# Automatización de las actualizaciones de la lista de prefijos con IPAM
Una [lista de prefijos administrada](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html) es un conjunto de bloques CIDR que puede utilizar como referencia en las reglas de los grupos de seguridad y en las tablas de enrutamiento, en lugar de especificar direcciones IP individuales. Por ejemplo, en lugar de crear reglas de grupo de seguridad independientes para `10.1.0.0/16`, `10.2.0.0/16` y `10.3.0.0/16`, puede crear una única lista de prefijos que incluya los tres bloques CIDR y hacer referencia a esta en una sola regla.
Hay dos tipos:
+ **Listas de prefijos administradas por el cliente**: rangos de direcciones IP que usted define y administra
+ **Listas de prefijos administradas por AWS**: rangos de direcciones IP para servicios de AWS (como S3 o CloudFront)
Esta característica de IPAM automatiza la administración de las **listas de prefijos administradas por el cliente** y mantiene las entradas CIDR sincronizadas con los cambios en la red.
## El problema que esto resuelve
Sin la automatización, los equipos de red deben invertir una cantidad considerable de tiempo en actualizar manualmente las listas de prefijos cuando cambia la infraestructura y en garantizar la coherencia de dichas listas en todos los entornos y regiones.
IPAM soluciona este problema al permitir la creación de reglas que actualizan automáticamente las listas de prefijos. Puede usar dos enfoques: hacer referencia a los bloques CIDR de los grupos de IPAM o crear reglas basadas en los recursos reales de AWS, por ejemplo: “incluir todas las VPC etiquetadas con env=prod”, “incluir todas las subredes en us-east-1” o “incluir todas las direcciones IP elásticas pertenecientes a la cuenta 123456789”. Al agregar o eliminar estos recursos, IPAM actualiza la lista de prefijos con sus bloques CIDR de forma automática.
## Funcionamiento
Cree reglas que indiquen a IPAM qué direcciones IP incluir en una lista de prefijos. Por ejemplo: “incluir todos los bloques CIDR de las VPC etiquetadas con env=prod”. Cuando agregue o elimine VPC de producción, IPAM actualiza la lista de prefijos de forma automática.
## Cuándo se debe usar
+ **Grupos de seguridad**: cree una regla “incluir todas las VPC etiquetadas con env=prod” para que, al agregar nuevas VPC de producción, estas se autoricen automáticamente en las reglas del grupo de seguridad
+ **Multirregión**: implemente las mismas reglas de IPAM en varias regiones para mantener listas de prefijos idénticas sin copiar manualmente las entradas CIDR
+ **Infraestructura dinámica**: cuando cree o elimine VPC o subredes, los bloques CIDR se agregarán o eliminarán automáticamente de las listas de prefijos, sin necesidad de actualizaciones manuales
## Requisitos previos
Antes de comenzar, asegúrese de que dispone de lo siguiente:
+ Un [IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/create-ipam.html) con el [nivel avanzado](https://docs.aws.amazon.com/vpc/latest/ipam/mod-ipam-tier.html) habilitado
+ Una [lista de prefijos administrada por el cliente](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html#create-prefix-list) (o cree una durante la configuración)
+ [Permisos de IAM](https://docs.aws.amazon.com/vpc/latest/ipam/iam-ipam.html) para las operaciones de IPAM y de listas de prefijos de EC2
## Pasos de configuración
### Paso 1: Creación de un solucionador de lista de prefijos de IPAM
Defina qué bloques CIDR incluir en la lista de prefijos mediante la creación de un solucionador de lista de prefijos de IPAM.
------
#### [ AWS Management Console ]
**Para crear un solucionador de lista de prefijos de IPAM**
1. Abra la [consola de IPAM](https://console.aws.amazon.com/ipam/).
1. En el panel de navegación, elija **Solucionadores de lista de prefijos**.
1. Elija **Crear solucionador de lista de prefijos**.
1. En el **Paso 1: Configurar detalles del solucionador**, seleccione lo siguiente:
+ **IPAM**: una instancia de IPAM
+ **Familia de direcciones**: IPv4 o IPv6
+ **Etiqueta de nombre (opcional)**: un nombre descriptivo
+ **Descripción (opcional)**: una descripción
+ **Etiquetas**: etiquetas de recursos
1. Elija **Siguiente**.
1. En el **Paso 2: Configurar las reglas**, elija **Agregar regla**. Puede agregar hasta 99 reglas.
**importante**
Puede crear un solucionador de listas de prefijos sin incluir reglas de selección de CIDR; sin embargo, generará versiones vacías (sin bloques CIDR) hasta que se agreguen dichas reglas.
1. Elija uno de los siguientes tipos de reglas:
+ **CIDR estática**: una lista fija de bloques CIDR que no cambia (similar a una lista manual replicada en las regiones)
+ **CIDR del grupo de IPAM**: CIDR provenientes de grupos específicos de IPAM (por ejemplo, todos los CIDR del grupo de producción de IPAM)
Si selecciona esta opción, elija lo siguiente:
+ **Ámbito de IPAM**: seleccione el ámbito de IPAM en el que desea buscar recursos
+ **Condiciones de:**
+ **Propiedad**
+ **ID del grupo de IPAM**: seleccione un grupo de IPAM que contenga los recursos
+ **CIDR** (como 10.24.34.0/23)
+ **Operación**: igual/no igual
+ **Valor**: el valor con el que se debe cumplir la condición
+ **CIDR de recurso de ámbito**: CIDR de recursos de AWS, como VPC, subredes o direcciones IP elásticas dentro de un ámbito de IPAM
Si selecciona esta opción, elija lo siguiente:
+ **Ámbito de IPAM**: seleccione el ámbito de IPAM en el que desea buscar recursos
+ **Tipo de recurso**: seleccione un recurso, como una VPC o una subred.
+ **Condiciones de**:
+ ****:
+ ID de recurso: el identificador único de un recurso (como vpc-1234567890abcdef0)
+ Propietario del recurso (como 111122223333)
+ Región del recurso (como us-east-1)
+ Etiqueta del recurso (como clave: nombre, valor: dev-vpc-1)
+ CIDR (como 10.24.34.0/23)
+ **Operación**: igual/no igual
+ **Valor**: el valor con el que se debe cumplir la condición
1. Elija **Siguiente**.
1. Elija **Validar y crear**.
------
#### [ Command line ]
Los comandos de esta sección contienen enlaces a la *Referencia de comandos de la AWS CLI*. La documentación proporciona descripciones detalladas de las opciones que puede utilizar al ejecutar los comandos.
Utilice los siguientes comandos de la AWS CLI para crear un solucionador de listas de prefijos de IPAM:
+ Use el comando [create-ipam-prefix-list-resolver](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-ipam-prefix-list-resolver.html) y guarde el ID del solucionador devuelto para el paso 2.
------
### Paso 2: Creación de un destino de solucionador para conectarlo a una lista de prefijos
Vincule el solucionador a una lista de prefijos existente mediante la creación de un destino de solucionador. Use el ID del solucionador devuelto en el paso 1.
------
#### [ AWS Management Console ]
**Para crear un destino de solucionador de lista de prefijos de IPAM**
1. En la consola de IPAM, elija **Solucionadores de listas de prefijos**.
1. Elija el solucionador que creó en el paso 1.
1. En la página de detalles del solucionador, elija la pestaña **Destinos**.
1. Elija **Crear destino**.
1. Configurar el destino:
+ **Región**: seleccione la región donde exista la lista de prefijos administrada o donde vaya a crear una.
+ **Lista de prefijos**: elija una lista de prefijos administrada existente o cree una nueva
1. En **Versión deseada**, seleccione una de las siguientes opciones:
+ **Seguir siempre la versión más reciente**: elija esta opción para recibir actualizaciones automáticas cuando desee que las listas de prefijos se mantengan actualizadas con los cambios de infraestructura sin intervención manual.
+ **Seguir una versión específica**: elija esta opción para mantener la estabilidad cuando necesite actualizaciones predecibles y controladas, y prefiera aprobar manualmente los cambios en las listas de prefijos.
1. Elija **Crear destino**.
------
#### [ Command line ]
Los comandos de esta sección contienen enlaces a la *Referencia de comandos de la AWS CLI*. La documentación proporciona descripciones detalladas de las opciones que puede utilizar al ejecutar los comandos.
Use los siguientes comandos de la AWS CLI para crear un destino de solucionador de lista de prefijos de IPAM:
+ Use el comando [create-ipam-prefix-list-resolver-target](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-ipam-prefix-list-resolver-target.html) con el ID del solucionador del paso 1 y el ID de la lista de prefijos existente.
------
IPAM ahora actualiza automáticamente la lista de prefijos según las reglas. La lista de prefijos se completará con los CIDR que coincidan con los criterios.
### Paso 3: Supervisión de versiones y sincronización
Como resultado de crear un solucionador y un destino de lista de prefijos, el solucionador genera versiones de CIDR según las reglas, y el destino sincroniza esos CIDR del solucionador con una lista de prefijos administrada específica. Cada versión es una instantánea de los CIDR que coincidían con las reglas en ese momento. El número de versión aumenta cada vez que la lista de CIDR cambia debido a modificaciones en la infraestructura.
**Ejemplo de la versión:**
**Estado inicial (versión 1)**
Entorno de producción:
+ vpc-prod-web (10.1.0.0/16): etiquetado con env=prod
+ vpc-prod-db (10.2.0.0/16): etiquetado con env=prod
Regla del solucionador: incluir todas las VPC etiquetadas con env=prod
**CIDR de la versión 1:** 10.1.0.0/16, 10.2.0.0/16
**Cambio en la infraestructura (versión 2)**
Nueva VPC agregada:
+ vpc-prod-api (10.3.0.0/16): etiquetado con env=prod
IPAM detecta automáticamente el cambio y crea una nueva versión.
**CIDR de la versión 2:** 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16
Esta sección explica cómo supervisar la creación de versiones mediante la consola de AWS o la CLI de AWS, y cómo verificar la sincronización correcta mediante la CLI de AWS.
Además, se recomienda configurar alarmas de CloudWatch basadas en las métricas de fallos, ya que podría ser necesario reevaluar y ajustar las reglas de selección de CIDR para mantenerse dentro de los límites de tamaño de las listas de versiones y de prefijos. Para obtener una lista de las métricas de CloudWatch relacionadas con las listas de prefijos de IPAM, consulte [Métricas del solucionador de lista de prefijos de IPAM](cloudwatch-ipam-ip-address-usage.md#cloudwatch-ipam-prefix-list-resolver-metrics).
------
#### [ AWS Management Console ]
**Para ver las versiones creadas y supervisar la sincronización del destino**
1. En la consola de IPAM, elija **Solucionadores de listas de prefijos**.
1. Elija el solucionador que creó en el paso 1.
1. En la página de detalles del solucionador, elija la pestaña **Versiones**. Aquí verá las versiones creadas por el solucionador junto con los CIDR incluidos en cada versión.
1. En la página de detalles del solucionador, elija la pestaña **Supervisión**. En esta vista, las [Métricas del solucionador de lista de prefijos de IPAM](cloudwatch-ipam-ip-address-usage.md#cloudwatch-ipam-prefix-list-resolver-metrics) se presentan en forma de gráfico:
+ Se creó correctamente la versión del solucionador de listas de prefijos
+ Error en la creación de versión del solucionador de lista de prefijos
1. Desde la pestaña **Supervisión**, también puede configurar una alarma de CloudWatch. Paa ello, elija **Crear alarma para la creación de versión del solucionador de lista de prefijos**. Se le redirige a la consola de CloudWatch con la alarma parcialmente configurada para la métrica. Para obtener más información sobre cómo finalizar la creación de la alarma, consulte [Creación de una alarma de CloudWatch basada en un umbral estático](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) en la *Guía del usuario de Amazon CloudWatch*.
------
#### [ Command line ]
Los comandos de esta sección contienen enlaces a la *Referencia de comandos de la AWS CLI*. La documentación proporciona descripciones detalladas de las opciones que puede utilizar al ejecutar los comandos.
Utilice los siguientes comandos de la AWS CLI para supervisar las versiones y la sincronización:
1. Use el comando [get-ipam-prefix-list-resolver-version-entries](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-prefix-list-resolver-version-entries.html) para ver la versión más reciente creada por el solucionador.
1. Use el comando [describe-ipam-prefix-list-resolver-targets](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-prefix-list-resolver-targets.html) para supervisar el estado de sincronización del destino del solucionador.
El comando de supervisión muestra:
+ state: estado de sincronización actual (create-complete, modify-complete y otros)
+ lastSyncedVersion: última versión sincronizada correctamente
+ desiredVersion: versión de destino a la que se debe sincronizar
+ stateMessage: detalles del error si la sincronización falla
------
**importante**
Para respaldar los flujos de trabajo de reversión, IPAM conservará copias de las 10 versiones anteriores de resolución de listas de prefijos para cada uno de sus objetivos; además, IPAM eliminará las versiones que superen este umbral si permanecen sin referencia durante 7 días más.
### Paso 4: (opcional) Habilitación y desactivación de la sincronización de la lista de prefijos de IPAM
Si una lista de prefijos administrada se ha configurado como destino de una lista de prefijos de IPAM y desea realizar cambios en dicha lista sin necesitar permisos para acceder al destino del solucionador de lista de prefijos de IPAM, puede [modificar la lista de prefijos administrada](https://docs.aws.amazon.com/vpc/latest/userguide/work-with-cust-managed-prefix-lists.html#modify-managed-prefix-list) y desactivar la sincronización con el solucionador de lista de prefijos de IPAM. Cuando la sincronización está desactivada, los CIDR de la lista de prefijos no se actualizan automáticamente y es posible modificarlos. Cuando está habilitada, los CIDR de la lista de prefijos se actualizan automáticamente en función de las reglas de selección de CIDR del solucionador asociado.