與資源探索相關的[組織單位排除項目](exclude-ous.md),並能查看其中包含的資源探索擁有者的組織 ID、根 ID 以及組織單位 ID 等資訊。
如果要將 IPAM 與組織外部帳戶整合,則這是**次要組織管理員帳戶**必須完成的必要步驟。
------
#### [ AWS Management Console ]
**共用資源探索**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中,選擇**尋找探索**。
1. 選擇**資源共用**索引標籤。
1. 選擇 **Create resource share (建立資源共用)**。AWS RAM 主控台隨即開啟,您可以在其中建立資源共用。
1. 在 AWS RAM 主控台中,選擇 **Settings (設定)**。
1. 選擇**啟用與 AWS Organizations 共用**,然後選擇**儲存設定**。
1. 選擇 **Create a resource share** (建立資源共用)。
1. 新增要為共用資源指定的 **Name** (名稱)。
1. 在**選取資源類型**下,選取 **IPAM 資源探索**,然後選擇資源探索。
1. 選擇**下一步**。
1. 在**關聯許可**下,可以檢視將針對已授權可存取此資源共用的主體而啟用的預設許可:
+ AWSRAMPermissionIpamResourceDiscovery
+ 此許可允許的動作:
+ ec2:AssociateIpamResourceDiscovery
+ ec2:GetIpamDiscoveredAccounts
+ ec2:GetIpamDiscoveredPublicAddresses
+ ec2:GetIpamDiscoveredResourceCidrs
1. 指定可存取此共用資源的主體。針對**主體**,選擇主要組織 IPAM 帳戶,然後選擇**新增**。
1. 選擇**下一步**。
1. 檢閱資源共用選項以及您要與其共用的主體。然後,選擇**建立資源共用**。
1. 共用資源探索之後,主要組織 IPAM 帳戶必須接受它,然後由主要組織 IPAM 帳戶將其與 IPAM 建立關聯。如需更多詳細資訊,請參閱 [將資源探索與 IPAM 建立關聯](res-disc-work-with-associate.md)。
------
#### [ Command line ]
本節中的命令與 *AWS CLI Command Reference* 連結。本文件旨在詳細說明執行命令時可使用的選項。
1. 建立資源共用:[create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html)
1. 檢視資源共用:[get-resource-shares](https://docs.aws.amazon.com/cli/latest/reference/ram/get-resource-shares.html)
------
# 將資源探索與 IPAM 建立關聯
本節描述如何將資源探索與 IPAM 建立關聯。當您將資源探索與 IPAM 建立關聯時,IPAM 會監控資源探索下探索到的所有資源 CIDR 和帳戶。當您建立 IPAM 時,系統會為 IPAM 建立預設資源探索,並自動將其與 IPAM 建立關聯。
資源探索關聯的預設配額為 5。如需詳細資訊 (包括如何調整此配額),請參閱 [IPAM 的配額](quotas-ipam.md)。
**注意**
建立、共用和關聯資源探索是整合 IPAM 與組織外部帳戶之處理程序的一部分 (請參閱 [將 IPAM 與組織外的帳戶整合](enable-integ-ipam-outside-org.md))。如果您不建立 IPAM 並不會將其與組織外部帳戶整合,則無需建立、共用或關聯資源探索。
如果要將 IPAM 與組織外部帳戶整合,這是**主要組織 IPAM 帳戶**必須完成的必要步驟。如需有關本處理程序中所涉及角色的詳細資訊,請參閱 [程序概觀](enable-integ-ipam-outside-org-process.md)。
------
#### [ AWS Management Console ]
**關聯資源探索**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中,選擇 **IPAMs**。
1. 選取**已關聯的探索**,然後選擇**關聯資源探索**。
1. 在 **IPAM 資源探索**下,選擇**次要組織管理員帳戶**已與您共用的資源探索。
1. 選擇**關聯**。
------
#### [ Command line ]
本節中的命令與 *AWS CLI Command Reference* 連結。本文件旨在詳細說明執行命令時可使用的選項。
+ 關聯資源探索:[associate-ipam-resource-discovery](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-ipam-resource-discovery.html)
------
# 取消關聯資源探索
本節描述如何將資源探索與 IPAM 取消關聯。當您將資源探索與 IPAM 取消關聯時,IPAM 便不再監控資源探索下探索到的所有資源 CIDR 和帳戶。
**注意**
您無法取消預設資源探索關聯。預設資源探索關聯是在您建立 IPAM 時自動建立的關聯。但是,如果您刪除 IPAM,則會刪除預設的資源探索關聯。
此步驟必須由**主要組織 IPAM 帳戶**完成。如需有關本處理程序中所涉及角色的詳細資訊,請參閱 [程序概觀](enable-integ-ipam-outside-org-process.md)。
------
#### [ AWS Management Console ]
**取消關聯資源探索**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中,選擇 **IPAMs**。
1. 選取**已關聯的探索**,然後選擇**取消關聯資源探索**。
1. 在 **IPAM 資源探索**下,選擇**次要組織管理員帳戶**已與您共用的資源探索。
1. 選擇**取消關聯**。
------
#### [ Command line ]
本節中的命令與 *AWS CLI Command Reference* 連結。本文件旨在詳細說明執行命令時可使用的選項。
+ 取消關聯資源探索:[disassociate-ipam-resource-discovery](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-ipam-resource-discovery.html)
------
# 刪除資源探索
本節描述如何刪除資源探索。
**注意**
您無法刪除預設資源探索。預設資源探索是在您建立 IPAM 時自動建立的資源探索。但是,如果您刪除 IPAM,則會刪除預設的資源探索。
此步驟必須由**次要組織管理員帳戶**完成。如需有關本處理程序中所涉及角色的詳細資訊,請參閱 [程序概觀](enable-integ-ipam-outside-org-process.md)。
------
#### [ AWS Management Console ]
**刪除資源探索**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在導覽窗格中,選擇**尋找探索**。
1. 選取資源探索,然後選擇**動作** > **刪除資源探索**。
------
#### [ Command line ]
本節中的命令與 *AWS CLI Command Reference* 連結。本文件旨在詳細說明執行命令時可使用的選項。
+ 刪除資源探索:[delete-ipam-resource-discovery](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-ipam-resource-discovery.html)
------