アドレスリソース管理 - Virtual Private Cloud - Alibaba Cloud ドキュメントセンター

統合アドレス計画に基づき、IP Address Manager (IPAM) はアドレスリソース管理とリソースモニタリングをサポートします。

IPAM プールからのリソース割り当て：計画されたアドレスプールからビジネスルールに準拠した IP アドレスを Virtual Private Cloud (VPC) に割り当てます。組織内での集中型アドレス割り当てを可能にします。
グローバルなアドレスリソースの特定：リソース検出を使用して、スコープ内のリソースを検出し、その IP アドレス使用率と重複を表示します。
マルチアカウント管理：リソースディレクトリを使用して、IPAM の委任された管理者を指定することで IPAM 信頼できるサービスを有効にし、メンバーアカウントの IP アドレスを集中管理します。
リソースのモニタリング：IP アドレスモニタリング機能を使用してリソース計画と割り当てを改善し、ネットワークの安定性とセキュリティを確保します。

計画された IPAM プールからのアドレス割り当て

アドレス計画中に、トップレベルプールからサブプールへ計画された CIDR ブロックを割り当てることができます。また、以下の操作も実行できます。

VPC CIDR ブロックの割り当て：VPC にプライマリまたはセカンダリ CIDR ブロックを割り当てる際、IPAM は割り当てられた CIDR ブロックが重複しないことを保証します。これにより、VPC を相互接続する際のアドレス競合が防止されます。
ハイブリッドクラウドおよびマルチクラウドのアドレス予約：カスタム割り当てを作成して、データセンターや他のクラウド上のサービスのために CIDR ブロックを予約します。これにより、これらの CIDR ブロックがクラウドリソースに割り当てられるのを防ぎ、ネットワーク接続時の競合を回避します。

ネットワーク管理者が計画された IPAM プールをビジネスアカウント (プリンシパル) と共有した後、ビジネスアカウントはその共有アドレスプールを使用して VPC に CIDR ブロックを割り当てたり、カスタム割り当てを作成したりできます。

コンソール

作業を開始する前に、IPAM インスタンスと IPAM プールが作成されていることを確認してください。

VPC への CIDR ブロックの割り当て

IPAM を使用して VPC を作成する：
1. VPC コンソール - VPC の作成ページに移動します。
2. IPAM で割り当て を選択し、IPv4 プールを選択してマスクを設定します。システムは、デフォルトで指定されたマスクに一致する最初の利用可能な CIDR ブロックを割り当てます。割り当てられた IPv4 CIDR ブロックは、プールのプロビジョニング済み CIDR ブロック内で調整できます。
3. IPv6 を有効にするには、IPAM で割り当て を選択し、IPv6 アドレスプールを選択してマスクを設定するか、CIDR ブロックを指定します。
既存の VPC にセカンダリ CIDR ブロックを追加する：
1. IPv4 CIDR ブロックを追加するには、VPC 詳細ページの CIDR タブに移動し、IPv4 CIDR の追加 をクリックします。次に、IPAM で割り当て を選択し、IPv4 プールを選択してネットマスクを設定します。システムは、デフォルトで指定されたネットマスクに一致する最初の利用可能な CIDR ブロックを割り当てます。
2. IPv6 CIDR ブロックを追加するには、VPC で IPv6 が有効になっていない場合は IPv6 CIDR ブロックの有効化 をクリックし、すでに有効になっている場合は IPv6 CIDR ブロックの追加 をクリックします。次に、IPAM から割り当て を選択し、IPv6 プールを選択してマスクを設定するか、CIDR ブロックを指定します。

カスタム割り当ての作成

カスタム割り当てを作成する前に、対象の IPAM プールにCIDR ブロックがプロビジョニングされていることを確認してください。

IPAM コンソール - IPAM プールページに移動します。トップナビゲーションバーで、対象の IPAM プールがあるリージョンを選択します。
IPAM プールの ID または操作列の管理をクリックします。[割り当て] タブで、[カスタム割り当ての作成] をクリックして、クラウドリソースに割り当てずに CIDR ブロックを予約します。
CIDR ブロックを入力するか、プロビジョニングされた範囲から利用可能な CIDR ブロックを選択します。複数の CIDR ブロックを追加できます。

割り当てのリリース

IPAM プールの詳細ページで、[割り当て] タブをクリックします。対象の割り当てを見つけ、操作列の リリース をクリックします。

VPC およびカスタム割り当てタイプの割り当てをリリースできます。
VPC 割り当てをリリースすると、VPC と IPAM プールの関連付けのみが解除されます。この操作では VPC 自体は削除されません。

API

IPAM を使用した VPC の作成

IPv4 CIDR ブロックの割り当て：CreateVpc 操作を呼び出す際に、Ipv4IpamPoolId を指定して IPAM プールを使用し、Ipv4CidrMask を指定してその IPAM プールから新しい VPC に IPv4 CIDR ブロックを割り当てます。または、CidrBlock を指定して VPC に特定の CIDR ブロックを使用することもできます。
IPv6 CIDR ブロックの割り当て：IPv4 CIDR ブロックを割り当てる際に、Ipv6IpamPoolId と Ipv6CidrMask を指定すると、指定された IPv6 IPAM プールから VPC に IPv6 CIDR ブロックが割り当てられます。

既存の VPC へのセカンダリ CIDR ブロックの追加

IPv4 CIDR ブロックを追加するには、AssociateVpcCidrBlock 操作を呼び出します。IpamPoolId を指定して IPAM プールを使用し、SecondaryCidrMask または SecondaryCidrBlock を指定します。
IPv6 CIDR ブロックを追加するには、AssociateVpcCidrBlock 操作を呼び出します。IpamPoolId パラメーターを指定して IPAM プールを使用し、Ipv6CidrMask または IPv6CidrBlock パラメーターのいずれかを指定します。

カスタム割り当ての作成

CreateIpamPoolAllocation 操作を呼び出して、IPAM プールからカスタム割り当てを作成し、特定の CIDR ブロックを予約します。

割り当てのリリース

DeleteIpamPoolAllocation 操作を呼び出して、IPAM プールから割り当てをリリースします。

Terraform

Terraform は、IPAM から VPC への IPv6 CIDR ブロックの割り当てをサポートしていません。

リソース：alicloud_vpc、alicloud_vpc_ipv4_cidr_block、および alicloud_vpc_ipam_ipam_pool_allocation

# IPAM プールが存在するリージョンを指定します。
provider "alicloud" {
  region = "cn-hangzhou"
}

# IPAM プールの ID を指定します。
variable "ipam_pool_id" {
  default = "ipam-pool-bp10******" # 実際の IPAM プールの ID に置き換えます。
}

# VPC を作成し、プライマリ CIDR ブロックを VPC に割り当てます。
resource "alicloud_vpc" "example_ipam_vpc" {
  vpc_name          = "example_ipam_vpc_name"
  ipv4_ipam_pool_id = var.ipam_pool_id # IPAM プールの ID を指定します。
  ipv4_cidr_mask    = 24               # IPv4 ネットワークマスク。
}

# セカンダリ CIDR ブロックを VPC に割り当てます。
resource "alicloud_vpc_ipv4_cidr_block" "example_secondary_cidr_block" {
  vpc_id              = alicloud_vpc.example_ipam_vpc.id # VPC の ID を指定します。
  ipv4_ipam_pool_id   = var.ipam_pool_id                 # IPAM プールの ID を指定します。
  secondary_cidr_mask = 20                               # IPv4 ネットワークマスク。
}

# カスタム割り当てを作成します。
resource "alicloud_vpc_ipam_ipam_pool_allocation" "example_ipam_pool_allocation" {
  ipam_pool_allocation_name = "example_ipam_pool_allocation_name"
  ipam_pool_id              = var.ipam_pool_id # IPAM プールの ID を指定します。
  cidr                      = "10.0.160.0/22"  # 指定された CIDR ブロックを予約します。
}

VPC CIDR ブロック割り当ての制限

マルチアカウント環境では、ビジネスアカウントがプライベート CIDR ブロックを使用して独立して VPC を作成すると、CIDR ブロックの競合が頻繁に発生します。任意の割り当てを制限するために、管理アカウントを使用してコントロールポリシーを作成し、それをフォルダまたはメンバーにアタッチできます。このポリシーは、ビジネスアカウントが VPC CIDR ブロックを共有 IPAM プールからのみ割り当てるように制限します。IPAM は、割り当てられた CIDR ブロックが重複しないことを保証し、VPC を接続する際のアドレス競合を防ぎます。

コントロールポリシーは、リソースディレクトリ内のメンバーのすべての Resource Access Management (RAM) ユーザーおよび RAM ロールに適用されますが、メンバーアカウントの root ユーザーには適用されません。管理アカウントはリソースディレクトリのメンバーではないため、コントロールポリシーは管理アカウント内のどのアイデンティティにも適用されません。

コントロールポリシー 1：ユーザーが IPAM プールから VPC を作成し、セカンダリ CIDR を追加することを制限する

{
  "Statement": [
    {
      "Action": [
        "vpc:CreateVpc",
        "vpc:AssociateVpcCidrBlock"
      ],
      "Resource": "*",
      "Effect": "Deny",
      "Condition": {
        "Null": {
          "vpc:Ipv4IpamPoolId": "true"
        }
      }
    }
  ],
  "Version": "1"
}

コントロールポリシー 2：ユーザーが IPAM プールから VPC を作成することを制限する

VPC を作成するには、"vpc:Ipv4IpamPoolId" の値に一致する IPAM プールを選択します。

{
  "Statement": [
    {
      "Action": [
        "vpc:CreateVpc"
      ],
      "Resource": "*",
      "Effect": "Deny",
      "Condition": {
        "StringNotEquals": {
          "vpc:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg"
        }
      }
    },
    {
      "Action": [
        "vpc:CreateVpc"
      ],
      "Resource": "*",
      "Effect": "Deny",
      "Condition": {
        "Null": {
          "vpc:Ipv4IpamPoolId": "true"
        }
      }
    }
  ],
  "Version": "1"
}

コントロールポリシー 3：ユーザーが IPAM プールから VPC を作成し、VPC にセカンダリ CIDR ブロックを追加することを制限する

VPC を作成する際、"vpc:Ipv4IpamPoolId" の値に一致する IPAM プールを選択します。
セカンダリ CIDR ブロックを追加する際、[IPAM による割り当て] を選択し、"vpc:Ipv4IpamPoolId" の値に対応する IPAM プールを使用します。

{
  "Statement": [
    {
      "Action": [
        "vpc:CreateVpc",
        "vpc:AssociateVpcCidrBlock"
      ],
      "Resource": "*",
      "Effect": "Deny",
      "Condition": {
        "ForAllValues:StringNotLikeIfExists": {
          "vpc:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg"
        }
      }
    }
  ],
  "Version": "1"
}

リソース検出を使用したアドレス使用状況の表示

計画された IPAM プールからアドレスを割り当てることで、VPC に割り当てられる CIDR ブロックがビジネスルールに準拠することが保証されます。既存の VPC や vSwitch、および IPAM を使用せずに作成された VPC については、リソース検出を使用してすべての VPC および vSwitch の CIDR ブロックを表示できます。

IPAM を使用して作成された VPC の管理ステータスは マネージド ですが、IPAM を使用せずに作成されたリソースのステータスは アンマネージド です。リソースが指定されたルールを満たし、IPAM プールにインポートされると、そのステータスは マネージド に変わります。

リソース検出を使用したアドレス管理

リソース検出は、対象リージョン 内の VPC および vSwitch CIDR ブロックの IP アドレス使用率を継続的に監視します。リソース検出を IPAM インスタンスに関連付けると、インスタンスは検出された CIDR ブロックを集中管理します。

1. デフォルトリソースディスカバリーの有効なリージョンは、IPAM インスタンスのリージョンと同じであり、変更できません。

2. リソース検出は 5 分ごとに更新されます。

IPAM インスタンスを作成すると、システムはデフォルトリソースディスカバリーを作成し、それを IPAM インスタンスに関連付けます。以下のルールを満たす VPC CIDR ブロックは、統一管理のために対応するアドレスプールに自動的にインポートされます。
- アドレスプールのプロビジョニング済み CIDR ブロック内にある未割り当ての CIDR ブロックのみがインポートされます。
- CIDR ブロックは、発見したリソースの自動導入 が有効になっているデフォルトのスコープ内のアドレスプールにのみインポートされます。
- 複数の検出された CIDR ブロックが重複する場合、IPAM は最大の CIDR ブロックのみをインポートします。
- 複数の同一の CIDR ブロックが検出された場合、IPAM はそのうちの 1 つをランダムにインポートします。
IPAM インスタンスが作成されていない場合、カスタムリソースディスカバリーを作成して VPC および vSwitch CIDR ブロックの IP アドレス使用率を追跡できます。後でマネージドリージョンに IPAM インスタンスが作成されると、カスタムリソースディスカバリーは自動的にデフォルトリソースディスカバリーに変換されます。

コンソール

リソース検出の作成

IPAM インスタンスを作成すると、システムはデフォルトリソースディスカバリーを作成し、それを IPAM インスタンスに関連付けます。
IPAM インスタンスが作成されていない場合、カスタムリソースディスカバリーを作成できます。
1. IPAM コンソール - リソース検出ページに移動し、リソース検出を作成するリージョンを選択します。選択したリージョンがマネージドリージョンになります。次に、リソース発見の作成 をクリックします。
2. マネージドリージョンに加えて、他の 対象リージョン を追加できます。リソース検出は、すべての 対象リージョン 内の VPC および vSwitch CIDR ブロックを継続的に検出します。
3. リソース検出が作成された後、スコープリージョンを追加または削除できます。ただし、マネージドリージョンは削除できません。
リソース検出が作成された後、リソース検出詳細ページの [検出されたリソース] タブに、対象リージョン 内の VPC および vSwitch CIDR ブロックの IP アドレス使用率が表示されます。

リソース検出の削除

デフォルトリソースディスカバリー：デフォルトリソースディスカバリーは、IPAM インスタンスを削除することによってのみ削除できます。
カスタムリソースディスカバリー：カスタムリソースディスカバリーを見つけ、[操作] 列で [削除] をクリックします。

API

IPAM インスタンスが作成されていない場合：

CreateIpamResourceDiscovery 操作を呼び出して、カスタムリソースディスカバリーを作成します。
DeleteIpamResourceDiscovery 操作を呼び出して、カスタムリソースディスカバリーを削除します。

Terraform

IPAM インスタンスが作成されていない場合、カスタムリソースディスカバリーを作成できます。

リソース：alicloud_vpc_ipam_ipam_resource_discovery

# IPAM インスタンスが作成されておらず、カスタムリソースディスカバリーを作成できるリージョンを指定します。
provider "alicloud" {
  region = "cn-shanghai"
}

resource "alicloud_vpc_ipam_ipam_resource_discovery" "example_ipam_resource_discovery" {
  operating_region_list               = ["cn-shanghai"]     # IPAM リソース検出のスコープリージョンを指定します。
  ipam_resource_discovery_name        = "example_ipam_resource_discovery_name"
}

共有リソース検出を使用した統合アドレス管理

ビジネスアカウントが計画外の CIDR ブロックを使用してリソースを作成すると、アドレス競合が発生する可能性があります。ネットワーク管理者は、IPAM インスタンスをビジネスアカウントと共有されたリソース検出に関連付けることで、複数のアカウントにまたがるリソースを集中管理し、アドレス競合を解決できます。

デフォルトとカスタムの両方のリソース検出を共有できます。

リソース所有者とプリンシパルの権限

機能	リソース所有者 (この例ではビジネスアカウント)	プリンシパル (この例ではネットワーク管理者)
リソース検出を IPAM インスタンスに関連付ける	サポート	サポート
リソース検出を IPAM インスタンスから関連付け解除する	サポート	サポート
リソース検出を変更する	サポート	リソース検出の名前、説明、リソースグループのみ変更できます。リソース所有者とプリンシパルは、リソース検出の名前、説明、リソースグループを独立して設定できます。デフォルトでは、リソース所有者が設定した名前と説明が保持されます。
リソース検出を削除する	共有がキャンセルされた後にサポートされます。	サポートされていません
リソース検出に関連付けられたアドレスリソースをクエリする	サポート	サポート
リソース検出に関連付けられたアカウントをクエリする	サポート	サポート

共有リソース検出のスコープリージョンと、ネットワーク管理者の IPAM インスタンスのスコープリージョンは異なっていてもかまいませんが、それらのマネージドリージョンは同じでなければなりません。スコープリージョンが異なる場合：

リソース所有者 (この例ではビジネスアカウント) とネットワーク管理者は、リソース検出のスコープリージョン内のすべてのリソースを管理および表示できます。
ネットワーク管理者がリソース検出を IPAM インスタンスに関連付けた後、管理者は IPAM インスタンスのスコープリージョン内のリソースのみを管理できます。

コンソール

このセクションでは、vSwitch を任意のアカウントと共有する方法について説明します。リソースをリソースディレクトリ内でのみ共有するには、「リソースをリソースディレクトリ内でのみ共有する」をご参照ください。

リソース検出の共有

ビジネスアカウントが作成したリソース検出をネットワーク管理者と共有します。
1. IPAM コンソール - リソース検出ページに移動します。トップナビゲーションバーで、リソース検出があるリージョンを選択します。リソース検出インスタンス ID をクリックするか、操作列の管理をクリックします。共有管理 タブで、リソース共有の作成 をクリックします。
2. リソース共有の作成 ページで、手順に従って共有ユニットを設定します。
  1. リソース を IPAM リソース発見 に設定し、共有する IPAM リソース検出を選択します。
  2. IPAM リソース検出に関連付けられた権限は AliyunRSDefaultPermissionIpamResourceDiscovery です。
  3. principals を すべてのアカウント に設定し、追加方法 を 手動で追加 に設定します。[プリンシパル ID] フィールドに、アドレスプールのプリンシパルの Alibaba Cloud アカウント ID を入力し、追加をクリックします。
  4. 情報を確認した後、ページ下部の 確認する をクリックします。
ネットワーク管理者アカウントにログインし、共有の招待を承諾します。
1. Resource Management コンソールのリソース共有 - 自分と共有ページに移動します。
2. トップメニューバーの左上で、共有リソースが含まれるリージョンを選択し、対象の共有ユニットの ステータス 列で承諾をクリックします。
3. リソースが共有された後、ネットワーク管理者は各ビジネスアカウントのリソース情報と IP アドレス使用率を表示できます。
ネットワーク管理者は、共有されたリソース検出を同じマネージドリージョン内の IPAM インスタンスに関連付けます。
1. IPAM コンソール - IPAM ページに移動し、対象の IPAM インスタンスがあるリージョンを選択します。対象の IPAM インスタンス ID または操作列の管理をクリックします。関連リソース発見 タブで、関連リソース発見 をクリックし、ビジネスアカウントによって共有されたリソース検出を選択します。
2. 関連付けが完了すると、ネットワーク管理者は関連付けられたリージョン内のリソースを集中管理できます。リソース管理 で、アドレスの重複や使用率などの情報を表示できます。

IPAM インスタンスとリソース検出の関連付け解除

アクティブに確立された関連付けのみがキャンセルできます。IPAM インスタンスの作成時に作成および関連付けられたデフォルトリソースディスカバリーは、関連付けを解除できません。

対象の IPAM の 関連リソース発見 タブで、リソース検出の操作列にある 関連付けを解除 をクリックします。リソース検出の関連付けが解除されると、IPAM はその検出されたアドレスリソースを管理できなくなります。

リソース検出の共有をキャンセルする

ビジネスアカウントを使用します。「リソース発見」詳細ページで、共有管理 タブをクリックし、対象の [リソース共有] をクリックしてその詳細ページを開き、その後 リソース共有の削除 をクリックします。

ネットワーク管理者がリソース検出を IPAM インスタンスに関連付けている場合でも、ビジネスアカウントは共有をキャンセルできます。キャンセル後、関連付けは自動的に削除されます。

API

共有リソース検出

リソース検出を任意のアカウントと共有する
1. ビジネスアカウントの認証情報を使用して CreateResourceShare 操作を呼び出し、共有ユニットを作成します。AllowExternalTargets パラメーターが True に設定されていることを確認してください。
2. ネットワーク管理者の認証情報を使用して ListResourceShareInvitations を呼び出して受信したリソース共有の招待をクエリし、次に AcceptResourceShareInvitation を呼び出して招待を承諾します。
リソースディレクトリ内でのみリソース検出を共有する
1. リソースディレクトリの管理アカウントの認証情報を使用して EnableSharingWithResourceDirectory 操作を呼び出し、組織全体での共有を有効にします。
2. ビジネスアカウントの認証情報を使用して CreateResourceShare 操作を呼び出し、共有ユニットを作成します。AllowExternalTargets パラメーターが True に設定されていることを確認してください。
ビジネスアカウントの認証情報を使用して DeleteResourceShare 操作を呼び出し、共有ユニットを削除してリソース検出の共有をキャンセルします。

リソース検出と IPAM インスタンスの関連付け

AssociateIpamResourceDiscovery 操作を呼び出して、リソース検出を IPAM インスタンスに関連付けます。
DissociateIpamResourceDiscovery 操作を呼び出して、リソース検出を IPAM インスタンスから関連付け解除します。

Terraform

Terraform はリソース検出の共有をサポートしていません。

マルチアカウントの IP アドレスリソース管理

企業がリソースディレクトリを使用して複数のアカウントを管理している場合、リソースディレクトリの管理アカウントは IPAM (IP Address Manager) の委任された管理者を設定できます。その後、IPAM の委任された管理者は、企業内のすべてのアカウントにわたる IP アドレスリソースの使用状況を集中して表示できます。

スコープ

IPAM 信頼できるサービスは、リソースディレクトリの IPAM 委任された管理者による操作のみをサポートします。組織の管理者や他のメンバーはこれらの操作を実行できません。

管理者の委任：リソースディレクトリは、IPAM 信頼できるサービスに対して 1 人の委任された管理者のみをサポートします。委任された管理者アカウントは、リソースディレクトリのメンバーでなければならず、組織の管理アカウントであってはなりません。
メンバーの管理：
- IPAM の委任された管理者がメンバーを追加すると、リソースディレクトリに対して IPAM 信頼できるサービスが有効になります。すべてのメンバーが削除されると、IPAM 信頼できるサービスは無効になります。
- IPAM の委任された管理者は、1 つのリージョン内の IPAM インスタンスのみを使用してリソースディレクトリのメンバーを管理できます。別のリージョン内の IPAM インスタンスを使用するには、まず現在の IPAM インスタンスからすべてのメンバーを削除する必要があります。その後、新しいリージョン内の IPAM インスタンスにメンバーを追加する必要があります。
- IPAM の委任された管理者は、リソースディレクトリのルートノードまたは Root フォルダをメンバーとして管理することはできません。
- IPAM によって管理されるメンバーアカウントは、自身のリソース検出を IPAM の委任された管理者と共有することはできません。
- IPAM 信頼できるサービスによって管理されるメンバーアカウントの数がクォータに達し、管理対象のフォルダにさらにメンバーアカウントを追加した場合、クォータを超える新しいアカウントは IPAM 信頼できるサービスによって管理されません。
委任の取り消し：IPAM の委任された管理者がすべての管理対象メンバーを削除すると、委任された管理者アカウントを削除するか、委任を取り消すことができます。

コンソール

リソースディレクトリを有効にし、マルチアカウントシステムを作成したことを確認してください。
リソースディレクトリの管理アカウントでログインし、Resource Management の信頼できるサービスページに移動します。IP Address Manager を見つけ、[操作] 列の管理をクリックします。[委任された管理者アカウント] セクションで、追加をクリックし、リソースディレクトリのメンバーを選択して IPAM の委任された管理者として指定します。
IPAM の委任された管理者アカウントでログインし、IPAM インスタンスを作成します。次に、IPAM コンソールのマルチアカウント管理ページに移動し、Add member を行います。メンバーを追加した後、委任された管理者はリソース検出を使用して、IPAM インスタンスのアクティブなリージョン内のすべての管理対象メンバーアカウントの IP アドレス使用率を表示できます。
リソース検出は 5 分ごとに更新されます。
IPAM の委任された管理者がメンバーを管理する際、IPAM は含まれる各メンバーアカウントに対してサービスリンクロールを作成し、以下のアクセスポリシーをアタッチします。
サービスリンクロールのアクセスポリシー
```
{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ecs:DescribeNetworkInterfaces",
        "ecs:DescribeSecurityGroups",
        "vpc:DescribeEipAddresses",
        "vpc:DescribeHaVips",
        "vpc:DescribeIpv6Addresses",
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches"
      ],
      "Resource": "*"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "vpcipam.vpc.aliyuncs.com"
        }
      }
    }
  ]
}
```

API

EnableResourceDirectory を呼び出してリソースディレクトリを有効にします。次に、CreateFolder と CreateResourceAccount を呼び出してマルチアカウントシステムを作成します。
リソースディレクトリの管理アカウントを使用して RegisterDelegatedAdministrator を呼び出し、IPAM の委任された管理者を設定します。
IPAM の委任された管理者は OpenVpcIpamService を呼び出して IPAM を有効にし、次に CreateIpam を呼び出して IPAM インスタンスを作成します。
IPAM の委任された管理者は AddIpamMembers を呼び出してメンバーを追加します。これにより、管理者は IPAM インスタンスがアクティブなリージョン内のすべての管理対象メンバーアカウントの IP アドレスリソースの使用状況を集中して表示できます。

リソースモニタリング

アドレス使用率の監視

アドレス使用率を監視して、使用率が高いリソースを迅速にスケールアウトします。

IPAM プールのアドレス使用率を監視するには、IPAM コンソール - IPAM プールページに移動し、対象の IPAM プールの ID をクリックします。
- 詳細タブでは、IPAM プールで利用可能な IP アドレスの数と、リソースおよびサブプールに割り当てられた IP アドレスの数を表示できます。IPAM プールがサブプールの場合、サブプールとそのソースプールの両方のアドレス使用率も表示できます。
- IP スペースの可視化 および [割り当て] タブでは、IPAM プールの割り当て詳細を表示できます。
VPC および vSwitch のアドレス使用率を監視する：
- IPAM コンソール - リソース検出ページに移動します。対象のリソース検出の ID をクリックして、スコープ内のすべての VPC および vSwitch の CIDR ブロックと IP アドレス使用率を表示します。
- IPAM コンソール - IPAM スコープページに移動し、対象のスコープの ID をクリックします。
  - リソース管理 タブでは、このスコープ内の VPC および vSwitch の CIDR ブロックと IP アドレス使用率を表示できます。VPC または vSwitch の ID をクリックして、その IP アドレス使用率を表示します。
  - モニタリングチャート タブでは、折れ線グラフを使用して、このスコープ内の VPC および vSwitch のアドレス使用率を時系列で監視できます。

アドレスの重複の監視

アドレスの重複を監視して、ネットワーク内のアドレス競合を事前に特定し、解決します。これにより、ネットワーク相互接続時のアクセス競合を防ぎます。

IPAM コンソール - IPAM スコープページに移動し、対象のスコープの ID をクリックします。

リソース管理 タブでは、現在のスコープ内の VPC および vSwitch CIDR ブロックの重複ステータスを表示できます。CIDR ブロックが重複している場合は、重複状況 列の表示をクリックして、競合するインスタンスの詳細を表示します。
モニタリングチャート タブでは、折れ線グラフを使用して、このスコープ内の重複する CIDR ブロックの数を時系列で監視できます。

CIDR ブロックの管理ステータスとコンプライアンスの監視

IPAM コンソール - IPAM スコープページに移動し、対象のスコープの ID をクリックします。概要、リソース管理、および モニタリングチャート タブで、リソースの CIDR ブロックが IPAM プールによって管理されているか、またプールの割り当てルールに準拠しているかを確認します。

詳細情報

課金

IPAM はパブリックプレビュー中です。パブリックプレビュー期間中は無料でご利用いただけます。

クォータ

クォータ名	説明	デフォルトの制限	クォータの引き上げ
ustom_ipam_resource_discovery_quota_per_region	Alibaba Cloud アカウントが 1 つのリージョンで作成できるカスタムリソースディスカバリーの数。	1	引き上げ不可
resource_share_quota_per_ipam_resource_discovery	各リソース検出に対して作成できる共有ユニットの数。	100
shared_ipam_resource_discovery_quota_per_user	ユーザーが持つことができる共有リソース検出の数。	100
ipam_resource_directory_member_detail_quota	IPAM 信頼できるサービスが管理できるメンバーアカウントの最大数。	1000