赛尔校园公共服务平台 Logo
平台使用
阿里云
百度云
移动云
智算服务
教育生态
登录 →
赛尔校园公共服务平台 Logo
平台使用 阿里云 百度云 移动云 智算服务 教育生态
登录
  1. 首页
  2. 阿里云
  3. 专有网络VPC
  4. 操作指南
  5. IP地址管理(IPAM)
  6. IPAM实例管理
  7. 基于资源目录管控策略强制使用IPAM地址池统一创建VPC

基于资源目录管控策略强制使用IPAM地址池统一创建VPC

  • IPAM实例管理
  • 发布于 2025-04-22
  • 0 次阅读
文档编辑
文档编辑

企业多账号体系下,由网络团队负责整体的网络规划,使用IPAM将规划的地址池共享给业务账号。您可以使用资源目录的管控策略,限制业务账号只能从共享的IPAM地址池中分配地址来创建VPC,统一网络地址的使用方式,便于管理。

功能介绍

多账号体系下,企业使用资源目录建立符合业务关系的资源结构,并将多个账号分布到这个目录结构中的相应位置,形成资源间的多层级关系。

资源目录提供管控策略功能,企业通过管理账号集中制定管理规则,并将这些管理规则应用于资源目录的各级资源结构(资源夹、成员)上。

为实现网络的强管控,您可以使用管理账号创建管控策略,与资源夹或成员绑定,限制特定的业务账号在创建VPC时,只能从共享的IPAM地址池中分配地址。

image
重要

管控策略对所有资源目录成员中的RAM用户和RAM角色生效,但对成员的根用户不生效。同时,资源目录的管理账号位于资源目录外部,不归属于资源目录,所以管控策略对管理账号内的所有身份也不生效。

场景示例

您可以参照以下步骤创建管控策略,并将其应用于资源目录的各级资源结构(资源夹、成员)上。

  1. 创建管控策略

    1. 登录资源管理控制台。在左侧导航栏,选择资源目录 > 管控策略。

    2. 在策略列表页签,单击创建策略。

    3. 在创建策略页面,单击脚本编辑页签。

    4. 输入管控策略,单击继续编辑基本信息,配置管控策略的基本信息。

  2. 绑定管控策略

    1. 在策略绑定页签下的左侧组织结构树中,单击目标资源夹或成员。

    2. 在右侧页面,单击绑定策略。选择需要绑定的管控策略,然后单击确定。

    3. 在确认绑定策略对话框,阅读绑定影响,单击确认与继续。

      说明

      管控策略具备基于资源目录树形结构从上向下继承的特点。

      绑定成功后,选定资源夹及其以下子资源夹的所有成员将会立即受到管控策略的管控。当成员的RAM用户或RAM角色访问阿里云服务时,都将受到管控策略的管控,实现预期管控的结果。

      请务必确定绑定操作的结果是符合预期的,以免影响您的业务正常运行。

场景一:限定用户从地址池创建VPC和为VPC添加附加网段

按照创建管控策略的步骤,在脚本编辑页签输入以下内容,将本策略与目标资源夹或成员绑定。成员的RAM用户或RAM角色创建VPC/为VPC添加附加网段时,需要选择IPAM分配的IPv4地址段。

{
  "Statement": [
    {
      "Action": [
        "vpc:CreateVpc",
        "vpc:AssociateVpcCidrBlock"
      ],
      "Resource": "*",
      "Effect": "Deny",
      "Condition": {
        "Null": {
          "vpc:Ipv4IpamPoolId": "true"
        }
      }
    }
  ],
  "Version": "1"
}

场景二:限定用户从特定地址池创建VPC

按照创建管控策略的步骤,在脚本编辑页签输入以下内容,将本策略与目标资源夹或成员绑定。成员的RAM用户或RAM角色需要选择与"vpc:Ipv4IpamPoolId"的设定值一致的IPAM地址池,才能够成功创建VPC。

{
  "Statement": [
    {
      "Action": [
        "vpc:CreateVpc"
      ],
      "Resource": "*",
      "Effect": "Deny",
      "Condition": {
        "StringNotEquals": {
          "vpc:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg"
        }
      }
    },
    {
      "Action": [
        "vpc:CreateVpc"
      ],
      "Resource": "*",
      "Effect": "Deny",
      "Condition": {
        "Null": {
          "vpc:Ipv4IpamPoolId": "true"
        }
      }
    }
  ],
  "Version": "1"
}
说明

您需要将ipam-pool-0123456789abcdefg示例值更改为限定用户使用的IPAM地址池ID。

场景三:限定用户使用特定地址池创建VPC和为VPC添加附加网段

按照创建管控策略的步骤,在脚本编辑页签输入以下内容,将本策略与目标资源夹或成员绑定。成员的RAM用户或RAM角色创建VPC时,需要满足以下条件:

  • 创建VPC时,选择与"vpc:Ipv4IpamPoolId"的设定值一致的IPAM地址池;

  • 添加附加网段时,选择IPAM 分配的 IPv4 地址段,并使用与"vpc:Ipv4IpamPoolId"的设定值一致的IPAM地址池。

{
  "Statement": [
    {
      "Action": [
        "vpc:CreateVpc",
        "vpc:AssociateVpcCidrBlock"
      ],
      "Resource": "*",
      "Effect": "Deny",
      "Condition": {
        "ForAllValues:StringNotLikeIfExists": {
          "vpc:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg"
        }
      }
    }
  ],
  "Version": "1"
}
说明

您需要将ipam-pool-0123456789abcdefg示例值更改为限定用户使用的IPAM地址池ID。

相关文档

  • 您可以使用资源共享功能,将创建的IPAM地址池共享给业务账号,实现企业内部网络地址的统一分配与管理,简化网络管理流程。具体内容,请参见共享IPAM地址池实现多账号下地址统一规划管理。

  • 如果您想要了解资源目录的基本概念、使用限制或更多功能,请参见资源目录。

相关文章

创建和管理IPAM 2025-04-22 18:26

IPAM(IP Address Manager)为用户提供全局地址管理的能力。创建IPAM后,您可以在IPAM中创建私网作用范围。每个私网作用范围都代表一个独立的地址作用域,在私网作用范围中可以创建地址池来管理和分配IP地址资源。本文为您介绍如何创建和管理IPAM及其私网作用范围。

创建和管理IPAM地址池 2025-04-22 18:26

当您需要有效管理阿里云账号内的私网IP地址,以防止IP地址冲突或重叠,您可以使用IPAM地址池并预置CIDR。此时该地址池可以为专有网络VPC分配资源并检测可能的地址冲突。您也可以从该地址池中分配自定义CIDR,将其保留供以后使用。

共享IPAM地址池实现多账号下地址统一规划管理 2025-04-22 18:26

多账号体系架构中,企业网络管理员使用IPAM功能规划和管理工作中的IP地址;规划完成后,可通过资源共享功能,将创建的IPAM地址池共享给业务账号,实现企业内部网络地址的统一分配与管理,简化网络管理流程,助力企业专注于核心业务创新。 功能简介 资源

共享资源发现实现多账号地址资源统一管理 2025-04-22 18:26

企业多账号场景中,网络管理员有统一地址规划分配和资源管理的诉求。业务账号可以将创建的资源发现,共享给网络管理员进行地址资源的统一管理,避免业务账号使用非规划网段创建资源引发地址冲突,保障业务稳定性。 功能简介 作为IPAM的组件,资源发现可以帮助您自动识别、追踪网络环境中的IP地址使用状况,统一发现

基于资源目录管控策略强制使用IPAM地址池统一创建VPC 2025-04-22 18:26

企业多账号体系下,由网络团队负责整体的网络规划,使用IPAM将规划的地址池共享给业务账号。您可以使用资源目录的管控策略,限制业务账号只能从共享的IPAM地址池中分配地址来创建VPC,统一网络地址的使用方式,便于管理。 功能介绍 多账号体系下,企业使用资源目录建立符合业务关系的资源结构,并将多个账号分

目录
Copyright © 2025 your company All Rights Reserved. Powered by 赛尔网络.
京ICP备14022346号-15
gongan beian 京公网安备11010802041014号