Fourniture de votre propre CIDR IPv4 publique à IPAM à l’aide de la AWS CLI uniquement
Suivez ces étapes pour fournir un CIDR IPv4 à IPAM et allouer une adresse IP Elastic (EIP) avec le CIDR à l’aide de uniquement AWS CLI.
Important
Le didacticiel présume que vous ayez déjà effectué les étapes suivantes dans les sections suivantes :
-
Chaque étape de ce tutoriel doit être effectuée par l'un des trois comptes Organisations AWS :
Le compte de gestion
Le compte de membre configuré pour être votre administrateur IPAM dans Intégration d'IPAM aux comptes d'une organisation AWS. Dans ce tutoriel, ce compte sera appelé compte IPAM.
Le compte membre de votre organisation qui allouera des CIDR à partir d'un groupe IPAM. Dans ce tutoriel, ce compte sera appelé compte IPAM.
Table des matières
Étape 1 : Création de profils d'AWS CLI nommés et de rôles IAM
Étape 4 : approvisionnement d'un CIDR au groupe de niveau supérieur
Étape 5 : Création d'un groupe régional dans le groupe de niveau supérieur
Étape 9 : allocation d’une adresse IP Elastic à partir du groupe
Étape 10 : association de l’adresse IP Elastic à une instance EC2
Étape 1 : Création de profils d'AWS CLI nommés et de rôles IAM
Pour suivre ce didacticiel en tant qu'utilisateur AWS unique, vous pouvez utiliser des profils nommés AWS CLI pour passer d'un rôle IAM à un autre. Les profils nommés sont des ensembles de paramètres et d'informations d'identification auxquels vous vous référez lorsque vous utilisez l'option --profile associée à l'AWS CLI. Pour plus d’informations sur la création de rôles IAM et de profils nommés pour les comptes AWS, consultez la section Using an IAM role in the AWS CLI.
Créez un rôle et un profil nommé pour chacun des trois comptes AWS que vous utiliserez dans ce didacticiel :
Un profil appelé
management-accountpour leAWSCompte de gestion Organizations.Un profil appelé
ipam-accountpour le AWSCompte membre Organizations configuré pour être votre administrateur IPAM.Un profil appelé
member-accountpour le AWSCompte membre Organizations de votre organisation qui allouera des CIDR à partir d'un groupe IPAM.
Une fois que vous avez créé les rôles IAM et les profils nommés, revenez à cette page et passez à l'étape suivante. Vous remarquerez tout au long de ce didacticiel que l'échantillon AWS CLI commande l'utilisation de --profile l'option avec l'un des profils nommés pour indiquer quel compte doit exécuter la commande.
Étape 2 : création d'un IPAM
Cette étape est facultative. Si vous avez déjà créé un IPAM avec les Régions d'exploitation de us-east-1 et us-west-2 créées, vous pouvez ignorer cette étape. Créez un IPAM et spécifiez une Région d'exploitation de us-east-1 et us-west-2. Vous devez sélectionner une Région d'exploitation pour pouvoir utiliser l'option des paramètres régionaux lorsque vous créez votre groupe IPAM. L'intégration IPAM avec BYOIP nécessite que les paramètres régionaux soient définis sur le groupe utilisé pour le CIDR BYOIP.
Cette étape doit être réalisée par le compte IPAM.
Exécutez la commande suivante :
aws ec2 create-ipam --descriptionmy-ipam--regionus-east-1--operating-regionsRegionName=us-west-2--profileipam-account
Dans la sortie, vous verrez l'IPAM que vous avez créé. Provisionnez un bloc d'adresse CIDR au groupe de niveau supérieur PublicDefaultScopeId. Vous aurez besoin de votre ID de portée publique à l'étape suivante. Vous utilisez la portée publique, car les CIDR BYOIP sont des adresses IP publiques ; c'est à cela que la portée publique est destinée.
{
"Ipam": {
"OwnerId": "123456789012",
"IpamId": "ipam-090e48e75758de279",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"PublicDefaultScopeId": "ipam-scope-0087d83896280b594",
"PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",
"ScopeCount": 2,
"Description": "my-ipam",
"OperatingRegions": [
{
"RegionName": "us-east-1"
},
{
"RegionName": "us-west-2"
}
],
"Tags": []
}
}
Étape 3 : Création d'un groupe IPAM de niveau supérieur
Suivez les étapes de cette section pour créer un groupe IPAM de niveau supérieur.
Cette étape doit être réalisée par le compte IPAM.
Pour créer un groupe d'adresses IPv4 pour toutes vos ressources AWS à l'aide de l'AWS CLI
-
Exécutez la commande suivante pour créer un groupe IPAM. Utilisez l'ID de portée publique de l'IPAM que vous avez créé à l'étape précédente.
Cette étape doit être réalisée par le compte IPAM.
aws ec2 create-ipam-pool --regionus-east-1--ipam-scope-idipam-scope-0087d83896280b594--description"top-level-IPv4-pool"--address-familyipv4--profileipam-accountDans la sortie, vous verrez apparaître
create-in-progress, qui indique que la création du groupe est en cours.{ "IpamPool": { "OwnerId": "123456789012", "IpamPoolId": "ipam-pool-0a03d430ca3f5c035", "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035", "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594", "IpamScopeType": "public", "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279", "Locale": "None", "PoolDepth": 1, "State": "create-in-progress", "Description": "top-level-pool", "AutoImport": false, "AddressFamily": "ipv4", "Tags": [] } } -
Exécutez la commande suivante jusqu'à ce que l'état
create-completeapparaisse dans la sortie.aws ec2 describe-ipam-pools --regionus-east-1--profileipam-accountL'exemple de sortie suivant illustre l'état du groupe.
{ "IpamPools": [ { "OwnerId": "123456789012", "IpamPoolId": "ipam-pool-0a03d430ca3f5c035", "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035", "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594", "IpamScopeType": "public", "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279", "Locale": "None", "PoolDepth": 1, "State": "create-complete", "Description": "top-level-IPV4-pool", "AutoImport": false, "AddressFamily": "ipv4", "Tags": [] } ] }
Étape 4 : approvisionnement d'un CIDR au groupe de niveau supérieur
Allouez un bloc d'adresse CIDR au groupe de niveau supérieur. Notez que lors de l'approvisionnement d'un CIDR IPv4 à un groupe au sein du groupe de niveau supérieur, le CIDR IPv4 minimum que vous pouvez approvisionner est /24; les CIDR plus spécifiques (tels que /25) ne sont pas autorisés.
Note
-
Si vous avez vérifié le contrôle de votre domaine à l’aide d’un certificat X.509, vous devez inclure le CIDR, le message BYOIP et la signature du certificat que vous avez créés lors de cette étape afin que nous puissions vérifier que vous contrôlez l’espace public.
-
Si vous avez vérifié le contrôle de votre domaine avec un enregistrement DNS TXT, vous devez inclure le jeton de vérification CIDR et IPAM que vous avez créé dans cette étape afin que nous puissions vérifier que vous contrôlez l’espace public.
Vous devez uniquement vérifier le contrôle du domaine lorsque vous provisionnez le CIDR BYOIP au groupe de niveau supérieur. Pour le groupe régional au sein du groupe de niveau supérieur, vous pouvez omettre l’option de vérification de la propriété du domaine.
Cette étape doit être réalisée par le compte IPAM.
Important
Vous devez uniquement vérifier le contrôle du domaine lorsque vous provisionnez le CIDR BYOIP au groupe de niveau supérieur. Pour le groupe régional au sein du groupe de niveau supérieur, vous pouvez omettre l’option de contrôle de domaine. Une fois que vous avez intégré votre BYOIP à IPAM, vous n'êtes pas obligé d'effectuer une validation de propriété lorsque vous divisez le BYOIP entre les Régions et les comptes.
Pour provisionner un bloc d'adresse CIDR au groupe à l'aide de l' AWS CLI
-
Pour fournir au CIDR des informations de certificat, utilisez l’exemple de commande suivant. En plus de remplacer les valeurs selon les besoins dans l’exemple, assurez-vous de remplacer les valeurs
MessageetSignaturepar les valeurstext_messageetsigned_messageque vous avez saisies dans Vérifiez votre domaine avec un certificat X.509.aws ec2 provision-ipam-pool-cidr --regionus-east-1--ipam-pool-idipam-pool-0a03d430ca3f5c035--cidr130.137.245.0/24--verification-method remarks-x509 --cidr-authorization-context Message="1|aws|470889052444|130.137.245.0/24|20250101|SHA256|RSAPSS",Signature="W3gdQ9PZHLjPmrnGM~cvGx~KCIsMaU0P7ENO7VRnfSuf9NuJU5RUveQzus~QmF~Nx42j3z7d65uyZZiDRX7KMdW4KadaLiClyRXN6ps9ArwiUWSp9yHM~U-hApR89Kt6GxRYOdRaNx8yt-uoZWzxct2yIhWngy-du9pnEHBOX6WhoGYjWszPw0iV4cmaAX9DuMs8ASR83K127VvcBcRXElT5URr3gWEB1CQe3rmuyQk~gAdbXiDN-94-oS9AZlafBbrFxRjFWRCTJhc7Cg3ASbRO-VWNci-C~bWAPczbX3wPQSjtWGV3k1bGuD26ohUc02o8oJZQyYXRpgqcWGVJdQ__" --profileipam-accountPour fournir au CIDR des informations sur les jetons de vérification, utilisez l’exemple de commande suivant. En plus de remplacer les valeurs comme nécessaire dans l’exemple, assurez-vous de remplacer
ipam-ext-res-ver-token-0309ce7f67a768cf0par l’ID du jetonIpamExternalResourceVerificationTokenIdque vous avez obtenu dans Vérifiez votre domaine à l’aide d’un enregistrement DNS TXT.aws ec2 provision-ipam-pool-cidr --regionus-east-1--ipam-pool-idipam-pool-0a03d430ca3f5c035--cidr130.137.245.0/24--verification-method dns-token --ipam-external-resource-verification-token-idipam-ext-res-ver-token-0309ce7f67a768cf0--profileipam-accountDans la sortie, vous verrez le CIDR en attente d'approvisionnement.
{ "IpamPoolCidr": { "Cidr": "130.137.245.0/24", "State": "pending-provision" } } -
Vérifiez que ce CIDR a été provisionné avant de continuer.
Important
Bien que la plupart des approvisionnements soient effectués dans les deux heures, le processus d’allocation des plages qui peuvent être annoncées publiquement peut durer jusqu’à une semaine.
Exécutez la commande suivante jusqu'à ce que l'état
provisionedapparaisse dans la sortie.aws ec2 get-ipam-pool-cidrs --regionus-east-1--ipam-pool-idipam-pool-0a03d430ca3f5c035--profileipam-accountL'exemple de sortie suivant illustre l'état.
{ "IpamPoolCidrs": [ { "Cidr": "130.137.245.0/24", "State": "provisioned" } ] }
Étape 5 : Création d'un groupe régional dans le groupe de niveau supérieur
Création d'un groupe régional dans le groupe de niveau supérieur
Les paramètres régionaux du groupe doivent être l’une des options suivantes :
Une Région AWS dans laquelle vous souhaitez que ce groupe IPAM soit disponible pour les allocations.
Le groupe frontalier de réseau pour une zone locale AWS dans laquelle vous souhaitez rendre disponible ce groupe IPAM pour les attributions (zones locales prises en charge). Cette option n’est disponible que pour les groupes IPv4 IPAM du périmètre public.
Une zone locale AWS dédiée
. Pour créer un groupe dans une zone locale AWS dédiée, entrez la zone locale AWS dédiée dans l’entrée du sélecteur.
Par exemple, vous pouvez uniquement allouer un CIDR à un VPC à partir d'un groupe IPAM qui partage un paramètre régional avec la Région du VPC. Notez que lorsque vous avez choisi un paramètre régional pour un groupe, vous ne pouvez pas le modifier. Si la région d'accueil de l'IPAM n'est pas disponible en raison d'une panne et que les paramètres régionaux du groupe sont différents de ceux de la région d'accueil de l'IPAM, le groupe peut toujours être utilisé pour allouer des adresses IP.
Lorsque vous exécutez les commandes dans cette section, la valeur de --region doit inclure l’option --locale que vous avez saisie lorsque vous avez créé le groupe qui sera utilisé pour le CIDR BYOIP. Par exemple, si vous avez créé le groupe BYOIP avec une locale us-east-1, le --region devrait être us-east-1. Si vous avez créé le groupe BYOIP avec une locale us-east-1-scl-1 (un groupe de frontières réseau utilisé pour les zones locales), le --region devrait être us-east-1, car cette région gère la locale us-east-1-scl-1.
Cette étape doit être réalisée par le compte IPAM.
La sélection d'un paramètre régional garantit qu'il n'y a aucune dépendance régionale entre votre groupe et les ressources qui y sont allouées. Les options disponibles proviennent des Régions d'exploitation que vous avez sélectionnées lors de la création de votre IPAM. Dans ce didacticiel, nous allons utiliser us-west-2comme paramètre régional pour le groupe régional.
Important
Lorsque vous créez le groupe, vous devez inclure --aws-service ec2. Le service que vous sélectionnez détermine le service AWS où le CIDR pourra être annoncé. Actuellement, la seule option est ec2, ce qui signifie que les CIDR alloués à partir de ce groupe pourront être annoncés pour le service Amazon EC2 (pour les adresses IP Elastic) et le service Amazon VPC (pour les CIDR associés aux VPC).
Pour créer un groupe régional à l'aide de l' AWS CLI
-
Exécutez la commande suivante pour créer le groupe.
aws ec2 create-ipam-pool --description"Regional-IPv4-pool"--regionus-east-1--ipam-scope-idipam-scope-0087d83896280b594--source-ipam-pool-idipam-pool-0a03d430ca3f5c035--localeus-west-2--address-familyipv4--aws-service ec2 --profileipam-accountDans la sortie, vous verrez IPAM en cours de création du groupe.
{ "IpamPool": { "OwnerId": "123456789012", "IpamPoolId": "ipam-pool-0d8f3646b61ca5987", "SourceIpamPoolId": "ipam-pool-0a03d430ca3f5c035", "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0d8f3646b61ca5987", "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594", "IpamScopeType": "public", "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279", "Locale": "us-west-2", "PoolDepth": 2, "State": "create-in-progress", "Description": "Regional--pool", "AutoImport": false, "AddressFamily": "ipv4", "Tags": [], "ServiceType": "ec2" } } -
Exécutez la commande suivante jusqu'à ce que l'état de
create-completeapparaisse dans la sortie.aws ec2 describe-ipam-pools --regionus-east-1--profileipam-accountDans la sortie, vous verrez les groupes que vous avez dans votre IPAM. Dans ce tutoriel, nous avons créé un groupe de niveau supérieur et un groupe régional. Vous verrez donc les deux.
Étape 6 : approvisionnement d'un CIDR au groupe régional
Provisionnez un bloc d'adresse CIDR au groupe régional.
Note
Lors de l’approvisionnement d’un CID à un groupe régional au sein du groupe de niveau supérieur, le CIDR IPv4 le plus spécifique que vous pouvez approvisionner est /24 ; les CIDR plus spécifiques (tels que /25) ne sont pas autorisés. Après avoir créé le groupe régional, vous pouvez créer des groupes plus petits (tels que /25) au sein du même groupe régional. Notez que si vous partagez le groupe régional ou les groupes qu’il contient, ces groupes ne peuvent être utilisés que dans les paramètres régionaux définis sur le même groupe régional.
Cette étape doit être réalisée par le compte IPAM.
Pour attribuer un bloc d'adresse CIDR au groupe régional à l'aide d' AWS CLI
-
Exécutez la commande suivante pour provisionner le CIDR.
aws ec2 provision-ipam-pool-cidr --regionus-east-1--ipam-pool-idipam-pool-0d8f3646b61ca5987--cidr130.137.245.0/24--profileipam-accountDans la sortie, vous verrez le CIDR en attente d'approvisionnement.
{ "IpamPoolCidr": { "Cidr": "130.137.245.0/24", "State": "pending-provision" } } -
Exécutez la commande suivante jusqu'à ce que l'état de
provisionedapparaisse dans la sortie.aws ec2 get-ipam-pool-cidrs --regionus-east-1--ipam-pool-idipam-pool-0d8f3646b61ca5987--profileipam-accountL'exemple de sortie suivant illustre le bon état.
{ "IpamPoolCidrs": [ { "Cidr": "130.137.245.0/24", "State": "provisioned" } ] }
Étape 7 : publication du CIDR
Les étapes de cette section doivent être réalisées par le compte IPAM. Une fois que vous avez associé l'adresse IP Elastic (EIP) à une instance ou à Elastic Load Balancer, vous pouvez commencer à publier le CIDR que vous avez fourni à AWS, et qui est dans un groupe ayant --aws-service
ec2 défini. Dans ce tutoriel, il s'agit de votre groupe régional. Par défaut, le CIDR n'est pas publié, ce qui signifie qu'il n'est pas accessible publiquement sur Internet. Lorsque vous exécutez la commande dans cette section, la valeur de --region doit correspondre à l'option --locale que vous avez saisie lorsque vous avez créé le groupe qui sera utilisé pour le CIDR BYOIP.
Cette étape doit être réalisée par le compte IPAM.
Note
Le statut de la publicité ne limite pas votre capacité à attribuer des adresses IP Elastic. Même si votre CIDR BYOIPv4 n’est pas annoncé, vous pouvez toujours créer des EIP à partir du groupe IPAM.
Commencez à publier le CIDR à l'aide de l' AWS CLI
-
Exécutez la commande suivante pour publier le CIDR.
aws ec2 advertise-byoip-cidr --regionus-west-2--cidr130.137.245.0/24--profileipam-accountDans la sortie, vous verrez que le CIDR est publié.
{ "ByoipCidr": { "Cidr": "130.137.245.0/24", "State": "advertised" } }
Étape 8 : partager le groupe régional
Suivez les étapes de cette section pour partager le groupe IPAM en utilisant AWS Resource Access Manager (RAM).
Activer le partage des ressources dans AWS RAM
Après avoir créé votre IPAM, partagez le groupe régional avec d'autres comptes de votre organisation. Avant de partager un groupe IPAM, suivez les étapes de cette section pour activer le partage des ressources avec AWS RAM. Si vous utilisez le AWS CLI pour activer le partage des ressources, utilisez l'option --profile
.management-account
Pour activer le partage des ressources
-
À l'aide du compte de gestion AWS Organizations, ouvrez la console AWS RAM à l'adresse suivante : https://console.aws.amazon.com/ram/
. -
Dans le volet de navigation de gauche, choisissez Paramètres, choisissez Activer le partage avec AWS Organizations, puis choisissez Enregistrer les paramètres.
Vous pouvez désormais partager un groupe IPAM avec d'autres membres de l'organisation.
Partager d'un groupe IPAM à l'aide deAWS RAM
Dans cette section, vous partagerez le groupe régional avec un autre compte membre AWS Organizations. Pour obtenir des instructions complètes sur le partage de groupes IPAM, y compris des informations sur les autorisations IAM requises, consultez Partage d'un groupe IPAM à l'aide d'AWS RAM. Si vous utilisez le AWS CLI pour activer le partage des ressources, utilisez l'option --profile .ipam-account
Pour partager un groupe IPAM à l'aide de AWS RAM
-
À l'aide du compte administrateur IPAM, ouvrez la console IPAM à l'adresse suivante : https://console.aws.amazon.com/ipam/
. -
Dans le panneau de navigation, sélectionnez Pools (Groupes).
-
Choisissez le périmètre privé, choisissez le groupe IPAM, puis choisissez Actions > Afficher les détails.
-
Sous Resource sharing (Partage de ressources), sélectionnez Create resource share (Créer un partage de ressources). La console AWS RAM s’ouvre. Vous partagez le groupe en utilisant AWS RAM.
-
Sélectionnez Create a resource share (Créer un partage de ressources).
-
Dans la console AWS RAM, sélectionnez à nouveau Créer un partage de ressources.
-
Ajoutez un Nom pour la ressource partagée.
-
Sous Sélectionner le type de ressource, choisissez Groupes IPAM, puis choisissez l’ARN du groupe que vous souhaitez partager.
-
Choisissez Suivant.
-
Sélectionnez l'autorisation AWSRAMPermissionIpamPoolByoipCidrImport. Les détails des options d'autorisation ne sont pas abordés dans ce didacticiel, mais vous pouvez en savoir plus sur ces options dans Partage d'un groupe IPAM à l'aide d'AWS RAM.
-
Choisissez Suivant.
-
Dans Principaux > Sélectionner le type de principal, choisissez Compte AWS, saisissez l'ID du compte qui transmettra une plage d'adresses IP à IPAM, puis choisissez Ajouter.
-
Choisissez Suivant.
-
Examinez les options de partage de ressources et les principaux avec lesquels vous procéderez au partage, puis sélectionnez Créer.
-
Pour autoriser le compte
member-accountà allouer les CIDR de l’adresse IP à partir du groupe IPAM, créez un deuxième partage de ressources avecAWSRAMDefaultPermissionsIpamPool. La valeur pour--resource-arnsest l'ARN du groupe IPAM que vous avez créé dans la section précédente. La valeur de--principalsest l’ID de compte dumember-account. La valeur pour--permission-arnsest l'ARN de l'autorisationAWSRAMDefaultPermissionsIpamPool.
Étape 9 : allocation d’une adresse IP Elastic à partir du groupe
Suivez les étapes de cette section pour allouer une adresse IP Elastic à partir du groupe. Notez que si vous utilisez des groupes IPv4 publics pour allouer des adresses IP Elastic, vous pouvez utiliser les étapes alternatives Alternative à l’étape 9 plutôt que celles de cette section.
Important
Si vous détectez une erreur liée au fait que vous ne disposez pas des autorisations nécessaires pour appeler ec2:AllocateAddress, l’autorisation gérée actuellement attribuée au groupe IPAM qui a été partagé avec vous doit être mise à jour. Contactez la personne qui a créé le partage de ressources et demandez-lui de mettre à jour l’autorisation gérée AWSRAMPermissionIpamResourceDiscovery vers la version par défaut. Pour de plus amples informations, consultez Mettre à jour un partage de ressources dans le Guide de l'utilisateur AWS RAM.
Étape 10 : association de l’adresse IP Elastic à une instance EC2
Suivez les étapes de cette section pour association de l’adresse IP Elastic à une instance EC2.
Étape 11 : nettoyage
Suivez les étapes de cette section pour nettoyer les ressources que vous avez provisionnées et créées dans ce tutoriel. Lorsque vous exécutez les commandes dans cette section, la valeur de --region doit inclure l’option --locale que vous avez saisie lorsque vous avez créé le groupe qui sera utilisé pour le CIDR BYOIP.
Nettoyage à l'aide de l' AWS CLI
-
Affichez l'allocation EIP gérée dans IPAM.
Cette étape doit être réalisée par le compte IPAM.
aws ec2 get-ipam-pool-allocations --regionus-west-2--ipam-pool-idipam-pool-0d8f3646b61ca5987--profileipam-accountLa sortie affiche l'allocation dans IPAM.
{ "IpamPoolAllocations": [ { "Cidr": "130.137.245.0/24", "IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc45", "ResourceId": "ipv4pool-ec2-0019eed22a684e0b2", "ResourceType": "ec2-public-ipv4-pool", "ResourceOwner": "123456789012" } ] } -
Arrêtez de faire connaître le CIDR IPv4.
Cette étape doit être réalisée par le compte IPAM.
aws ec2 withdraw-byoip-cidr --regionus-west-2--cidr130.137.245.0/24--profileipam-accountDans la sortie, vous verrez que l'état du CIDR est passé de advertised (publié) à provisioned(provisionné).
{ "ByoipCidr": { "Cidr": "130.137.245.0/24", "State": "provisioned" } } -
Libérez les adresses IP Elastic.
Cette étape doit être effectuée par le compte membre.
aws ec2 release-address --regionus-west-2--allocation-ideipalloc-0db3405026756dbf6--profilemember-accountVous ne verrez aucune sortie lorsque vous exécutez cette commande.
-
Affichez l'allocation EIP qui n’est plus gérée dans IPAM. IPAM peut prendre un certain temps afin de déterminer que l'adresse IP Elastic a été supprimée. Vous ne pouvez pas continuer à nettoyer et à désactiver le CIDR du groupe IPAM tant que vous ne voyez pas que l'allocation a été supprimée d'IPAM. Lorsque vous exécutez la commande dans cette section, la valeur de
--regiondoit correspondre à l’option--localeque vous avez saisie lorsque vous avez créé le groupe qui sera utilisé pour le CIDR BYOIP.Cette étape doit être réalisée par le compte IPAM.
aws ec2 get-ipam-pool-allocations --regionus-west-2--ipam-pool-idipam-pool-0d8f3646b61ca5987--profileipam-accountLa sortie affiche l'allocation dans IPAM.
{ "IpamPoolAllocations": [] } -
Désapprovisionnez le CIDR du groupe régional. Lorsque vous exécutez les commandes de cette étape, la valeur de
--regiondoit correspondre à la Région de votre IPAM.Cette étape doit être réalisée par le compte IPAM.
aws ec2 deprovision-ipam-pool-cidr --regionus-east-1--ipam-pool-idipam-pool-0d8f3646b61ca5987--cidr130.137.245.0/24--profileipam-accountDans la sortie, vous verrez le CIDR en attente de désapprovisionnement.
{ "IpamPoolCidr": { "Cidr": "130.137.245.0/24", "State": "pending-deprovision" } }Le désaprovisionnement prend un certain temps. Vérifiez le statut du désaprovisionnement.
aws ec2 get-ipam-pool-cidrs --regionus-east-1--ipam-pool-idipam-pool-0d8f3646b61ca5987--profileipam-accountAttendez de voir l'état désaprovisionné avant de passer à l'étape suivante.
{ "IpamPoolCidr": { "Cidr": "130.137.245.0/24", "State": "deprovisioned" } } -
Supprimez les partages RAM et désactivez l'intégration de la RAM avec AWS Organizations. Suivez les étapes décrites dans les sections Deleting a resource share in AWS RAM et Disabling resource sharing with AWS Organizations du Guide d’utilisation d’AWS RAM, dans cet ordre, pour supprimer les partages RAM et désactiver l’intégration de RAM à AWS Organizations.
Cette étape doit être effectuée par le compte IPAM et le compte de gestion respectivement. Si vous utilisez l'AWS CLI pour supprimer les partages RAM et désactiver l'intégration de la RAM, utilisez les options
--profileetipam-account--profile.management-account -
Supprimer le groupe régional. Lorsque vous exécutez la commande dans cette étape, la valeur de
--regiondoit correspondre à la Région de votre IPAM.Cette étape doit être réalisée par le compte IPAM.
aws ec2 delete-ipam-pool --regionus-east-1--ipam-pool-idipam-pool-0d8f3646b61ca5987--profileipam-accountDans la sortie, vous pouvez voir l'état de suppression.
{ "IpamPool": { "OwnerId": "123456789012", "IpamPoolId": "ipam-pool-0d8f3646b61ca5987", "SourceIpamPoolId": "ipam-pool-0a03d430ca3f5c035", "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0d8f3646b61ca5987", "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594", "IpamScopeType": "public", "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279", "Locale": "us-east-1", "PoolDepth": 2, "State": "delete-in-progress", "Description": "reg-ipv4-pool", "AutoImport": false, "Advertisable": true, "AddressFamily": "ipv4" } } -
Désapprovisionnez le CIDR du groupe de niveau supérieur. Lorsque vous exécutez les commandes de cette étape, la valeur de
--regiondoit correspondre à la Région de votre IPAM.Cette étape doit être réalisée par le compte IPAM.
aws ec2 deprovision-ipam-pool-cidr --regionus-east-1--ipam-pool-idipam-pool-0a03d430ca3f5c035--cidr130.137.245.0/24--profileipam-accountDans la sortie, vous verrez le CIDR en attente de désapprovisionnement.
{ "IpamPoolCidr": { "Cidr": "130.137.245.0/24", "State": "pending-deprovision" } }Le désapprovisionnement prend un certain temps. Utilisez la commande suivante pour vérifier le statut de la désapprovisionnement.
aws ec2 get-ipam-pool-cidrs --regionus-east-1--ipam-pool-idipam-pool-0a03d430ca3f5c035--profileipam-accountAttendez de voir l'état désaprovisionné avant de passer à l'étape suivante.
{ "IpamPoolCidr": { "Cidr": "130.137.245.0/24", "State": "deprovisioned" } } -
Supprimer le groupe de niveau supérieur. Lorsque vous exécutez la commande dans cette étape, la valeur de
--regiondoit correspondre à la Région de votre IPAM.Cette étape doit être réalisée par le compte IPAM.
aws ec2 delete-ipam-pool --regionus-east-1--ipam-pool-idipam-pool-0a03d430ca3f5c035--profileipam-accountDans la sortie, vous pouvez voir l'état de suppression.
{ "IpamPool": { "OwnerId": "123456789012", "IpamPoolId": "ipam-pool-0a03d430ca3f5c035", "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035", "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594", "IpamScopeType": "public", "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279", "Locale": "us-east-1", "PoolDepth": 2, "State": "delete-in-progress", "Description": "top-level-pool", "AutoImport": false, "Advertisable": true, "AddressFamily": "ipv4" } } -
Supprimez l'IPAM. Lorsque vous exécutez la commande dans cette étape, la valeur de
--regiondoit correspondre à la Région de votre IPAM.Cette étape doit être réalisée par le compte IPAM.
aws ec2 delete-ipam --regionus-east-1--ipam-idipam-090e48e75758de279--profileipam-accountDans la sortie, vous verrez la réponse IPAM. Cela signifie que l'IPAM a été supprimé.
{ "Ipam": { "OwnerId": "123456789012", "IpamId": "ipam-090e48e75758de279", "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279", "PublicDefaultScopeId": "ipam-scope-0087d83896280b594", "PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d", "ScopeCount": 2, "OperatingRegions": [ { "RegionName": "us-east-1" }, { "RegionName": "us-west-2" } ], } }
Alternative à l’étape 9
Si vous utilisez des groupes IPv4 publics pour allouer des adresses IP Elastic, vous pouvez utiliser les étapes de cette section plutôt que celles de la section Étape 9 : allocation d’une adresse IP Elastic à partir du groupe.
Table des matières
Étape 1 : création d’un groupe IPv4 public
Cette étape est généralement réalisée par un autre compte AWS qui souhaite fournir une adresse IP Elastic, par exemple le compte membre.
Important
Les groupes IPv4 publics et IPAM sont gérés par des ressources distinctes dans AWS. Les groupes IPv4 publics sont des ressources de compte unique qui vous permettent de convertir vos CIDR publics en adresses IP Elastic. Les groupes IPAM peuvent être utilisés pour allouer votre espace public à des groupes IPv4 publics.
Pour créer un groupe IPv4 public à l'aide de l' AWS CLI
-
Exécutez la commande suivante pour provisionner le CIDR. Lorsque vous exécutez la commande dans cette section, la valeur de
--regiondoit correspondre à l'option--localeque vous avez saisie lorsque vous avez créé le groupe qui sera utilisé pour le CIDR BYOIP.aws ec2 create-public-ipv4-pool --regionus-west-2--profilemember-accountDans la sortie, vous verrez apparaître l'ID du groupe IPv4 public. Vous aurez besoin de cet ID à la prochaine étape.
{ "PoolId": "ipv4pool-ec2-0019eed22a684e0b2" }
Étape 2 : allocation du CIDR IPv4 public à votre groupe IPv4 public
Provisionnez le CIDR IPv4 public à votre groupe IPv4 public. La valeur pour --region doit correspondre à la valeur --locale que vous avez saisie lorsque vous avez créé le groupe qui sera utilisé pour le CIDR BYOIP. Le --netmask-length le moins précis que vous puissiez définir est 24.
Cette étape doit être effectuée par le compte membre.
Pour créer un groupe IPv4 public à l'aide de l' AWS CLI
-
Exécutez la commande suivante pour provisionner le CIDR.
aws ec2 provision-public-ipv4-pool-cidr --regionus-west-2--ipam-pool-idipam-pool-0d8f3646b61ca5987--pool-idipv4pool-ec2-0019eed22a684e0b2--netmask-length24--profilemember-accountDans la sortie, vous verrez apparaître le CIDR provisionné.
{ "PoolId": "ipv4pool-ec2-0019eed22a684e0b2", "PoolAddressRange": { "FirstAddress": "130.137.245.0", "LastAddress": "130.137.245.255", "AddressCount": 256, "AvailableAddressCount": 256 } } -
Exécutez la commande suivante pour afficher le CIDR provisionné dans le groupe IPv4 public.
aws ec2 describe-byoip-cidrs --regionus-west-2--max-results10--profilemember-accountDans la sortie, vous verrez apparaître le CIDR provisionné. Par défaut, le CIDR n'est pas publié, ce qui signifie qu'il n'est pas accessible publiquement sur Internet. Vous aurez la possibilité de définir ce CIDR comme publié dans la dernière étape de ce tutoriel.
{ "ByoipCidrs": [ { "Cidr": "130.137.245.0/24", "StatusMessage": "Cidr successfully provisioned", "State": "provisioned" } ] }
Étape 3 : création d’une adresse IP Elastic à partir du groupe IPv4 public
Créez une adresse IP Elastic (EIP) à partir du groupe IPv4 public. Lorsque vous exécutez les commandes dans cette section, la valeur de --region doit correspondre à l'option --locale que vous avez saisie lorsque vous avez créé le groupe qui sera utilisé pour le CIDR BYOIP.
Cette étape doit être effectuée par le compte membre.
Pour créer une EIP à partir du groupe IPv4 public à l'aide de l' AWS CLI
-
Exécutez la commande suivante pour créer l'EIP.
aws ec2 allocate-address --regionus-west-2--public-ipv4-poolipv4pool-ec2-0019eed22a684e0b2--profilemember-accountDans la sortie, vous verrez l'allocation.
{ "PublicIp": "130.137.245.100", "AllocationId": "eipalloc-0db3405026756dbf6", "PublicIpv4Pool": "ipv4pool-ec2-0019eed22a684e0b2", "NetworkBorderGroup": "us-east-1", "Domain": "vpc" } -
Exécutez la commande suivante pour afficher l'allocation EIP gérée dans IPAM.
Cette étape doit être réalisée par le compte IPAM.
aws ec2 get-ipam-pool-allocations --regionus-west-2--ipam-pool-idipam-pool-0d8f3646b61ca5987--profileipam-accountLa sortie affiche l'allocation dans IPAM.
{ "IpamPoolAllocations": [ { "Cidr": "130.137.245.0/24", "IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc45", "ResourceId": "ipv4pool-ec2-0019eed22a684e0b2", "ResourceType": "ec2-public-ipv4-pool", "ResourceOwner": "123456789012" } ] }
Alternative au nettoyage de l’étape 9
Procédez comme suit pour nettoyer les groupes IPv4 publics créés à l’aide de l’alternative à l’étape 9. Vous devez effectuer ces étapes après avoir publié l’adresse IP Elastic au cours du processus de nettoyage standard dans Étape 10 : nettoyage.
-
Affichez vos CIDR BYOIP.
Cette étape doit être effectuée par le compte membre.
aws ec2 describe-public-ipv4-pools --regionus-west-2--profilemember-accountDans la sortie, vous verrez apparaître les adresses IP dans votre CIDR BYOIP.
{ "PublicIpv4Pools": [ { "PoolId": "ipv4pool-ec2-0019eed22a684e0b2", "Description": "", "PoolAddressRanges": [ { "FirstAddress": "130.137.245.0", "LastAddress": "130.137.245.255", "AddressCount": 256, "AvailableAddressCount": 256 } ], "TotalAddressCount": 256, "TotalAvailableAddressCount": 256, "NetworkBorderGroup": "us-east-1", "Tags": [] } ] } -
Libérez le CIDR à partir du groupe IPv4 public. Lorsque vous exécutez la commande dans cette section, la valeur de
--regiondoit correspondre à la Région de votre IPAM.Cette étape doit être effectuée par le compte membre.
aws ec2 deprovision-public-ipv4-pool-cidr --regionus-east-1--pool-idipv4pool-ec2-0019eed22a684e0b2--cidr130.137.245.0/24--profilemember-account -
Consultez à nouveau vos CIDR BYOIP et vérifiez qu'il n'y a plus d'adresses provisionnées. Lorsque vous exécutez la commande dans cette section, la valeur de
--regiondoit correspondre à la Région de votre IPAM.Cette étape doit être effectuée par le compte membre.
aws ec2 describe-public-ipv4-pools --regionus-east-1--profilemember-accountDans la sortie, vous verrez le nombre d'adresses IP dans votre groupe IPv4 public.
{ "PublicIpv4Pools": [ { "PoolId": "ipv4pool-ec2-0019eed22a684e0b2", "Description": "", "PoolAddressRanges": [], "TotalAddressCount": 0, "TotalAvailableAddressCount": 0, "NetworkBorderGroup": "us-east-1", "Tags": [] } ] }
