# Lleve su propio CIDR IPv4 público a IPAM únicamente por medio de la AWS CLI
Siga estos pasos para llevar un CIDR IPv4 a IPAM y asignar una dirección IP elástica (EIP) con el CIDR únicamente mediante el uso de AWS CLI.
**importante**
En este tutorial, se presupone que ya ha completado los pasos que se detallan en las siguientes secciones:
[Integración de IPAM con cuentas en una organización de AWS](enable-integ-ipam.md).
[Creación de un IPAM](create-ipam.md).
Cada paso de este tutorial debe realizarse con una de tres cuentas de AWS Organizations:
La cuenta de administración.
La cuenta de miembro configurada para ser su administrador de IPAM en [Integración de IPAM con cuentas en una organización de AWS](enable-integ-ipam.md). En este tutorial, esta cuenta se llamará cuenta de IPAM.
La cuenta de miembro de su organización es la que asignará CIDR de un grupo de IPAM. En este tutorial, esta cuenta se llamará cuenta de miembro.
**Topics**
+ [Paso 1: Crear perfiles con nombre y roles de IAM de la AWS CLI](#tutorials-create-profiles)
+ [Paso 2: Cree un IPAM](#tutorials-byoip-ipam-ipv4-2)
+ [Paso 3: Cree un grupo de IPAM de nivel superior](#tutorials-byoip-ipam-ipv4-3)
+ [Paso 4: Aprovisione un CIDR en el grupo de nivel superior](#tutorials-byoip-ipam-ipv4-4)
+ [Paso 5: Cree un grupo regional dentro del grupo de nivel superior](#tutorials-byoip-ipam-ipv4-5)
+ [Paso 6: Aprovisione un CIDR al grupo regional](#tutorials-byoip-ipam-ipv4-6)
+ [Paso 7: Anunciar el CIDR](#tutorials-byoip-ipam-ipv4-11)
+ [Paso 8: uso compartido del grupo regional](#tutorials-byoip-ipam-ipv4-console-4-deux)
+ [Paso 9: asignación de una dirección IP elástica desde el grupo](#tutorials-byoip-ipam-ipv4-console-cli-all-eip)
+ [Paso 10: asociación de la dirección IP elástica a una instancia de EC2](#tutorials-byoip-ipam-ipv4-console-cli-assoc-eip)
+ [Paso 11: Efectúe una limpieza](#tutorials-byoip-ipam-ipv4-cli-cleanup)
+ [Alternativa al paso 9](#tutorials-byoip-ipam-ipv4-cli-alt)
## Paso 1: Crear perfiles con nombre y roles de IAM de la AWS CLI
Para completar este tutorial como un usuario de AWS único, puede utilizar perfiles con nombre de AWS CLI para cambiar de un rol de IAM a otro. Los [perfiles con nombre](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-using-profiles) son conjuntos de configuraciones y credenciales a los que se hace referencia cuando se utiliza la opción `--profile` con la AWS CLI. Para obtener más información sobre cómo crear roles de IAM y perfiles con nombre para las cuentas de AWS, consulte [Uso de un rol de IAM en la AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html).
Cree un rol y un perfil con nombre para cada una de las tres cuentas de AWS que utilizará en este tutorial:
+ Un perfil llamado `management-account` para la cuenta de administración de AWS Organizations.
+ Un perfil llamado `ipam-account` para la cuenta de miembro de AWS Organizations que está configurada para ser su administrador de IPAM.
+ Un perfil llamado `member-account` para la cuenta de miembro de AWS Organizations en su organización que asignará CIDR de un grupo de IPAM.
Después de crear los roles de IAM y los perfiles con nombre, regrese a esta página y vaya al paso siguiente. En el resto de este tutorial, observará que los comandos AWS CLI de ejemplo utilizan la opción `--profile` con uno de los perfiles con nombre para indicar qué cuenta debe ejecutar el comando.
## Paso 2: Cree un IPAM
Este paso es opcional. Si ya tiene un IPAM creado con regiones operativas de `us-east-1` y `us-west-2` creadas, puede omitir este paso. Cree un IPAM y especifique una región operativa de `us-east-1` y `us-west-2`. Debe seleccionar una región operativa para poder utilizar la opción de configuración regional al crear su grupo de IPAM. La integración de IPAM con BYOIP requiere que la configuración regional se establezca en el grupo que se utilizará para el CIDR de BYOIP.
La cuenta de IPAM debe realizar este paso.
Use el siguiente comando:
```
aws ec2 create-ipam --description my-ipam --region us-east-1 --operating-regions RegionName=us-west-2 --profile ipam-account
```
En la salida, verá el IPAM que creó. Anote el valor para `PublicDefaultScopeId`. Necesitará su ID de alcance público en el siguiente paso. Está utilizando el alcance público porque los CIDR de BYOIP son direcciones IP públicas, que es para lo que está destinado el alcance público.
```
{
"Ipam": {
"OwnerId": "123456789012",
"IpamId": "ipam-090e48e75758de279",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"PublicDefaultScopeId": "ipam-scope-0087d83896280b594",
"PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",
"ScopeCount": 2,
"Description": "my-ipam",
"OperatingRegions": [
{
"RegionName": "us-east-1"
},
{
"RegionName": "us-west-2"
}
],
"Tags": []
}
}
```
## Paso 3: Cree un grupo de IPAM de nivel superior
Complete los pasos de esta sección para crear un grupo de IPAM de nivel superior.
La cuenta de IPAM debe realizar este paso.
**Para crear un grupo de direcciones IPv4 para todos los recursos de AWS con la AWS CLI**
1. Ejecute el siguiente comando para crear un grupo de IPAM. Utilice el ID de alcance público del IPAM que creó en el paso anterior.
La cuenta de IPAM debe realizar este paso.
```
aws ec2 create-ipam-pool --region us-east-1 --ipam-scope-id ipam-scope-0087d83896280b594 --description "top-level-IPv4-pool" --address-family ipv4 --profile ipam-account
```
En la salida, verá `create-in-progress`, lo que indica que la creación del grupo se encuentra en curso.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "None",
"PoolDepth": 1,
"State": "create-in-progress",
"Description": "top-level-pool",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": []
}
}
```
1. Ejecute el siguiente comando hasta que vea el estado `create-complete` en la salida.
```
aws ec2 describe-ipam-pools --region us-east-1 --profile ipam-account
```
La siguiente salida de ejemplo muestra el estado del grupo.
```
{
"IpamPools": [
{
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "None",
"PoolDepth": 1,
"State": "create-complete",
"Description": "top-level-IPV4-pool",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": []
}
]
}
```
## Paso 4: Aprovisione un CIDR en el grupo de nivel superior
Aprovisione un bloque de CIDR en el grupo de nivel superior. Tenga en cuenta que cuando aprovisione un CIDR IPv4 en un grupo dentro del grupo de nivel superior, el CIDR IPv4 mínimo que puede aprovisionar es `/24`; no se permiten CIDR más específicos (como `/25`).
**nota**
Si [verificó el control de su dominio con un certificado X.509](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-cert), debe incluir el CIDR y el mensaje BYOIP y la firma del certificado que creó en ese paso para que podamos verificar que controla el espacio público.
Si [verificó el control de su dominio con un registro TXT de DNS](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-dns-txt), debe incluir el CIDR y el token de verificación CIDR e IPAM que creó en ese paso para que podamos verificar que controla el espacio público.
Solo tiene que verificar el control del dominio cuando aprovisiona el CIDR de BYOIP en el grupo de nivel superior. En el grupo regional dentro del grupo de nivel superior, puede omitir la opción de verificación de propiedad del dominio.
La cuenta de IPAM debe realizar este paso.
**importante**
Solo tiene que verificar el control del dominio cuando aprovisiona el CIDR de BYOIP en el grupo de nivel superior. En el grupo regional dentro del grupo de nivel superior, puede omitir la opción de control del dominio. Una vez que haya incorporado su BYOIP a IPAM, no está obligado a realizar la validación de la propiedad cuando divide el BYOIP entre regiones y cuentas.
**Para aprovisionar un bloque de CIDR en el grupo mediante la AWS CLI**
1. Para proporcionar al CIDR la información del certificado, utilice el siguiente ejemplo de comando. Además de reemplazar los valores según sea necesario en el ejemplo, asegúrese de reemplazar los valores `Message` y `Signature` por los valores `text_message` y `signed_message` que ingresó en [Verificación de su dominio con un certificado X.509](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-cert).
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --cidr 130.137.245.0/24 --verification-method remarks-x509 --cidr-authorization-context Message="1|aws|470889052444|130.137.245.0/24|20250101|SHA256|RSAPSS",Signature="W3gdQ9PZHLjPmrnGM~cvGx~KCIsMaU0P7ENO7VRnfSuf9NuJU5RUveQzus~QmF~Nx42j3z7d65uyZZiDRX7KMdW4KadaLiClyRXN6ps9ArwiUWSp9yHM~U-hApR89Kt6GxRYOdRaNx8yt-uoZWzxct2yIhWngy-du9pnEHBOX6WhoGYjWszPw0iV4cmaAX9DuMs8ASR83K127VvcBcRXElT5URr3gWEB1CQe3rmuyQk~gAdbXiDN-94-oS9AZlafBbrFxRjFWRCTJhc7Cg3ASbRO-VWNci-C~bWAPczbX3wPQSjtWGV3k1bGuD26ohUc02o8oJZQyYXRpgqcWGVJdQ__" --profile ipam-account
```
Para proporcionar al CIDR la información del token de verificación, utilice el siguiente ejemplo de comando. Además de reemplazar los valores según sea necesario en el ejemplo, asegúrese de reemplazar `ipam-ext-res-ver-token-0309ce7f67a768cf0` por el ID del token `IpamExternalResourceVerificationTokenId` que ingresó en [Verificación de su dominio con un registro TXT de DNS](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-dns-txt).
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --cidr 130.137.245.0/24 --verification-method dns-token --ipam-external-resource-verification-token-id ipam-ext-res-ver-token-0309ce7f67a768cf0 --profile ipam-account
```
En la salida, verá el CIDR pendiente de aprovisionamiento.
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "pending-provision"
}
}
```
1. Antes de continuar, asegúrese de que este CIDR se haya aprovisionado.
**importante**
Si bien la mayoría del aprovisionamiento se completará en dos horas, el proceso de aprovisionamiento de los intervalos que se pueden anunciar públicamente puede tardar hasta una semana en completarse.
Ejecute el siguiente comando hasta que vea el estado `provisioned` en la salida.
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --profile ipam-account
```
En la siguiente salida de ejemplo se muestra el estado.
```
{
"IpamPoolCidrs": [
{
"Cidr": "130.137.245.0/24",
"State": "provisioned"
}
]
}
```
## Paso 5: Cree un grupo regional dentro del grupo de nivel superior
Cree un grupo regional dentro del grupo de nivel superior.
En su lugar, realice una de las siguientes acciones:
+ Una región de AWS en las que desea que este grupo de IPAM esté disponible para asignaciones.
+ El grupo de límites de red de una zona AWS local en la que desea que este grupo de IPAM esté disponible para asignaciones ([zonas locales compatibles](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html#byoip-zone-avail)). Esta opción solo está disponible para los grupos IPv4 de IPAM de ámbito público.
+ Una [zona AWS local dedicada](https://aws.amazon.com/dedicatedlocalzones/). Para crear un grupo dentro de una zona AWS local dedicada, ingrese la zona AWS local dedicada en la entrada del selector.
+ `Global` cuando desee utilizar direcciones IP de forma global en todas las regiones de AWS, como las ubicaciones de CloudFront. La configuración local `Global` solo está disponible para los grupos IPv4 públicos.
Por ejemplo, solo puede asignar un CIDR para una VPC desde un grupo de IPAM que comparte una configuración regional con la región de la VPC. Tenga en cuenta que, una vez elegida la configuración regional para un grupo, no puede modificarla. Si la región de origen de IPAM no está disponible debido a una interrupción y el grupo tiene una configuración regional diferente a la región de origen de IPAM, el grupo aún se puede usar para asignar direcciones IP.
Cuando ejecute los comandos de esta sección, el valor de `--region` debe coincidir con la opción `--locale` que ingresó cuando creó el grupo que se utilizará para el CIDR de BYOIP. Por ejemplo, si creó el grupo BYOIP con la configuración regional *us-east-1*, la `--region` debería ser *us-east-1. * Si creó el grupo BYOIP con la configuración regional *us-east-1-scl-1* (un grupo de borde de red que se utiliza para las zonas locales), la `--region` debería ser *us-east-1* porque esa región administra la configuración regional *us-east-1-scl-1*.
La cuenta de IPAM debe realizar este paso.
Elegir una configuración regional garantiza que no haya dependencias entre regiones entre su grupo y los recursos que se asignan desde él. Las opciones disponibles proceden de las regiones operativas que eligió al crear su IPAM. En este tutorial, utilizaremos `us-west-2` como escenario para el grupo regional.
**importante**
Al crear el grupo, debe incluir `--aws-service ec2`. El servicio que seleccione determina el servicio AWS donde el CIDR puede ser anunciado. Actualmente, la única opción es `ec2`, lo que significa que los CIDR asignados desde este grupo pueden ser anunciados en el servicio Amazon EC2 (para direcciones IP elásticas) y el servicio Amazon VPC (para CIDR asociados a VPC).
**Para crear un grupo regional mediante la AWS CLI**
1. Ejecute el siguiente comando para crear el grupo.
```
aws ec2 create-ipam-pool --description "Regional-IPv4-pool" --region us-east-1 --ipam-scope-id ipam-scope-0087d83896280b594 --source-ipam-pool-id ipam-pool-0a03d430ca3f5c035 --locale us-west-2 --address-family ipv4 --aws-service ec2 --profile ipam-account
```
En la salida, verá el IPAM que crea el grupo.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0d8f3646b61ca5987",
"SourceIpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0d8f3646b61ca5987",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-west-2",
"PoolDepth": 2,
"State": "create-in-progress",
"Description": "Regional--pool",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": [],
"ServiceType": "ec2"
}
}
```
1. Ejecute el siguiente comando hasta que vea el estado `create-complete` en la salida.
```
aws ec2 describe-ipam-pools --region us-east-1 --profile ipam-account
```
En la salida, verá los grupos que tiene en el IPAM. En este tutorial, hemos creado un grupo de nivel superior y un grupo regional, así que verá ambos.
## Paso 6: Aprovisione un CIDR al grupo regional
Aprovisione un bloque de CIDR al grupo regional.
**nota**
Al aprovisionar un CIDR en un grupo regional dentro del grupo de nivel superior, el CIDR IPv4 más específico que puede aprovisionar es `/24`; no se permiten CIDR más específicos (como `/25`). Después de crear el grupo regional, podrá crear grupos más reducidos (como `/25`) dentro del mismo grupo regional. Tenga en cuenta que, si comparte el grupo o los grupos regionales dentro de este, estos grupos solo se podrán utilizar en la configuración regional establecida en el mismo grupo regional.
La cuenta de IPAM debe realizar este paso.
**Para asignar un bloque de CIDR al grupo regional mediante la AWS CLI**
1. Ejecute el siguiente comando para aprovisionar el CIDR.
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --cidr 130.137.245.0/24 --profile ipam-account
```
En la salida, verá el CIDR pendiente de aprovisionamiento.
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "pending-provision"
}
}
```
1. Ejecute el siguiente comando hasta que vea el estado `provisioned` en la salida.
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
La siguiente salida de ejemplo muestra el estado correcto.
```
{
"IpamPoolCidrs": [
{
"Cidr": "130.137.245.0/24",
"State": "provisioned"
}
]
}
```
## Paso 7: Anunciar el CIDR
La cuenta de IPAM debe realizar los pasos de esta sección. Una vez que asocie la dirección IP elástica (EIP) a una instancia o un Elastic Load Balancer, podrá comenzar a anunciar el CIDR que ha traído a AWS que está en el grupo y tiene `--aws-service ec2` definido. En este tutorial, ese es su grupo regional. De forma predeterminada, el CIDR no se anuncia, lo que significa que no es accesible de manera pública a través de Internet. Cuando ejecute el comando en esta sección, el valor de `--region` debe coincidir con la opción `--locale` que introdujo cuando creó el grupo que se utilizará para el CIDR de BYOIP.
La cuenta de IPAM debe realizar este paso.
**nota**
El estado del anuncio no restringe su capacidad de asignar direcciones IP elásticas. Incluso si su CIDR de BYOIPv4 no está anunciado, puede crear EIP a partir del grupo del IPAM.
**Comenzar a anunciar el CIDR mediante la AWS CLI**
+ Ejecute el siguiente comando para anunciar el CIDR.
```
aws ec2 advertise-byoip-cidr --region us-west-2 --cidr 130.137.245.0/24 --profile ipam-account
```
En la salida, verá que se anuncia el CIDR.
```
{
"ByoipCidr": {
"Cidr": "130.137.245.0/24",
"State": "advertised"
}
}
```
## Paso 8: uso compartido del grupo regional
Siga los pasos de esta sección para compartir el grupo de IPAM utilizando AWS Resource Access Manager (RAM).
### Habilitar el uso compartido de recursos en AWS RAM
Después de crear su IPAM, podrá compartir el grupo regional con otras cuentas de su organización. Antes de compartir un grupo de IPAM, complete los pasos de esta sección para habilitar el uso compartido de recursos con AWS RAM. Si utiliza la AWS CLI para habilitar el uso compartido de recursos, utilice la opción `--profile management-account`.
**Habilitar el uso compartido de recursos**
1. Utilizando la cuenta de administración AWS Organizations, abra la consola AWS RAM en [https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/).
1. En el panel de navegación izquierdo, seleccione **Configuración**, seleccione **Habilitar uso compartido con AWS Organizations** y, a continuación, seleccione **Guardar configuración**.
Ahora puede compartir un grupo de IPAM con otros miembros de la organización.
### Compartir un grupo de IPAM mediante AWS RAM
En esta sección compartirá el grupo regional con otra cuenta de miembro de AWS Organizations. Para instrucciones completas sobre cómo compartir grupos de IPAM, incluyendo información sobre los permisos de IAM requeridos, consulte [Compartir un grupo de IPAM mediante AWS RAM](share-pool-ipam.md). Si utiliza la AWS CLI para habilitar el uso compartido de recursos, utilice la opción `--profile ipam-account`.
**Compartir un grupo de IPAM mediante AWS RAM**
1. Utilizando la cuenta de administrador de IPAM, abra la consola de IPAM en [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/).
1. En el panel de navegación, elija **Pools** (Grupos).
1. Seleccione el ámbito privado, elija el grupo de IPAM y seleccione **Acciones** > **Ver detalles**.
1. En **Resource sharing** (Uso compartido de recursos), elija **Create resource share** (Crear recursos compartidos). Se abrirá la consola de AWS RAM. Se compartirá el grupo utilizando AWS RAM.
1. Elija **Create a resource share** (Crear un recurso compartido).
1. En la consola AWS RAM, seleccione de nuevo **Crear un recurso compartido**.
1. Añada un **Nombre** para el grupo compartido.
1. En **Seleccionar tipo de recurso**, elija **Grupos de IPAM** y, a continuación, seleccione el ARN del grupo que quieres compartir.
1. Elija **Siguiente**.
1. Elija el permiso **AWSRAMPermissionIpamPoolByoipCidrImport**. Los detalles de las opciones de permiso están fuera del marco de este tutorial, pero puede encontrar más información sobre estas opciones en [Compartir un grupo de IPAM mediante AWS RAM](share-pool-ipam.md).
1. Elija **Siguiente**.
1. En **Entidades principales** > **Seleccionar tipo de entidad principal**, elige **Cuenta de AWS** e ingresa el ID de la cuenta que proporcionará un rango de direcciones IP a IPAM y, a continuación, elige **Agregar** .
1. Elija **Siguiente**.
1. Revise las opciones de recurso compartido y las entidades principales con las que se compartirá y seleccione **Crear**.
1. Para permitir que la cuenta de **member-account** asigne CIDRS de direcciones IP desde el grupo de IPAM, cree un segundo recurso compartido con `AWSRAMDefaultPermissionsIpamPool`. El valor para `--resource-arns` es el ARN del grupo de IPAM que creó en la sección anterior. El valor para `--principals` es el ID de cuenta del **member-account**. El valor para `--permission-arns` es el ARN del permiso `AWSRAMDefaultPermissionsIpamPool`.
## Paso 9: asignación de una dirección IP elástica desde el grupo
Complete los pasos de esta sección para asignar una dirección IP elástica desde el grupo. Tenga en cuenta que si utiliza grupos de IPv4 públicos para asignar direcciones IP elásticas, puede seguir los pasos alternativos de [Alternativa al paso 9](#tutorials-byoip-ipam-ipv4-cli-alt) en lugar de los pasos de esta sección.
**importante**
Si aparece un error relacionado con la falta de permisos para llamar a ec2:AllocateAddress, se debe actualizar el permiso administrado actualmente asignado al grupo de IPAM que se le compartió. Póngase en contacto con la persona que creó el recurso compartido y pídale que actualice el permiso administrado `AWSRAMPermissionIpamResourceDiscovery` a la versión predeterminada. Para obtener más información, consulte [Actualizar un recurso compartido](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-update.html) en la *Guía del usuario de AWS RAM*.
------
#### [ AWS Management Console ]
Siga los pasos de [Allocate an Elastic IP address](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-allocating) en la *Guía del usuario de Amazon EC2* para asignar la dirección, pero tenga en cuenta lo siguiente:
+ La cuenta de miembro debe realizar este paso.
+ Asegúrese de que la región de AWS en la que se encuentra en la consola de EC2 coincida con la opción de configuración regional que eligió al crear el grupo regional.
+ Al elegir el grupo de direcciones, seleccione la opción **Asignar mediante un grupo de IPAM IPv4** y elija el grupo regional que creó.
------
#### [ Command line ]
Asigne una dirección del grupo con el comando [allocate-address](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/allocate-address.html). El valor de `--region` que utilice debe coincidir con la opción `-locale` que eligió al crear el grupo en el paso 2. Incluya el ID del grupo del IPAM que creó en el paso 2 en `--ipam-pool-id`. Si lo desea, también puede elegir un `/32` específico de su grupo de IPAM mediante la opción `--address`.
```
aws ec2 allocate-address --region us-east-1 --ipam-pool-id ipam-pool-07ccc86aa41bef7ce
```
Respuesta de ejemplo:
```
{
"PublicIp": "18.97.0.41",
"AllocationId": "eipalloc-056cdd6019c0f4b46",
"PublicIpv4Pool": "ipam-pool-07ccc86aa41bef7ce",
"NetworkBorderGroup": "us-east-1",
"Domain": "vpc"
}
```
Para obtener más información, consulte [Allocate an Elastic IP address](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-allocating) en la *Guía del usuario de Amazon EC2*.
------
## Paso 10: asociación de la dirección IP elástica a una instancia de EC2
Complete los pasos de esta sección a fin de asociar la dirección IP elástica a una instancia de EC2.
------
#### [ AWS Management Console ]
Siga los pasos de [Associate an Elastic IP address](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-associating) en la *Guía del usuario de Amazon EC2* para asignar una dirección IP elástica del grupo del IPAM, pero tenga en cuenta lo siguiente: cuando utilice la opción de la Consola de administración de AWS, la región de AWS a la que asocie la dirección IP elástica debe coincidir con la opción de configuración regional que eligió al crear el grupo regional.
La cuenta de miembro debe realizar este paso.
------
#### [ Command line ]
La cuenta de miembro debe realizar este paso. Use la opción `--profile member-account`.
Asocie la dirección IP elástica a una instancia con el comando [associate-address](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/allocate-address.html). El valor de `--region` al que asocia la dirección IP elástica debe coincidir con la opción `--locale` que eligió cuando creó el grupo regional.
```
aws ec2 associate-address --region us-east-1 --instance-id i-07459a6fca5b35823 --public-ip 18.97.0.41
```
Respuesta de ejemplo:
```
{
"AssociationId": "eipassoc-06aa85073d3936e0e"
}
```
Para obtener más información, consulte [Asociación de una dirección IP elástica a una instancia o una interfaz de red](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-associating) en la *Guía del usuario de Amazon EC2*.
------
## Paso 11: Efectúe una limpieza
Siga los pasos de esta sección para eliminar los recursos que ha aprovisionado y creado en este tutorial. Cuando ejecute los comandos de esta sección, el valor de `--region` debe coincidir con la opción `--locale` que ingresó cuando creó el grupo que se utilizará para el CIDR de BYOIP.
**Eliminar recursos mediante AWS CLI**
1. Vea la asignación EIP administrada en IPAM.
La cuenta de IPAM debe realizar este paso.
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
La salida muestra la asignación en IPAM.
```
{
"IpamPoolAllocations": [
{
"Cidr": "130.137.245.0/24",
"IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc45",
"ResourceId": "ipv4pool-ec2-0019eed22a684e0b2",
"ResourceType": "ec2-public-ipv4-pool",
"ResourceOwner": "123456789012"
}
]
}
```
1. No anuncie el CIDR IPv4.
La cuenta de IPAM debe realizar este paso.
```
aws ec2 withdraw-byoip-cidr --region us-west-2 --cidr 130.137.245.0/24 --profile ipam-account
```
En la salida, verá que el estado CIDR ha cambiado de **advertised** (anunciado) a **provisioned** (aprovisionado).
```
{
"ByoipCidr": {
"Cidr": "130.137.245.0/24",
"State": "provisioned"
}
}
```
1. Lance la dirección IP elástica.
La cuenta de miembro debe realizar este paso.
```
aws ec2 release-address --region us-west-2 --allocation-id eipalloc-0db3405026756dbf6 --profile member-account
```
Cuando ejecute este comando no verá resultados.
1. Vea la asignación EIP que ya no se administra en IPAM. IPAM puede tardar un poco en determinar que la dirección IP elástica se haya eliminado. No puede continuar con la eliminación y anulación de aprovisionamiento del CIDR en el grupo de IPAM hasta que vea que la asignación se ha eliminado de IPAM. Cuando ejecute el comando en esta sección, el valor de la `--region` debe incluir la opción `--locale` que ingresó cuando creó el grupo que se utilizará para el CIDR de BYOIP.
La cuenta de IPAM debe realizar este paso.
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
La salida muestra la asignación en IPAM.
```
{
"IpamPoolAllocations": []
}
```
1. Anule el aprovisionamiento del CIDR de grupo regional. Cuando ejecute los comandos de este paso, el valor de `--region` debe coincidir con la región de su IPAM.
La cuenta de IPAM debe realizar este paso.
```
aws ec2 deprovision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --cidr 130.137.245.0/24 --profile ipam-account
```
En la salida verá la anulación del aprovisionamiento pendiente de CIDR.
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "pending-deprovision"
}
}
```
La anulación del aprovisionamiento tarda un tiempo en completarse. Compruebe el estado de la anulación del aprovisionamiento.
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
Espere a que el estado sea **Deprovisioned** (Aprovisionamiento anulado) antes de continuar con el siguiente paso.
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "deprovisioned"
}
}
```
1. Elimine los recursos compartidos de RAM y desactive la integración de RAM con AWS Organizations. Complete los pasos descritos en [Eliminación de un recurso compartido en AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-delete.html) y, a continuación, en [Desactivación del uso compartido de recursos con AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/security-disable-sharing-with-orgs.html), en la *Guía del usuario de AWS RAM*, en ese orden, para eliminar los recursos compartidos de RAM y desactivar la integración de RAM con AWS Organizations.
Este paso deben realizarlo las cuentas IPAM y de administración, respectivamente. Si utiliza AWS CLI para eliminar los recursos compartidos de RAM y desactivar la integración de RAM, utilice las opciones ` --profile ipam-account` y ` --profile management-account`.
1. Elimine el grupo regional. Cuando ejecute el comando en este paso, el valor de `--region` debe coincidir con la región de su IPAM.
La cuenta de IPAM debe realizar este paso.
```
aws ec2 delete-ipam-pool --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
En la salida, puede ver el estado de eliminación.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0d8f3646b61ca5987",
"SourceIpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0d8f3646b61ca5987",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-east-1",
"PoolDepth": 2,
"State": "delete-in-progress",
"Description": "reg-ipv4-pool",
"AutoImport": false,
"Advertisable": true,
"AddressFamily": "ipv4"
}
}
```
1. Anule el aprovisionamiento del CIDR del grupo de nivel superior. Cuando ejecute los comandos de este paso, el valor de `--region` debe coincidir con la región de su IPAM.
La cuenta de IPAM debe realizar este paso.
```
aws ec2 deprovision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --cidr 130.137.245.0/24 --profile ipam-account
```
En la salida verá la anulación del aprovisionamiento pendiente de CIDR.
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "pending-deprovision"
}
}
```
La anulación del aprovisionamiento tarda un tiempo en completarse. Ejecute el siguiente comando para verificar el estado del desaprovisionamiento.
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --profile ipam-account
```
Espere a que el estado sea **deprovisioned** (con el aprovisionamiento anulado) antes de continuar con el siguiente paso.
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "deprovisioned"
}
}
```
1. Elimine el grupo de nivel superior. Cuando ejecute el comando en este paso, el valor de `--region` debe coincidir con la región de su IPAM.
La cuenta de IPAM debe realizar este paso.
```
aws ec2 delete-ipam-pool --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --profile ipam-account
```
En la salida, puede ver el estado de eliminación.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-east-1",
"PoolDepth": 2,
"State": "delete-in-progress",
"Description": "top-level-pool",
"AutoImport": false,
"Advertisable": true,
"AddressFamily": "ipv4"
}
}
```
1. Elimine el IPAM. Cuando ejecute el comando en este paso, el valor de `--region` debe coincidir con la región de su IPAM.
La cuenta de IPAM debe realizar este paso.
```
aws ec2 delete-ipam --region us-east-1 --ipam-id ipam-090e48e75758de279 --profile ipam-account
```
En la salida verá la respuesta de IPAM. Esto significa que se ha eliminado el IPAM.
```
{
"Ipam": {
"OwnerId": "123456789012",
"IpamId": "ipam-090e48e75758de279",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"PublicDefaultScopeId": "ipam-scope-0087d83896280b594",
"PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",
"ScopeCount": 2,
"OperatingRegions": [
{
"RegionName": "us-east-1"
},
{
"RegionName": "us-west-2"
}
],
}
}
```
## Alternativa al paso 9
Si utiliza grupos de IPv4 públicos para asignar direcciones IP elásticas, puede seguir los pasos de esta sección en lugar de los pasos de [Paso 9: asignación de una dirección IP elástica desde el grupo](#tutorials-byoip-ipam-ipv4-console-cli-all-eip).
**Topics**
+ [Paso 1: creación de un grupo de IPv4 público](#tutorials-byoip-ipam-ipv4-9)
+ [Paso 2: aprovisionamiento del CIDR de IPv4 público en el grupo de IPv4 público](#tutorials-byoip-ipam-ipv4-9)
+ [Paso 3: creación de una dirección IP elástica desde el grupo de IPv4 público](#tutorials-byoip-ipam-ipv4-10)
+ [Alternativa a la limpieza del paso 9](#tutorials-byoip-ipam-ipv4-cli-alt-cleanup)
### Paso 1: creación de un grupo de IPv4 público
Por lo general, este paso lo lleva a cabo otra cuenta de AWS que desea aprovisionar una dirección IP elástica, como la cuenta de miembro.
**importante**
Los grupos IPv4 públicos y los grupos de IPAM se administran mediante distintos recursos en AWS. Los grupos IPv4 públicos son recursos de una sola cuenta que le permiten convertir sus CIDR de propiedad pública en direcciones IP elásticas. Los grupos de IPAM se pueden utilizar para asignar el espacio público a grupos IPv4 públicos.
**Para crear un grupo IPv4 público mediante la AWS CLI**
+ Ejecute el siguiente comando para aprovisionar el CIDR. Al ejecutar el comando en esta sección, el valor de `--region` debe coincidir con la opción `--locale` que introdujo cuando creó el grupo que se utilizará para el CIDR de BYOIP.
```
aws ec2 create-public-ipv4-pool --region us-west-2 --profile member-account
```
En la salida aparecerá el ID del grupo IPv4 público. Necesitará este ID en el siguiente paso.
```
{
"PoolId": "ipv4pool-ec2-0019eed22a684e0b2"
}
```
### Paso 2: aprovisionamiento del CIDR de IPv4 público en el grupo de IPv4 público
Aprovisione el CIDR IPv4 público en su grupo IPv4 público. El valor de `--region` debe coincidir con el valor de `--locale` que introdujo al crear el grupo que se utilizará para el CIDR de BYOIP. El `--netmask-length` menos específico que puede definir es `24`.
La cuenta de miembro debe realizar este paso.
**Para crear un grupo IPv4 público mediante la AWS CLI**
1. Ejecute el siguiente comando para aprovisionar el CIDR.
```
aws ec2 provision-public-ipv4-pool-cidr --region us-west-2 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --pool-id ipv4pool-ec2-0019eed22a684e0b2 --netmask-length 24 --profile member-account
```
En la salida aparecerá el CIDR aprovisionado.
```
{
"PoolId": "ipv4pool-ec2-0019eed22a684e0b2",
"PoolAddressRange": {
"FirstAddress": "130.137.245.0",
"LastAddress": "130.137.245.255",
"AddressCount": 256,
"AvailableAddressCount": 256
}
}
```
1. Ejecute el siguiente comando para ver el CIDR aprovisionado en el grupo IPv4 público.
```
aws ec2 describe-byoip-cidrs --region us-west-2 --max-results 10 --profile member-account
```
En la salida aparecerá el CIDR aprovisionado. De forma predeterminada, el CIDR no se anuncia, lo que significa que no es accesible de manera pública a través de Internet. Tendrá la oportunidad de configurar este CIDR como anunciado en el último paso de este tutorial.
```
{
"ByoipCidrs": [
{
"Cidr": "130.137.245.0/24",
"StatusMessage": "Cidr successfully provisioned",
"State": "provisioned"
}
]
}
```
### Paso 3: creación de una dirección IP elástica desde el grupo de IPv4 público
Cree una dirección IP elástica (EIP) desde el grupo IPv4 público. Cuando ejecute los comandos de esta sección, el valor de `--region` debe coincidir con la opción `--locale` que introdujo cuando creó el grupo que se utilizará para el CIDR de BYOIP.
La cuenta de miembro debe realizar este paso.
**Para crear una EIP desde el grupo IPv4 público mediante la AWS CLI**
1. Ejecute el siguiente comando para crear la EIP.
```
aws ec2 allocate-address --region us-west-2 --public-ipv4-pool ipv4pool-ec2-0019eed22a684e0b2 --profile member-account
```
En la salida aparecerá la asignación.
```
{
"PublicIp": "130.137.245.100",
"AllocationId": "eipalloc-0db3405026756dbf6",
"PublicIpv4Pool": "ipv4pool-ec2-0019eed22a684e0b2",
"NetworkBorderGroup": "us-east-1",
"Domain": "vpc"
}
```
1. Ejecute el siguiente comando para ver la asignación de EIP administrada en IPAM.
La cuenta de IPAM debe realizar este paso.
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
La salida muestra la asignación en IPAM.
```
{
"IpamPoolAllocations": [
{
"Cidr": "130.137.245.0/24",
"IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc45",
"ResourceId": "ipv4pool-ec2-0019eed22a684e0b2",
"ResourceType": "ec2-public-ipv4-pool",
"ResourceOwner": "123456789012"
}
]
}
```
### Alternativa a la limpieza del paso 9
Complete estos pasos para limpiar los grupos de IPv4 públicos creados con la alternativa al paso 9. Debe completar estos pasos después de liberar la dirección IP elástica durante el proceso de limpieza estándar en [Paso 10: Eliminar](tutorials-byoip-ipam-ipv6.md#tutorials-byoip-ipam-ipv4-cleanup).
1. Vea los CIDR de BYOIP.
La cuenta de miembro debe realizar este paso.
```
aws ec2 describe-public-ipv4-pools --region us-west-2 --profile member-account
```
En la salida aparecerán las direcciones IP de su CIDR de BYOIP.
```
{
"PublicIpv4Pools": [
{
"PoolId": "ipv4pool-ec2-0019eed22a684e0b2",
"Description": "",
"PoolAddressRanges": [
{
"FirstAddress": "130.137.245.0",
"LastAddress": "130.137.245.255",
"AddressCount": 256,
"AvailableAddressCount": 256
}
],
"TotalAddressCount": 256,
"TotalAvailableAddressCount": 256,
"NetworkBorderGroup": "us-east-1",
"Tags": []
}
]
}
```
1. Lance el CIDR del grupo IPv4 público. Cuando ejecute el comando en esta sección, el valor de `--region` debe coincidir con la región de su IPAM.
La cuenta de miembro debe realizar este paso.
```
aws ec2 deprovision-public-ipv4-pool-cidr --region us-east-1 --pool-id ipv4pool-ec2-0019eed22a684e0b2 --cidr 130.137.245.0/24 --profile member-account
```
1. Vuelva a ver sus CIDR de BYOIP y asegúrese de que no haya más direcciones aprovisionadas. Cuando ejecute el comando en esta sección, el valor de `--region` debe coincidir con la región de su IPAM.
La cuenta de miembro debe realizar este paso.
```
aws ec2 describe-public-ipv4-pools --region us-east-1 --profile member-account
```
En la salida aparecerá el recuento de direcciones IP en el grupo IPv4 público.
```
{
"PublicIpv4Pools": [
{
"PoolId": "ipv4pool-ec2-0019eed22a684e0b2",
"Description": "",
"PoolAddressRanges": [],
"TotalAddressCount": 0,
"TotalAvailableAddressCount": 0,
"NetworkBorderGroup": "us-east-1",
"Tags": []
}
]
}
```