Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Didacticiels pour Amazon VPC IP Address Manager (IPAM)
Les tutoriels suivants montrent comment exécuter les tâches IPAM courantes à l'aide d'AWS CLI. Pour obtenir la AWS CLI, consultez [Accès à IPAM](access-ipam.md). Pour plus d'informations sur les concepts IPAM mentionnés dans ces didacticiels, consultez [Fonctionnement d'IPAM](how-it-works-ipam.md).
**Topics**
+ [Prise en main de l’IPAM à l’aide de l’interface de ligne de commande AWS](getting-started-with-ipam-using-the-aws-cli.md)
+ [Créer un IPAM et des groupes à l'aide de la console](tutorials-get-started-console.md)
+ [Créez un IPAM et des pools à l'aide du AWS CLI](tutorials-create-vpc-ipam.md)
+ [Consultez l'historique des adresses IP à l'aide du AWS CLI](tutorials-historical-insights.md)
+ [Apporter votre ASN à l'IPAM](tutorials-byoasn.md)
+ [Apporter vos adresses IP à IPAM](tutorials-byoip-ipam.md)
+ [Transférer un IPv4 CIDR BYOIP vers IPAM](tutorials-byoip-ipam-transfer-ipv4.md)
+ [Planifier l'espace d'adresse IP VPC pour les allocations IP de sous-réseau](tutorials-subnet-planning.md)
+ [Allouer des adresses IP Elastic séquentielles à partir d’un groupe IPAM](tutorials-eip-pool.md)
# Prise en main de l’IPAM à l’aide de l’interface de ligne de commande AWS
Ce tutoriel vous guide tout au long du processus de configuration et d’utilisation du Gestionnaire d’adresses IP (IPAM) d’Amazon VPC à l’aide de l’interface de ligne de commande AWS avec un seul compte AWS. À la fin de ce tutoriel, vous aurez créé un IPAM et une hiérarchie de groupes d’adresses IP et aurez alloué un CIDR à un VPC.
## Prérequis
Avant de commencer ce tutoriel, assurez-vous de ce qui suit :
+ Vous disposez d’un compte AWS autorisé à créer et à gérer des ressources IPAM.
+ Vous disposez de l’interface de ligne de commande AWS, installée et configurée avec les informations d’identification appropriées. Pour plus d’informations sur l’installation de l’interface de ligne de commande AWS, consultez la section [Installing or updating the latest version of the AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html). Pour plus d’informations sur la configuration de l’interface de ligne de commande AWS, consultez la section [Configuration basics](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-quickstart.html).
+ Vous avez une compréhension de base de l’adressage IP et de la notation CIDR.
+ Vous avez une connaissance de base des concepts Amazon VPC.
+ Durée du tutoriel : environ 30 minutes.
## Création d'un IPAM
La première étape consiste à créer un IPAM avec des régions d’exploitation. Un IPAM vous permet de planifier, suivre et surveiller les adresses IP dans le cadre de vos charges de travail AWS.
Créez un IPAM avec les régions d’exploitation us-east-1 et us-west-2 :
```
aws ec2 create-ipam \
--description "My IPAM" \
--operating-regions RegionName=us-east-1 RegionName=us-west-2
```
Cette commande crée un IPAM et permet à ce dernier de gérer les adresses IP dans les régions spécifiées. Les régions d’exploitation sont les régions AWS au sein desquelles l’IPAM est autorisé à gérer des CIDR d’adresses IP.
Vérifiez que votre IPAM a été créé :
```
aws ec2 describe-ipams
```
Notez l’ID de l’IPAM indiqué dans la sortie obtenue, car vous en aurez besoin pour les étapes suivantes.
Attendez que l’IPAM soit entièrement créé et disponible (environ 20 secondes) :
```
sleep 20
```
## Obtention de l’ID de portée IPAM
Lorsque vous créez un IPAM, AWS crée automatiquement une portée privée et une portée publique. Dans le cadre de ce tutoriel, nous utiliserons la portée privée.
Récupérez les détails de l’IPAM et extrayez l’ID de portée privée :
```
aws ec2 describe-ipams --ipam-id ipam-0abcd1234
```
Remplacez `ipam-0abcd1234` par l’ID de l’IPAM réel.
Dans la sortie obtenue, identifiez et notez l’ID de portée privée indiqué dans le champ `PrivateDefaultScopeId`. Elle doit ressembler à ceci : `ipam-scope-0abcd1234`.
## Création d'un groupe IPv4 de niveau supérieur
Créons à présent un groupe de niveau supérieur dans la portée privée. Ce groupe servira de parent à tous les autres groupes de notre hiérarchie.
Créez un groupe IPv4 de niveau supérieur :
```
aws ec2 create-ipam-pool \
--ipam-scope-id ipam-scope-0abcd1234 \
--address-family ipv4 \
--description "Top-level pool"
```
Remplacez `ipam-scope-0abcd1234` par l’ID de portée privée réel.
Attendez que le groupe soit entièrement créé et disponible :
```
aws ec2 describe-ipam-pools --ipam-pool-ids ipam-pool-0abcd1234 --query 'IpamPools[0].State' --output text
```
Remplacez `ipam-pool-0abcd1234` par l’ID de groupe de niveau supérieur réel. L’état doit être `create-complete` avant de poursuivre.
Une fois le groupe disponible, provisionnez-le avec un bloc CIDR :
```
aws ec2 provision-ipam-pool-cidr \
--ipam-pool-id ipam-pool-0abcd1234 \
--cidr 10.0.0.0/8
```
Attendez que le CIDR soit entièrement provisionné :
```
aws ec2 get-ipam-pool-cidrs --ipam-pool-id ipam-pool-0abcd1234 --query "IpamPoolCidrs[?Cidr=='10.0.0.0/8'].State" --output text
```
L’état doit être `provisioned` avant de poursuivre.
## Création d’un groupe IPv4 régional
Créez ensuite un groupe régional au sein du groupe de niveau supérieur. Ce groupe sera spécifique à une région AWS particulière.
Créez un groupe IPv4 régional :
```
aws ec2 create-ipam-pool \
--ipam-scope-id ipam-scope-0abcd1234 \
--source-ipam-pool-id ipam-pool-0abcd1234 \
--locale us-east-1 \
--address-family ipv4 \
--description "Regional pool in us-east-1"
```
Remplacez `ipam-scope-0abcd1234` par l’ID de portée privée réel et `ipam-pool-0abcd1234` par l’ID de groupe de niveau supérieur.
Attendez que le groupe régional soit entièrement créé et disponible :
```
aws ec2 describe-ipam-pools --ipam-pool-ids ipam-pool-1abcd1234 --query 'IpamPools[0].State' --output text
```
Remplacez `ipam-pool-1abcd1234` par l’ID de groupe régional réel. L’état doit être `create-complete` avant de poursuivre.
Une fois le groupe disponible, provisionnez-le avec un bloc CIDR :
```
aws ec2 provision-ipam-pool-cidr \
--ipam-pool-id ipam-pool-1abcd1234 \
--cidr 10.0.0.0/16
```
Attendez que le CIDR soit entièrement provisionné :
```
aws ec2 get-ipam-pool-cidrs --ipam-pool-id ipam-pool-1abcd1234 --query "IpamPoolCidrs[?Cidr=='10.0.0.0/16'].State" --output text
```
L’état doit être `provisioned` avant de poursuivre.
## Création d'un groupe IPv4 de développement
Créez à présent un groupe de développement au sein du groupe régional. Ce groupe sera utilisé dans le cadre d’environnements de développement.
Créez un groupe IPv4 de développement :
```
aws ec2 create-ipam-pool \
--ipam-scope-id ipam-scope-0abcd1234 \
--source-ipam-pool-id ipam-pool-1abcd1234 \
--locale us-east-1 \
--address-family ipv4 \
--description "Development pool"
```
Remplacez `ipam-scope-0abcd1234` par l’ID de portée privée réel et `ipam-pool-1abcd1234` par l’ID de groupe régional.
Remarque : il est important d’inclure le paramètre `--locale` correspondant aux paramètres régionaux du groupe parent.
Attendez que le groupe de développement soit entièrement créé et disponible :
```
aws ec2 describe-ipam-pools --ipam-pool-ids ipam-pool-2abcd1234 --query 'IpamPools[0].State' --output text
```
Remplacez `ipam-pool-2abcd1234` par l’ID de groupe de développement réel. L’état doit être `create-complete` avant de poursuivre.
Une fois le groupe disponible, provisionnez-le avec un bloc CIDR :
```
aws ec2 provision-ipam-pool-cidr \
--ipam-pool-id ipam-pool-2abcd1234 \
--cidr 10.0.0.0/24
```
Attendez que le CIDR soit entièrement provisionné :
```
aws ec2 get-ipam-pool-cidrs --ipam-pool-id ipam-pool-2abcd1234 --query "IpamPoolCidrs[?Cidr=='10.0.0.0/24'].State" --output text
```
L’état doit être `provisioned` avant de poursuivre.
## Création d’un VPC utilisant un CIDR de groupe IPAM
Créez enfin un VPC qui utilise un CIDR à partir de votre groupe IPAM. Cet exemple montre comment l’IPAM peut être utilisé pour allouer de l’espace d’adressage IP aux ressources AWS.
Créez un VPC utilisant un CIDR de groupe IPAM :
```
aws ec2 create-vpc \
--ipv4-ipam-pool-id ipam-pool-2abcd1234 \
--ipv4-netmask-length 26 \
--tag-specifications 'ResourceType=vpc,Tags=[{Key=Name,Value=IPAM-VPC}]'
```
Remplacez `ipam-pool-2abcd1234` par l’ID de groupe de développement réel.
Le paramètre `--ipv4-netmask-length 26` indique que vous souhaitez qu’un bloc CIDR /26 (64 adresses IP) soit alloué à partir du groupe. Cette longueur de masque réseau est choisie pour s’assurer qu’elle est inférieure au bloc CIDR du groupe (/24).
Vérifiez que votre VPC a été créé :
```
aws ec2 describe-vpcs --filters "Name=tag:Name,Values=IPAM-VPC"
```
## Vérification de l’allocation du groupe IPAM
Vérifiez que le CIDR a été alloué à partir de votre groupe IPAM :
```
aws ec2 get-ipam-pool-allocations \
--ipam-pool-id ipam-pool-2abcd1234
```
Remplacez `ipam-pool-2abcd1234` par l’ID de groupe de développement réel.
Cette commande affiche toutes les allocations effectuées à partir du groupe IPAM spécifié, y compris le VPC que vous venez de créer.
## Résolution des problèmes
Voici quelques problèmes courants que vous pouvez rencontrer dans le cadre de l’utilisation de l’IPAM :
+ **Erreurs d’autorisation** : assurez-vous que l’utilisateur ou le rôle IAM dispose des autorisations nécessaires pour créer et gérer des ressources IPAM. Vous aurez peut-être besoin des autorisations `ec2:CreateIpam`, `ec2:CreateIpamPool` et d’autres autorisations connexes.
+ **Limite de ressource dépassée** : par défaut, vous ne pouvez créer qu’un seul IPAM par compte. Si vous possédez déjà un IPAM, vous devrez le supprimer avant d’en créer un nouveau ou d’utiliser celui qui existe.
+ **Échecs d’allocation de CIDR** : lorsque vous provisionnez des CIDR dans des groupes, assurez-vous que le CIDR que vous essayez de provisionner ne génère pas de chevauchement avec les allocations existantes dans d’autres groupes.
+ **Expiration des demandes d’API** : si vous rencontrez des erreurs de type « RequestExpired », cela peut être dû à la latence du réseau ou à des problèmes de synchronisation temporelle. Essayez à nouveau d’exécuter la commande.
+ **Erreurs d’état incorrect** : si vous recevez des erreurs de type « IncorrectState », cela peut être dû au fait que vous essayez d’effectuer une opération sur une ressource dont l’état n’est pas correct. Attendez que la ressource soit entièrement créée ou provisionnée avant de poursuivre.
+ **Erreurs de taille d’allocation** : si vous recevez des erreurs de type « InvalidParameterValue » concernant la taille d’allocation, assurez-vous que la longueur du masque réseau que vous demandez est adaptée à la taille du groupe. Par exemple, vous ne pouvez pas allouer un CIDR /25 à partir d’un groupe /24.
+ **Violations de dépendance** : lors du nettoyage des ressources, vous pouvez rencontrer des erreurs de type « DependencyViolation ». Cela est dû au fait que les ressources présentent des dépendances les unes par rapport aux autres. Assurez-vous de supprimer les ressources dans l’ordre inverse de leur création et de déprovisionner les CIDR avant de supprimer les groupes.
## Nettoyage des ressources
Lorsque vous avez terminé ce tutoriel, nettoyez les ressources créées pour éviter des frais inutiles.
1. Supprimer le VPC
```
aws ec2 delete-vpc --vpc-id vpc-0abcd1234
```
1. Déprovisionnez le CIDR à partir du groupe de développement :
```
aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-2abcd1234 --cidr 10.0.0.0/24
```
1. Supprimez le groupe de développement :
```
aws ec2 delete-ipam-pool --ipam-pool-id ipam-pool-2abcd1234
```
1. Déprovisionnez le CIDR à partir du groupe régional :
```
aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-1abcd1234 --cidr 10.0.0.0/16
```
1. Supprimez le groupe régional :
```
aws ec2 delete-ipam-pool --ipam-pool-id ipam-pool-1abcd1234
```
1. Déprovisionnez le CIDR à partir du groupe de niveau supérieur :
```
aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-0abcd1234 --cidr 10.0.0.0/8
```
1. Supprimez le groupe de niveau supérieur :
```
aws ec2 delete-ipam-pool --ipam-pool-id ipam-pool-0abcd1234
```
1. Supprimez l’IPAM :
```
aws ec2 delete-ipam --ipam-id ipam-0abcd1234
```
Remplacez tous les ID par les ID de ressource réels.
**Note**
Vous devrez peut-être attendre entre ces opérations que les ressources soient entièrement supprimées avant de passer à l’étape suivante. Si vous rencontrez des violations de dépendance, attendez quelques secondes et réessayez.
## Étapes suivantes
Maintenant que vous avez appris à créer et à utiliser l’IPAM avec l’interface de ligne de commande AWS, vous souhaiterez peut-être explorer des fonctionnalités plus avancées :
+ [Planification de l'approvisionnement des adresses IP](planning-ipam.md) – Découvrez comment planifier efficacement votre espace d’adressage IP
+ [Contrôle de l'utilisation du CIDR par ressource](monitor-cidr-compliance-ipam.md) – Découvrez comment surveiller l’utilisation des adresses IP
+ [Partage d'un groupe IPAM à l'aide d'AWS RAM](share-pool-ipam.md) – Découvrez comment partager des groupes IPAM entre des comptes AWS
+ [Intégration d'IPAM aux comptes d'une organisation AWS](enable-integ-ipam.md) – Découvrez comment utiliser l’IPAM au sein de votre organisation
# Didacticiel : créer un IPAM et des groupes à l'aide de la console
Dans ce didacticiel, vous allez créer un IPAM, l'intégrer AWS Organizations, créer des pools d'adresses IP et créer un VPC avec un CIDR à partir d'un pool IPAM.
Ce didacticiel explique comment utiliser IPAM pour organiser l'espace d'adressage IP en fonction de différents besoins de développement. Une fois ce didacticiel terminé, vous disposerez d'un groupe d'adresses IP pour les ressources de pré-production. Vous pouvez ensuite créer d'autres groupes en fonction de vos besoins en matière de routage et de sécurité, par exemple un groupe pour les ressources de production.
Bien que vous puissiez utiliser IPAM en tant qu'utilisateur unique, l'intégration avec vous AWS Organizations permet de gérer les adresses IP des comptes de votre organisation. Ce didacticiel traite de l'intégration d'IPAM avec les comptes d'une organisation. Il n'explique pas comment faire l'opération suivante : [Intégration d'IPAM à des comptes extérieurs à votre organisation](enable-integ-ipam-outside-org.md).
**Note**
Dans le cadre de ce didacticiel, les instructions vous indiqueront de nommer les ressources IPAM d'une manière particulière, de créer des ressources IPAM dans des Régions spécifiques et d'utiliser des plages d'adresses IP CIDR spécifiques pour vos groupes. L'objectif est de rationaliser les choix disponibles dans IPAM et de vous permettre de démarrer rapidement avec IPAM. Une fois ce didacticiel terminé, vous pouvez décider de créer un nouvel IPAM et de le configurer différemment.
**Topics**
+ [Conditions préalables](#prerequisites)
+ [Comment AWS Organizations s'intègre à l'IPAM](#how-aws-organizations-integrates-with-ipam)
+ [Étape 1 : délégation d'un administrateur IPAM](#1-delegate-an-ipam-administrator)
+ [Étape 2 : création d'un IPAM](#2-create-an-ipam)
+ [Étape 3 : Création d'un groupe IPAM de niveau supérieur](#3-create-a-toplevel-ipam-pool)
+ [Étape 4 : création de groupes IPAM régionaux](#4-create-regional-ipam-pools)
+ [Étape 5 : création d'un groupe de développement de pré-production](#5-create-a-preproduction-development-pool)
+ [Étape 6 : partage du groupe IPAM](#6-share-the-ipam-pool)
+ [Étape 7 : création d'un VPC avec un CIDR alloué à partir d'un groupe IPAM](#7-create-a-vpc-with-a-cidr-allocated-from-an-ipam-pool)
+ [Étape 8 : nettoyage](#8-cleanup)
## Conditions préalables
Avant de commencer, vous devez avoir créé un AWS Organizations compte avec au moins un compte membre. Pour obtenir des instructions pratiques, veuillez consulter [Création et gestion d'une organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html) dans le *Guide de l'utilisateur AWS Organizations *.
## Comment AWS Organizations s'intègre à l'IPAM
Cette section présente un exemple des AWS Organizations comptes que vous utilisez dans ce didacticiel. Dans ce didacticiel, trois comptes de votre organisation sont utilisés pour l'intégration IPAM :
+ Le compte de gestion (appelé **example-management-account**dans l'image suivante) pour se connecter à la console IPAM et déléguer un administrateur IPAM. Vous ne pouvez pas utiliser le compte de gestion de l'organisation en tant qu'administrateur IPAM.
+ Un compte membre (appelé *example-member-account-1* dans l'image suivante) en tant que compte administrateur IPAM. Le compte administrateur IPAM est responsable de la création d'un IPAM et de son utilisation pour gérer et contrôler l'utilisation des adresses IP au sein de l'organisation. Tout compte membre de votre organisation peut être délégué en tant qu'administrateur IPAM.
+ Un compte membre (appelé *example-member-account-2* dans ce qui suit) en tant que compte développeur. Ce compte crée un VPC avec un CIDR alloué à partir d'un groupe IPAM.
![\[Exemple d' AWS Organizations organisation avec des exemples de gestion et de comptes de membres.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-10_4.png)
Outre les comptes, vous aurez besoin de l'identifiant de l'unité organisationnelle (**ou-fssg-q5brfv9c** dans l'image précédente) qui contient le compte de membre que vous utiliserez comme compte développeur. Vous avez besoin de cet identifiant pour pouvoir, dans une étape ultérieure, partager votre groupe IPAM avec cette UO.
**Note**
Pour plus d'informations sur les types de AWS Organizations comptes tels que les comptes *de gestion* et les comptes *membres*, consultez [AWS Organizations la section Terminologie et concepts](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html).
## Étape 1 : délégation d'un administrateur IPAM
Au cours de cette étape, vous allez déléguer un compte AWS Organizations membre en tant qu'administrateur IPAM. Lorsque vous déléguez un administrateur IPAM, [un rôle lié à un service](iam-ipam-slr.md) est automatiquement créé dans chacun de vos AWS Organizations comptes membres. IPAM contrôle l'utilisation des adresses IP dans ces comptes en assumant le rôle lié au service dans chaque compte membre. Il peut ensuite découvrir les ressources et leurs CIDRs indépendamment de leur unité organisationnelle.
Vous ne pouvez pas effectuer cette étape si vous ne disposez pas des autorisations Gestion des identités et des accès AWS (IAM) requises. Pour de plus amples informations, veuillez consulter [Intégration d'IPAM aux comptes d'une organisation AWS](enable-integ-ipam.md).
**Pour déléguer un compte administrateur IPAM**
1. À l'aide du compte AWS Organizations de gestion, ouvrez la console IPAM à [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)l'adresse.
1. Dans le AWS Management Console, choisissez la AWS région dans laquelle vous souhaitez travailler avec l'IPAM.
1. Dans le panneau de navigation, choisissez **Organization settings (Paramètres de l'organisation)**.
1. Choisisssez **Delegate** (Déléguer). L'option **Déléguer** n'est disponible que si vous vous êtes connecté à la console en tant que compte AWS Organizations de gestion.
1. Entrez l'identifiant du AWS compte d'un membre de l'organisation. L'administrateur IPAM doit être un compte AWS Organizations membre et non un compte de gestion.
![\[L'option de modification des paramètres dans la console IPAM où vous déléguez un administrateur IPAM.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-_U_2bIBCUfjFZXB4le6FUg.png)
1. Sélectionnez **Enregistrer les modifications**. Les informations relatives à **l'administrateur délégué** sont renseignées avec les détails liés au compte membre.
## Étape 2 : création d'un IPAM
Au cours de cette étape, vous allez créer un IPAM. Lorsque vous créez un IPAM, celui-ci crée automatiquement deux portées pour l'IPAM : la portée privée qui est destinée à tout l'espace privé, et la portée publique qui est destinée à tout l'espace public. Les portées, ainsi que les groupes et les allocations, sont des composants clés de votre IPAM. Pour de plus amples informations, veuillez consulter [Fonctionnement d'IPAM](how-it-works-ipam.md).
**Pour créer un IPAM**
1. À l'aide du compte AWS Organizations membre délégué en tant qu'administrateur IPAM à [l'étape précédente](#1-delegate-an-ipam-administrator), ouvrez la console IPAM à l'adresse. [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)
1. Dans la console AWS de gestion, choisissez la AWS région dans laquelle vous souhaitez créer l'IPAM. Créez IPAM dans votre Région d'opérations principale.
1. Sur la page d'accueil, sélectionnez **Create IPAM** (Créer un IPAM).
1. Sélectionnez **Allow Amazon VPC IP Address Manager to replicate data from source account(s) into an IPAM Delegate account (Autoriser Amazon VPC IP Address Manager à répliquer les données du ou des comptes source dans le compte IPAM délégué)**. Si vous ne sélectionnez pas cette option, vous ne pouvez pas créer d'IPAM.
![\[Créez une page IPAM dans la console IPAM qui inclut une description de la case à cocher Autoriser Amazon VPC IP Address Manager à répliquer les données du ou des comptes source dans le compte IPAM délégué.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-HxHJCv2B3DfNcq--wo_gGg.png)
1. Sous **Régions opérationnelles**, choisissez les AWS régions dans lesquelles cet IPAM peut gérer et découvrir des ressources. La AWS région dans laquelle vous créez votre IPAM est automatiquement sélectionnée comme l'une des régions opérationnelles. Dans ce didacticiel, la Région d'origine de notre IPAM est us-east-1, nous choisirons donc us-west-1 et us-west-2 comme Régions d'exploitation supplémentaires. Si vous oubliez une Région d'exploitation, vous pouvez modifier vos paramètres IPAM ultérieurement et ajouter ou supprimer des Régions.
![\[Section des paramètres IPAM de la console IPAM.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-D85nBxGA1n7iyDVmB7HOCw.png)
1. Sélectionnez **Create IPAM** (Créer un IPAM).
![\[La page de résultat de la console IPAM après la création d'un IPAM.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-FUAVxduwVP5FBYU2GLnlkQ.png)
## Étape 3 : Création d'un groupe IPAM de niveau supérieur
Dans ce didacticiel, vous créez une hiérarchie de groupes en commençant par le groupe IPAM de niveau supérieur. Dans les étapes suivantes, vous créerez une paire de groupes régionaux et un groupe de développement de pré-production dans l'un des groupes régionaux.
Pour plus d'informations sur les hiérarchies de groupes que vous pouvez créer avec IPAM, consultez [Exemples de plans de groupes IPAM](planning-examples-ipam.md).
**Pour créer un groupe de niveau supérieur**
1. À l'aide du compte administrateur IPAM, ouvrez la console IPAM à l'adresse. [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)
1. Dans le panneau de navigation, choisissez **Pools** (Groupes).
1. Choisissez la portée privée.
![\[Choix de la portée privée dans la console IPAM.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-2QXpOvOj0i1rotyKoLjeMQ_update.png)
1. Sélectionnez **Create pool** (Créer un groupe).
1. Sous **Portée IPAM**, laissez la portée privée sélectionnée.
1. (Facultatif) Ajoutez une valeur **Balise de nom** pour le groupe et une description du groupe, par exemple « Groupe global ».
1. Sous **Source**, choisissez **Portée IPAM**. Comme il s'agit de notre groupe de niveau supérieur, il n'aura pas de groupe source.
1. Sous **Famille d'adresses**, sélectionnez **IPv4**.
1. Sous **Planification des ressources**, laissez sélectionné **Planifier l'espace IP dans la portée**. Pour plus d'informations sur l'utilisation de cette option pour planifier l'espace IP de sous-réseau dans un VPC, consultez [Didacticiel : Planifier l'espace d'adresse IP VPC pour les allocations IP de sous-réseau](tutorials-subnet-planning.md).
1. Pour **Locale** (Paramètres régionaux), sélectionnez **None** (Aucun). Les régions sont les AWS régions dans lesquelles vous souhaitez que ce pool IPAM soit disponible pour les allocations. Vous définirez les paramètres régionaux pour les groupes régionaux que vous créez dans la section suivante de ce didacticiel.
![\[Créer un groupe dans la console IPAM.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-daejldSm0ArWYGkedgKekQ.png)
1. Choisissez un CIDR à provisionner pour le groupe. Dans cet exemple, nous provisionnons 10.0.0.0/16.
![\[Définition des éléments CIDRs à provisionner pour un pool dans la console IPAM.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-inrC8QzrnWgW6nmdPkk1rw.png)
1. Laissez l'option **Configurer les paramètres des règles d'allocation de ce groupe** désactivées. Il s'agit de notre piscine de premier niveau, et vous ne l'attribuerez pas VPCs directement CIDRs à partir de cette piscine. Au lieu de cela, vous les allouerez à partir d'un sous-groupe que vous créerez à partir de ce groupe.
![\[Choix des paramètres des règles d'allocation pour un groupe dans la console IPAM.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-8j4A_Tr5hG95xWIFfi1wkw.png)
1. Sélectionnez **Create pool** (Créer un groupe). Le groupe est créé et le CIDR est dans un état de **provision en attente** :
![\[Message de provisionnement en attente dans la console IPAM après la création d'un groupe.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-2_1.png)
1. Attendez que l'état soit **Provisionné** avant de passer à l'étape suivante.
![\[Message provisionné dans la console IPAM après la création d'un groupe.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-3_1.png)
Maintenant que vous avez créé votre groupe de niveau supérieur, vous allez créer des groupes régionaux dans us-west-1 et us-west-2.
## Étape 4 : création de groupes IPAM régionaux
Cette section vous montre comment organiser vos adresses IP à l'aide de deux groupes régionaux. Dans ce didacticiel, nous suivons l'un des [exemples de plans de pool IPAM](planning-examples-ipam.md) et créons deux pools régionaux qui peuvent être utilisés par les comptes membres de votre organisation pour les allouer CIDRs à leurs comptes. VPCs
**Pour créer un groupe régional**
1. À l'aide du compte administrateur IPAM, ouvrez la console IPAM à l'adresse. [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)
1. Dans le panneau de navigation, choisissez **Pools** (Groupes).
1. Choisissez la portée privée.
![\[Choix de la portée privée dans la console IPAM.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-Jb3iudGe4fGJDkVVMqnCpA_update.png)
1. Sélectionnez **Create pool** (Créer un groupe).
1. Sous **Portée IPAM**, laissez la portée privée sélectionnée.
1. (Facultatif) Ajoutez une valeur **Balise de nom** du groupe et une description pour le groupe, tel que **Groupe régional us-west-1**.
![\[Ajout d'un nom pour un groupe dans la console IPAM.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-U9TfeMAvqPNqdM3o18oNCA.png)
1. Sous **Source**, sélectionnez **Groupe IPAM** puis le groupe de niveau supérieur (« Groupe global ») que vous avez créé dans [Étape 3 : Création d'un groupe IPAM de niveau supérieur](#3-create-a-toplevel-ipam-pool). Ensuite, sous **Régions**, choisissez **us-west-1**.
![\[Choix d'un groupe source dans la console IPAM.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-Qg017oruyE3w2MEkQXr1EQ.png)
1. Sous **Planification des ressources**, laissez sélectionné **Planifier l'espace IP dans la portée**. Pour plus d'informations sur l'utilisation de cette option pour planifier l'espace IP de sous-réseau dans un VPC, consultez [Didacticiel : Planifier l'espace d'adresse IP VPC pour les allocations IP de sous-réseau](tutorials-subnet-planning.md).
1. Sous **CIDRs provision**, entrez 10.0.0.0/18, ce qui donnera à ce pool environ 16 000 adresses IP disponibles.
![\[Choisir CIDRs de provisionner le pool dans la console IPAM.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-os9vwNonWgaIGDkbq3Pjbg.png)
1. Laissez l'option **Configurer les paramètres des règles d'allocation de ce groupe** désactivées. Vous ne serez pas affecté VPCs directement CIDRs à partir de ce pool. Au lieu de cela, vous les allouerez à partir d'un sous-groupe que vous créerez à partir de ce groupe.
![\[L'option Configurer les règles d'allocation de ce groupe est activée dans la console IPAM.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-8j4A_Tr5hG95xWIFfi1wkw.png)
1. Sélectionnez **Create pool** (Créer un groupe).
1. Revenez à la vue **Groupes** pour voir la hiérarchie des groupes IPAM que vous avez créés.
![\[Vue des groupes avec deux groupes dans la console IPAM.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-Ki7fsgUEn6miZE5Hg2TmrA_update.png)
1. Répétez les étapes de cette section et créez un deuxième groupe régional dans la Région **us-west-2** avec le CIDR **10.0.64.0/18** provisionné. À l'issue de ce processus, vous disposerez de trois groupes dans une hiérarchie similaire à celle-ci :
![\[Vue des groupes avec trois groupes dans la console IPAM.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-5_update.png)
## Étape 5 : création d'un groupe de développement de pré-production
Suivez les étapes de cette section pour créer un groupe de développement pour les ressources de pré-production au sein de l'un de vos groupes régionaux.
**Pour créer un groupe de développement de pré-production**
1. De la même manière que dans la section précédente, à l'aide du compte administrateur IPAM, créez un groupe appelé **Groupe pre-prod**, mais cette fois, utilisez le **groupe régional us-west-1** comme groupe source.
![\[Créer un groupe dans la console IPAM.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-BxJv7N7ierzIQDRiC4_R0Q.png)
1. Spécifiez un CIDR 10.0.0.0/20 à provisionner, ce qui donnera à ce groupe environ 4 000 adresses IP.
![\[Choix CIDRs d'un pool dans la console IPAM.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-jn0QtJsRo5iF5R5oHp7Sqw.png)
1. Activez l'option **Configurer les paramètres des règles d'allocation de ce groupe**. Procédez comme suit :
1. Sous **Gestion du CIDR**, pour **Importer automatiquement les ressources découvertes**, laissez l'option par défaut **Ne pas autoriser** sélectionnée. Cette option permettrait à IPAM d'importer automatiquement les ressources CIDRs qu'il découvre dans les paramètres régionaux du pool. Une description détaillée de cette option n'entre pas dans le cadre de ce didacticiel, mais vous pouvez en savoir plus sur cette option dans [Création d'un pool de haut niveau IPv4](create-top-ipam.md).
1. Sous **Conformité du masque réseau**, choisissez **/24** pour la longueur minimale, par défaut et maximale du masque réseau. Une description détaillée de cette option n'entre pas dans le cadre de ce didacticiel, mais vous pouvez en savoir plus sur cette option dans [Création d'un pool de haut niveau IPv4](create-top-ipam.md). Il est important de noter que le VPC que vous créerez ultérieurement avec un CIDR à partir de ce groupe sera limité à /24 en fonction de ce que nous avons défini ici.
1. Sous **Conformité des balises**, saisissez **environment/pre-prod**. Cette balise sera requise pour allouer VPCs de l'espace depuis le pool. Nous vous montrerons plus tard comment cela fonctionne.
![\[Vue de tous les paramètres du groupe lors de la création d'un groupe dans la console IPAM.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-D2Yr4efRG3X7MeME2urYJA.png)
1. Sélectionnez **Create pool** (Créer un groupe).
1. La hiérarchie des groupes inclut désormais un sous-groupe supplémentaire sous le **groupe régional us-west-1** :
![\[Vue des groupes avec quatre groupes dans la console IPAM.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-DrNlvRjI9cFmNfq7Xa4x0w_update.png)
Vous êtes maintenant prêt à partager le groupe IPAM avec un autre compte membre de votre organisation et à permettre à ce compte d'allouer un CIDR à partir du groupe afin de créer un VPC.
## Étape 6 : partage du groupe IPAM
Suivez les étapes décrites dans cette section pour partager le pool IPAM de pré-production à l'aide de AWS Resource Access Manager (RAM).
Cette section comprend deux sous-sections :
+ [Étape 6.1. Activer le partage des ressources dans AWS RAM](#61-enable-resource-sharing-in-aws-ram) : cette étape doit être réalisée par le compte de gestion AWS Organizations .
+ [Étape 6.2. Partagez un pool IPAM à l'aide de AWS RAM](#62-share-an-ipam-pool-using-aws-ram) : cette étape doit être réalisée par l'administrateur IPAM.
### Étape 6.1. Activer le partage des ressources dans AWS RAM
Après avoir créé votre IPAM, vous souhaiterez partager des groupes d'adresses IP avec d'autres comptes de votre organisation. Avant de partager un pool IPAM, suivez les étapes décrites dans cette section pour activer le partage de ressources avec AWS RAM.
**Pour activer le partage des ressources**
1. À l'aide du compte AWS Organizations de gestion, ouvrez la AWS RAM console à l'adresse [https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/).
1. Dans le volet de navigation de gauche, choisissez **Paramètres**, sélectionnez **Activer le partage avec AWS Organizations**, puis sélectionnez **Enregistrer les paramètres**.
![\[Activation du partage d'organisation dans la AWS RAM console.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-Jv8YJhg2J82EFdJrgsXA5w.png)
Vous pouvez désormais partager un groupe IPAM avec d'autres membres de l'organisation.
### Étape 6.2. Partagez un pool IPAM à l'aide de AWS RAM
Dans cette section, vous partagerez le groupe de développement de pré-production avec un autre compte membre AWS Organizations . Pour obtenir des instructions complètes sur le partage de groupes IPAM, y compris des informations sur les autorisations IAM requises, consultez [Partage d'un groupe IPAM à l'aide d'AWS RAM](share-pool-ipam.md).
**Pour partager un pool IPAM à l'aide de AWS RAM**
1. À l'aide du compte administrateur IPAM, ouvrez la console IPAM à l'adresse. [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)
1. Dans le panneau de navigation, choisissez **Pools** (Groupes).
1. Choisissez la portée privée, choisissez le groupe IPAM de pré-production, puis choisissez **Actions** > **Afficher les détails**.
1. Sous **Resource sharing** (Partage de ressources), sélectionnez **Create resource share** (Créer un partage de ressources). La AWS RAM console s'ouvre. Vous partagerez le pool en utilisant AWS RAM.
1. Sélectionnez **Create a resource share** (Créer un partage de ressources).
![\[Création d'un partage de ressources dans la console IPAM.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-6_1.png)
La AWS RAM console s'ouvre.
1. Dans la AWS RAM console, choisissez à nouveau **Créer un partage de ressources**.
1. Ajoutez un **Nom** pour la ressource partagée.
1. Sous **Sélectionner le type de ressource**, choisissez **Groupes IPAM,** puis choisissez l'ARN du groupe de développement de pré-production.
![\[Création d'un partage de ressources dans la AWS RAM console.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-El4fIIE4FoenE75KV43GtQ.png)
1. Choisissez **Suivant**.
1. Laissez l'**AWSRAMDefaultPermissionsIpamPool**autorisation par défaut sélectionnée. Les détails des options d'autorisation ne sont pas abordés dans ce didacticiel, mais vous pouvez en savoir plus sur ces options dans [Partage d'un groupe IPAM à l'aide d'AWS RAM](share-pool-ipam.md).
![\[Associer des autorisations sur un partage de ressources dans la AWS RAM console.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-lNweqIyKpC9LFvxpwrkmiw.png)
1. Choisissez **Suivant**.
1. Sous **Principaux,** sélectionnez **Autoriser le partage uniquement au sein de votre organisation.** Entrez l'ID de votre unité AWS Organizations organisationnelle (comme indiqué dans)[Comment AWS Organizations s'intègre à l'IPAM](#how-aws-organizations-integrates-with-ipam), puis choisissez **Ajouter**.
![\[Accorder l'accès à un partage de ressources dans la AWS RAM console.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-dvLWZpvLDwh-grXeuUwPFQ.png)
1. Choisissez **Suivant**.
1. Examinez les options de partage de ressources et les principaux avec lesquels vous procéderez au partage, puis sélectionnez **Créer**.
Maintenant que le groupe a été partagé, passez à l'étape suivante pour créer un VPC avec un CIDR alloué à partir d'un groupe IPAM.
## Étape 7 : création d'un VPC avec un CIDR alloué à partir d'un groupe IPAM
Suivez les étapes de cette section pour créer un VPC avec un CIDR alloué à partir du groupe de pré-production. Cette étape doit être effectuée par le compte membre de l'unité d'organisation avec laquelle le pool IPAM a été partagé dans la section précédente (appelée ** example-member-account-2** in[Comment AWS Organizations s'intègre à l'IPAM](#how-aws-organizations-integrates-with-ipam)). Pour plus d'informations sur les autorisations IAM requises pour créer VPCs, consultez les exemples de [politiques Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-policy-examples.html) dans le guide de l'utilisateur *Amazon VPC*.
**Pour créer un VPC avec un CIDR alloué à partir d'un groupe IPAM**
1. À l'aide du compte membre, ouvrez la console VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)tant que compte membre que vous utiliserez comme compte développeur.
1. Sélectionnez **Create VPC** (Créer un VPC).
1. Procédez comme suit :
1. Saisissez un nom, tel que **Exemple VPC.**
1. Choisissez le bloc **d'adresse IPv4 CIDR alloué par iPam**.
1. Sous **pool IPv4 IPAM**, choisissez l'ID du pool de pré-production.
1. Choisissez la longueur du **masque réseau**. Comme vous avez limité la longueur du masque réseau disponible pour ce groupe à /24 (dans [Étape 5 : création d'un groupe de développement de pré-production](#5-create-a-preproduction-development-pool)), la seule option de masque réseau disponible est /24.
![\[Création d'un VPC dans la console Amazon VPC.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-jP9gQ6vF0cRtH2b-7CGNAA.png)
1. À des fins de démonstration, sous **Balises**, n'ajoutez aucune balise supplémentaire pour le moment. Lorsque vous avez créé le pool de pré-production (in[Étape 5 : création d'un groupe de développement de pré-production](#5-create-a-preproduction-development-pool)), vous avez ajouté une règle d'allocation qui exigeait VPCs que tous ceux créés à CIDRs partir de ce pool aient une balise environment/pre-prod tag. Leave the environment/pre -prod désactivée pour le moment afin que vous puissiez voir qu'une erreur apparaît vous indiquant qu'aucune balise requise n'a été ajoutée.
1. Sélectionnez **Create VPC** (Créer un VPC).
1. Un message d'erreur s'affiche vous indiquant qu'une balise obligatoire n'a pas été ajoutée. L'erreur apparaît parce que vous avez défini une règle d'allocation lorsque vous avez créé le groupe de pré-production (in [Étape 5 : création d'un groupe de développement de pré-production](#5-create-a-preproduction-development-pool)). La règle d'allocation VPCs exigeait que tous ceux créés à CIDRs partir de ce pool aient une balise environnement/pre-prod.
![\[Création d'une erreur VPC dans la console Amazon VPC.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-wxP7WfFbl-2ThufLus_Usw.png)
1. Maintenant, sous **Balises**, ajoutez la balise **environment/pre-prod** et sélectionnez à nouveau **Créer un VPC**.
![\[Ajouter des balises à un VPC dans la console Amazon VPC.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-w8R8_7bmW-Bp-CPSImwmEA.png)
1. Le VPC est correctement créé et il est conforme à la règle de balisage du groupe de pré-production :
![\[Création réussie d'un VPC dans la console Amazon VPC.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-D3roKYnuSRCdzlFfGT7-pg.png)
Dans le volet **Ressources** de la console IPAM, l'administrateur IPAM pourra voir et gérer le VPC et le CIDR qui lui est alloué. Notez qu'il faut un certain temps pour que le VPC apparaisse dans le volet **Ressources**.
## Étape 8 : nettoyage
Dans ce didacticiel, vous avez créé un IPAM avec un administrateur délégué, créé plusieurs groupes et autorisé un compte membre de votre organisation à allouer un CIDR VPC à partir d'un groupe.
Suivez les étapes de cette section pour nettoyer les ressources que vous avez créées dans ce didacticiel.
**Pour nettoyer les ressources créées dans ce didacticiel**
1. En utilisant le compte membre qui a créé le VPC d'exemple, supprimez le VPC. Pour des instructions détaillées, veuillez consulter [Supprimer votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/delete-vpc.html) dans le *Guide de l'utilisateur Amazon Virtual Private Cloud*.
1. À l'aide du compte administrateur IPAM, supprimez l'exemple de partage de ressources dans la AWS RAM console. Pour obtenir des instructions détaillées, consultez [Supprimer un partage de ressources dans AWSAWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-delete.html) dans le *Guide de l'utilisateur AWS Resource Access Manager *.
1. En utilisant le compte administrateur IPAM, connectez-vous à la console RAM et désactivez le partage avec AWS Organizations que vous avez activé dans [Étape 6.1. Activer le partage des ressources dans AWS RAM](#61-enable-resource-sharing-in-aws-ram).
1. En utilisant le compte administrateur IPAM, supprimez l'exemple d'IPAM en le sélectionnant dans la console IPAM, puis en choisissant **Actions** > **Supprimer**. Pour obtenir des instructions complètes, consultez [Suppression d'un IPAM](delete-ipam.md).
1. Lorsque vous êtes invité à supprimer l'IPAM, choisissez **Supprimer en cascade**. Cela supprimera toutes les portées et tous les groupes de l'IPAM avant de le supprimer.
![\[Suppression d'un IPAM dans la console IPAM.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/ipam/images/tutorials-get-started-console-wzlnq9726bqxf3M_F71QUQ.png)
1. Saisissez **supprimer** et choisissez **Supprimer**.
1. À l'aide du compte de AWS Organizations gestion, connectez-vous à la console IPAM, choisissez **Paramètres** et supprimez le compte d'administrateur délégué.
1. (Facultatif) Lorsque vous intégrez IPAM à AWS Organizations, [IPAM crée automatiquement un rôle lié au service dans](iam-ipam-slr.md) chaque compte membre. À l'aide de chaque compte AWS Organizations membre, connectez-vous à IAM et supprimez le rôle lié au service **AWSServiceRoleForIPAM** dans chaque compte membre.
1. Le nettoyage est terminé.
# Tutoriel : Créez un IPAM et des pools à l'aide du AWS CLI
Suivez les étapes de ce didacticiel AWS CLI pour créer un IPAM, créer des pools d'adresses IP et allouer un VPC avec un CIDR à partir d'un pool IPAM.
L'exemple suivant illustre la hiérarchie de la structure de groupes que vous allez créer en suivant les étapes de cette section :
+ IPAM opérant dans les AWS régions 1 et AWS 2
+ Portée privée
+ Groupe de niveau supérieur
+ Piscine régionale dans AWS la Région 2
+ Groupe de développement
+ Allocation pour un VPC
**Note**
Dans cette section, vous allez créer un IPAM. Par défaut, vous ne pouvez créer qu'un IPAM. Pour de plus amples informations, veuillez consulter [Quotas pour votre IPAM](quotas-ipam.md). Si vous avez déjà délégué un compte IPAM et créé un IPAM, vous pouvez ignorer les étapes 1 et 2.
**Topics**
+ [Étape 1 : activation d'IPAM dans votre organisation](#cli-tut-enable-org-ipam)
+ [Étape 2 : création d'un IPAM](#cli-tut-create-ipam)
+ [Étape 3 : créer un pool d' IPv4 adresses](#cli-tut-create-top-ipam)
+ [Étape 4 : approvisionnement d'un CIDR au groupe de niveau supérieur](#cli-tut-provision-cidr-ipam)
+ [Étape 5. Création d'un groupe régional avec un CIDR provenant du groupe de niveau supérieur](#cli-tut-create-reg-ipam)
+ [Étape 6 : approvisionnement d'un CIDR au groupe régional](#cli-tut-assign-cidr-reg-pool)
+ [Étape 7. Création d'un partage RAM pour activer les attributions IP entre les comptes](#cli-tut-create-ram-share-ipam)
+ [Étape 8. Création d'un VPC](#cli-tut-create-vpc-ipam)
+ [Étape 9. Nettoyage](#cli-tut-cleanup-ipam)
## Étape 1 : activation d'IPAM dans votre organisation
Cette étape est facultative. Effectuez cette étape pour activer l'IPAM dans votre organisation et configurer votre IPAM délégué à l'aide de la CLI AWS . Pour plus d'informations sur le rôle du compte IPAM, consultez [Intégration d'IPAM aux comptes d'une organisation AWS](enable-integ-ipam.md).
Cette demande doit être faite depuis un compte de gestion des AWS Organizations. Lorsque vous exécutez la commande suivante, vérifiez que vous utilisez un rôle avec une stratégie IAM autorisant les actions suivantes :
+ `ec2:EnableIpamOrganizationAdminAccount`
+ `organizations:EnableAwsServiceAccess`
+ `organizations:RegisterDelegatedAdministrator`
+ `iam:CreateServiceLinkedRole`
```
aws ec2 enable-ipam-organization-admin-account --region us-east-1 --delegated-admin-account-id 11111111111
```
La sortie suivante doit s'afficher. Elle indique que l'activation a réussi.
```
{
"Success": true
}
```
## Étape 2 : création d'un IPAM
Suivez les étapes de cette section pour créer un IPAM et afficher des informations supplémentaires sur les portées créées. Vous utiliserez cet IPAM lorsque vous créerez des groupes et que vous provisionnerez des plages d'adresses IP pour ces groupes lors d'étapes ultérieures.
**Note**
L'option Régions opérationnelles détermine AWS les régions pour lesquelles les pools IPAM peuvent être utilisés. Pour plus d'informations sur les Régions d'opération, consultez [Création d'un IPAM](create-ipam.md).
**Pour créer un IPAM à l'aide du AWS CLI**
1. Exécutez la commande suivante pour créer l'instance IPAM.
```
aws ec2 create-ipam --description my-ipam --region us-east-1 --operating-regions RegionName=us-west-2
```
Lorsque vous créez un IPAM, il effectue AWS automatiquement les opérations suivantes :
+ Renvoi d'un ID de ressource globalement unique (`IpamId`) pour l'IPAM.
+ Création d'une portée publique par défaut (`PublicDefaultScopeId`) et d'une portée privée par défaut (`PrivateDefaultScopeId`).
```
{
"Ipam": {
"OwnerId": "123456789012",
"IpamId": "ipam-0de83dba6694560a9",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-0de83dba6694560a9",
"PublicDefaultScopeId": "ipam-scope-02a24107598e982c5",
"PrivateDefaultScopeId": "ipam-scope-065e7dfe880df679c",
"ScopeCount": 2,
"Description": "my-ipam",
"OperatingRegions": [
{
"RegionName": "us-west-2"
},
{
"RegionName": "us-east-1"
}
],
"Tags": []
}
}
```
1. Exécutez la commande suivante pour afficher des informations supplémentaires relatives aux portées. La portée publique est destinée aux adresses IP qui seront accessibles via l’Internet public. La portée privée est destinée aux adresses IP qui ne seront pas accessibles via l’Internet public.
```
aws ec2 describe-ipam-scopes --region us-east-1
```
Les portées disponibles sont indiquées dans la sortie. Vous allez utiliser l'ID de portée privée à l'étape suivante.
```
{
"IpamScopes": [
{
"OwnerId": "123456789012",
"IpamScopeId": "ipam-scope-02a24107598e982c5",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-02a24107598e982c5",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-0de83dba6694560a9",
"IpamScopeType": "public",
"IsDefault": true,
"PoolCount": 0
},
{
"OwnerId": "123456789012",
"IpamScopeId": "ipam-scope-065e7dfe880df679c",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-065e7dfe880df679c",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-0de83dba6694560a9",
"IpamScopeType": "private",
"IsDefault": true,
"PoolCount": 0
}
]
}
```
## Étape 3 : créer un pool d' IPv4 adresses
Suivez les étapes décrites dans cette section pour créer un pool d' IPv4 adresses.
**Important**
Vous n'utiliserez pas l’option `--locale` sur ce groupe de niveau supérieur. Vous définirez l’option locale plus tard sur le groupe Régional. L’option locale est la Région AWS dans laquelle vous souhaitez qu’un groupe soit disponible pour les allocations CIDR. En raison de l'absence de paramètres pour l’option locale sur le groupe de niveau supérieur, les paramètres seront définis par défaut sur `None`. Si un pool possède un paramètre régional de`None`, le pool ne sera accessible aux ressources VPC d'aucune AWS région. Vous pouvez uniquement allouer manuellement de l'espace pour adresse IP dans le groupe pour réserver de l'espace.
**Pour créer un pool d' IPv4 adresses pour toutes vos AWS ressources à l'aide du AWS CLI**
1. Exécutez la commande suivante pour créer un pool d' IPv4 adresses. Utilisez l'ID de portée privée de l'IPAM que vous avez créé à l'étape précédente.
```
aws ec2 create-ipam-pool --ipam-scope-id ipam-scope-065e7dfe880df679c --description "top-level-pool" --address-family ipv4
```
Dans la sortie, le groupe affichera l'état `create-in-progress`.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0008f25d7187a08d9",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0008f25d7187a08d9",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-065e7dfe880df679c",
"IpamScopeType": "private",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-0de83dba6694560a9",
"Locale": "None",
"PoolDepth": 1,
"State": "create-in-progress",
"Description": "top-level-pool",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": []
}
}
```
1. Exécutez la commande suivante jusqu'à ce que l'état `create-complete` apparaisse dans la sortie.
```
aws ec2 describe-ipam-pools
```
L'exemple de sortie suivant illustre le bon état.
```
{
"IpamPools": [
{
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0008f25d7187a08d9",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0008f25d7187a08d9",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-065e7dfe880df679c",
"IpamScopeType": "private",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-0de83dba6694560a9",
"Locale": "None",
"PoolDepth": 1,
"State": "create-complete",
"Description": "top-level-pool",
"AutoImport": false,
"AddressFamily": "ipv4"
}
]
}
```
## Étape 4 : approvisionnement d'un CIDR au groupe de niveau supérieur
Suivez les étapes de cette section pour provisionner un CIDR au groupe de niveau supérieur, puis vérifier que le CIDR est provisionné. Pour de plus amples informations, veuillez consulter [Mise CIDRs à disposition d'une piscine](prov-cidr-ipam.md).
**Pour fournir un bloc CIDR au pool à l'aide du AWS CLI**
1. Exécutez la commande suivante pour provisionner le CIDR.
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0008f25d7187a08d9 --cidr 10.0.0.0/8
```
Dans la sortie, vous pouvez vérifier l'état de l'approvisionnement.
```
{
"IpamPoolCidr": {
"Cidr": "10.0.0.0/8",
"State": "pending-provision"
}
}
```
1. Exécutez la commande suivante jusqu'à ce que l'état `provisioned` apparaisse dans la sortie.
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0008f25d7187a08d9
```
L'exemple de sortie suivant illustre le bon état.
```
{
"IpamPoolCidrs": [
{
"Cidr": "10.0.0.0/8",
"State": "provisioned"
}
]
}
```
## Étape 5. Création d'un groupe régional avec un CIDR provenant du groupe de niveau supérieur
Lorsque vous créez un pool IPAM, celui-ci appartient par défaut à la AWS région de l'IPAM. Lorsque vous créez un VPC, le groupe duquel il provient doit se trouver dans la même Région que le VPC. Vous pouvez utiliser l'option `--locale` lorsque vous créez un groupe pour le rendre disponible pour les services d'une Région autre que la Région de l'IPAM. Suivez les étapes de cette section pour créer un groupe régional dans un autre paramètre régional.
**Pour créer un pool avec un CIDR provenant du pool précédent à l'aide du AWS CLI**
1. Exécutez la commande suivante pour créer le groupe et insérer un espace avec un CIDR disponible connu provenant du groupe précédent.
```
aws ec2 create-ipam-pool --description "regional--pool" --region us-east-1 --ipam-scope-id ipam-scope-065e7dfe880df679c --source-ipam-pool-id
ipam-pool-0008f25d7187a08d9 --locale us-west-2 --address-family ipv4
```
Dans la sortie, vous verrez l'ID du groupe que vous avez créé. Vous aurez besoin de cet ID à la prochaine étape.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0da89c821626f1e4b",
"SourceIpamPoolId": "ipam-pool-0008f25d7187a08d9",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0da89c821626f1e4b",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-065e7dfe880df679c",
"IpamScopeType": "private",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-0de83dba6694560a9",
"Locale": "us-west-2",
"PoolDepth": 2,
"State": "create-in-progress",
"Description": "regional--pool",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": []
}
}
```
1. Exécutez la commande suivante jusqu'à ce que l'état `create-complete` apparaisse dans la sortie.
```
aws ec2 describe-ipam-pools
```
Dans la sortie, vous verrez les groupes que vous avez dans votre IPAM. Dans ce tutoriel, nous avons créé un groupe de niveau supérieur et un groupe régional. Vous verrez donc les deux.
```
{
"IpamPools": [
{
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0008f25d7187a08d9",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0008f25d7187a08d9",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-065e7dfe880df679c",
"IpamScopeType": "private",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-0de83dba6694560a9",
"Locale": "None",
"PoolDepth": 1,
"State": "create-complete",
"Description": "top-level-pool",
"AutoImport": false,
"AddressFamily": "ipv4"
},
{
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0da89c821626f1e4b",
"SourceIpamPoolId": "ipam-pool-0008f25d7187a08d9",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0da89c821626f1e4b",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-065e7dfe880df679c",
"IpamScopeType": "private",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-0de83dba6694560a9",
"Locale": "us-west-2",
"PoolDepth": 2,
"State": "create-complete",
"Description": "regional--pool",
"AutoImport": false,
"AddressFamily": "ipv4"
}
]
}
```
## Étape 6 : approvisionnement d'un CIDR au groupe régional
Suivez les étapes de cette section pour attribuer un bloc d'adresse CIDR au groupe et vérifier qu'il a été correctement provisionné.
**Pour attribuer un bloc CIDR au pool régional à l'aide du AWS CLI**
1. Exécutez la commande suivante pour provisionner le CIDR.
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0da89c821626f1e4b --cidr 10.0.0.0/16
```
La sortie indiquera l'état du groupe.
```
{
"IpamPoolCidr": {
"Cidr": "10.0.0.0/16",
"State": "pending-provision"
}
}
```
1. Exécutez la commande suivante jusqu'à ce que l'état `provisioned` apparaisse dans la sortie.
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0da89c821626f1e4b
```
L'exemple de sortie suivant illustre le bon état.
```
{
"IpamPoolCidrs": [
{
"Cidr": "10.0.0.0/16",
"State": "provisioned"
}
]
}
```
1. Exécutez la commande suivante pour interroger le groupe de niveau supérieur afin d'afficher les allocations. Le groupe régional est considéré comme une allocation au sein du groupe de niveau supérieur.
```
aws ec2 get-ipam-pool-allocations --region us-east-1 --ipam-pool-id ipam-pool-0008f25d7187a08d9
```
Dans la sortie, le groupe régional est indiqué comme une allocation dans le groupe de niveau supérieur.
```
{
"IpamPoolAllocations": [
{
"Cidr": "10.0.0.0/16",
"IpamPoolAllocationId": "ipam-pool-alloc-fbd525f6c2bf4e77a75690fc2d93479a",
"ResourceId": "ipam-pool-0da89c821626f1e4b",
"ResourceType": "ipam-pool",
"ResourceOwner": "123456789012"
}
]
}
```
## Étape 7. Création d'un partage RAM pour activer les attributions IP entre les comptes
Cette étape est facultative. Vous ne pouvez effectuer cette étape que si vous avez terminé [Intégration d'IPAM aux comptes d'une organisation AWS](enable-integ-ipam.md).
Lorsque vous créez un partage de AWS RAM de pool IPAM, cela permet d'attribuer des adresses IP entre les comptes. Le partage de RAM n'est disponible que dans votre AWS région d'origine. Notez que vous créez ce partage dans la même Région que l'IPAM, et non dans la Région locale du groupe. Toutes les opérations administratives sur les ressources de l'IPAM sont effectuées par l'intermédiaire de la région d'origine votre IPAM. L'exemple de ce tutoriel crée un partage unique pour un groupe unique, mais vous pouvez ajouter plusieurs groupes à un seul partage. Pour plus d'informations, y compris une explication des options que vous devez saisir, consultez [Partage d'un groupe IPAM à l'aide d'AWS RAM](share-pool-ipam.md).
Exécutez la commande suivante pour créer un partage de ressources.
```
aws ram create-resource-share --region us-east-1 --name pool_share --resource-arns arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0dec9695bca83e606 --principals 123456
```
La sortie montre que le groupe a été créé.
```
{
"resourceShare": {
"resourceShareArn": "arn:aws:ram:us-west-2:123456789012:resource-share/3ab63985-99d9-1cd2-7d24-75e93EXAMPLE",
"name": "pool_share",
"owningAccountId": "123456789012",
"allowExternalPrincipals": false,
"status": "ACTIVE",
"creationTime": 1565295733.282,
"lastUpdatedTime": 1565295733.282
}
}
```
## Étape 8. Création d'un VPC
Exécutez la commande suivante pour créer un VPC et attribuer un bloc d'adresse CIDR au VPC à partir du groupe de votre nouvel IPAM.
```
aws ec2 create-vpc --region us-east-1 --ipv4-ipam-pool-id ipam-pool-04111dca0d960186e --cidr-block 10.0.0.0/24
```
La sortie montre que le VPC a été créé.
```
{
"Vpc": {
"CidrBlock": "10.0.0.0/24",
"DhcpOptionsId": "dopt-19edf471",
"State": "pending",
"VpcId": "vpc-0983f3c454f3d8be5",
"OwnerId": "123456789012",
"InstanceTenancy": "default",
"Ipv6CidrBlockAssociationSet": [],
"CidrBlockAssociationSet": [
{
"AssociationId": "vpc-cidr-assoc-00b24cc1c2EXAMPLE",
"CidrBlock": "10.0.0.0/24",
"CidrBlockState": {
"State": "associated"
}
}
],
"IsDefault": false
}
}
```
## Étape 9. Nettoyage
Suivez les étapes de cette section pour supprimer les ressources IPAM que vous avez créées dans ce tutoriel.
1. Supprimer le VPC.
```
aws ec2 delete-vpc --vpc-id vpc-0983f3c454f3d8be5
```
1. Supprimez le partage RAM du groupe IPAM.
```
aws ram delete-resource-share --resource-share-arn arn:aws:ram:us-west-2:123456789012:resource-share/3ab63985-99d9-1cd2-7d24-75e93EXAMPLE
```
1. Désactivez le CIDR du groupe régional.
```
aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-0da89c821626f1e4b --region us-east-1
```
1. Désactivez le CIDR du groupe de niveau supérieur.
```
aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-0008f25d7187a08d9 --region us-east-1
```
1. Supprimez l'IPAM.
```
aws ec2 delete-ipam --region us-east-1
```
# Tutoriel : Afficher l'historique des adresses IP à l'aide du AWS CLI
Les scénarios de cette section vous montrent comment analyser et auditer l'utilisation des adresses IP à l'aide de l' AWS CLI. Pour obtenir des informations générales sur l'utilisation du AWS CLI, consultez [le guide de AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-using.html) *l'utilisateur de l'interface de ligne de AWS commande*.
**Topics**
+ [Présentation de](#cli-tut-view-hist-ipam-overview)
+ [Scénarios](#cli-tut-view-hist-ipam-analyze)
## Présentation de
IPAM retient automatiquement les données de surveillance des adresses IP pendant trois ans maximum. Vous pouvez utiliser les données historiques pour analyser et auditer vos politiques de routage et de sécurité réseau. Vous pouvez rechercher des informations historiques pour les types de ressources suivants :
+ VPCs
+ Sous-réseaux VPC
+ Adresses IP élastiques
+ Instances EC2 en cours d'exécution
+ Interfaces réseau EC2 connectées à des instances
**Important**
Bien que l'IPAM ne surveille pas les instances Amazon EC2 ni les interfaces réseau EC2 associées aux instances, vous pouvez utiliser la fonction de recherche dans l'historique des adresses IP pour rechercher des données historiques sur l'instance EC2 et l'interface réseau. CIDRs
**Note**
Les commandes de ce didacticiel doivent être exécutées à l'aide du compte propriétaire de l'IPAM et de la AWS région qui héberge l'IPAM.
Les enregistrements des modifications à CIDRs effectuer sont enregistrés dans des instantanés périodiques, ce qui signifie que l'affichage ou la mise à jour des enregistrements peuvent prendre un certain temps, et les valeurs correspondantes SampledEndTime peuvent différer de l'heure réelle à laquelle elles se sont produites. SampledStartTime
## Scénarios
Les scénarios de cette section vous montrent comment analyser et auditer l'utilisation des adresses IP à l'aide de l' AWS CLI. Pour plus d'informations sur les valeurs mentionnées dans ce didacticiel, telles que l'heure de fin et l'heure de début échantillonnées, voir[Afficher l'historique des adresses IP](view-history-cidr-ipam.md).
**Scénario 1 : Quelles ressources ont été associées `10.2.1.155/32` entre 1 h et 21 h 00 le 27 décembre 2021 (UTC) ?**
1. Exécutez la commande suivante :
```
aws ec2 get-ipam-address-history --region us-east-1 --cidr 10.2.1.155/32 --ipam-scope-id ipam-scope-05b579a1909c5fc7a --start-time 2021-12-20T01:00:00.000Z --end-time 2021-12-27T21:00:00.000Z
```
1. Affichez les résultats de l'analyse. Dans l'exemple ci-dessous, le CIDR a été alloué à une interface réseau et à une instance EC2 au cours de la période. Notez qu'aucune **SampledEndTime**valeur signifie que l'enregistrement est toujours actif. Pour plus d'informations sur les valeurs affichées dans la sortie suivante, consultez [Afficher l'historique des adresses IP](view-history-cidr-ipam.md).
```
{
"HistoryRecords": [
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "network-interface",
"ResourceId": "eni-0b4e53eb1733aba16",
"ResourceCidr": "10.2.1.155/32",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
},
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "instance",
"ResourceId": "i-064da1f79baed14f3",
"ResourceCidr": "10.2.1.155/32",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
}
]
}
```
Si l'ID propriétaire de l'instance à laquelle une interface réseau est attachée est différent de l'ID propriétaire de l'interface réseau (comme c'est le cas pour les passerelles NAT, les interfaces VPCs réseau Lambda et AWS d'autres services), il s'`amazon-aws`agit de l'ID de compte `ResourceOwnerId` du propriétaire de l'interface réseau plutôt que de l'ID de compte. L'exemple suivant montre l'enregistrement d'un CIDR associé à une passerelle NAT :
```
{
"HistoryRecords": [
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "network-interface",
"ResourceId": "eni-0b4e53eb1733aba16",
"ResourceCidr": "10.0.0.176/32",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
},
{
"ResourceOwnerId": "amazon-aws",
"ResourceRegion": "us-east-1",
"ResourceType": "instance",
"ResourceCidr": "10.0.0.176/32",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
}
]
}
```
**Scénario 2 : Quelles ressources ont été associées `10.2.1.0/24` entre le 1er décembre 2021 et le 27 décembre 2021 (UTC) ?**
1. Exécutez la commande suivante :
```
aws ec2 get-ipam-address-history --region us-east-1 --cidr 10.2.1.0/24 --ipam-scope-id ipam-scope-05b579a1909c5fc7a --start-time 2021-12-01T00:00:00.000Z --end-time 2021-12-27T23:59:59.000Z
```
1. Affichez les résultats de l'analyse. Dans l'exemple ci-dessous, le CIDR a été alloué à un sous-réseau et VPC au cours de la période. Notez qu'aucune **SampledEndTime**valeur signifie que l'enregistrement est toujours actif. Pour plus d'informations sur les valeurs affichées dans la sortie suivante, consultez [Afficher l'historique des adresses IP](view-history-cidr-ipam.md).
```
{
"HistoryRecords": [
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "subnet",
"ResourceId": "subnet-0864c82a42f5bffed",
"ResourceCidr": "10.2.1.0/24",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
},
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "vpc",
"ResourceId": "vpc-0f5ee7e1ba908a378",
"ResourceCidr": "10.2.1.0/24",
"ResourceComplianceStatus": "compliant",
"ResourceOverlapStatus": "nonoverlapping",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
}
]
}
```
**Scénario 3 : Quelles ressources ont été associées `2605:9cc0:409::/56` entre le 1er décembre 2021 et le 27 décembre 2021 (UTC) ?**
1. Exécutez la commande suivante, où —region est la région d'origine IPAM :
```
aws ec2 get-ipam-address-history --region us-east-1 --cidr 2605:9cc0:409::/56 --ipam-scope-id ipam-scope-07cb485c8b4a4d7cc --start-time 2021-12-01T01:00:00.000Z --end-time 2021-12-27T23:59:59.000Z
```
1. Affichez les résultats de l'analyse. Dans l'exemple ci-dessous, le CIDR a été attribué à deux personnes différentes VPCs au cours de la période dans une région en dehors de la région d'origine de l'IPAM. Notez qu'aucune **SampledEndTime**valeur signifie que l'enregistrement est toujours actif. Pour plus d'informations sur les valeurs affichées dans la sortie suivante, consultez [Afficher l'historique des adresses IP](view-history-cidr-ipam.md).
```
{
"HistoryRecords": [
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-2",
"ResourceType": "vpc",
"ResourceId": "vpc-01d967bf3b923f72c",
"ResourceCidr": "2605:9cc0:409::/56",
"ResourceName": "First example VPC",
"ResourceComplianceStatus": "compliant",
"ResourceOverlapStatus": "nonoverlapping",
"VpcId": "vpc-01d967bf3b923f72c",
"SampledStartTime": "2021-12-23T20:02:00.701000+00:00",
"SampledEndTime": "2021-12-23T20:12:59.848000+00:00"
},
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-2",
"ResourceType": "vpc",
"ResourceId": "vpc-03e62c7eca81cb652",
"ResourceCidr": "2605:9cc0:409::/56",
"ResourceName": "Second example VPC",
"ResourceComplianceStatus": "compliant",
"ResourceOverlapStatus": "nonoverlapping",
"VpcId": "vpc-03e62c7eca81cb652",
"SampledStartTime": "2021-12-27T15:11:00.046000+00:00"
}
]
}
```
**Scénario 4 : Quelles ressources ont été associées `10.0.0.0/24` au cours des dernières 24 heures (en supposant que l'heure actuelle soit minuit le 27 décembre 2021 (UTC)) ?**
1. Exécutez la commande suivante :
```
aws ec2 get-ipam-address-history --region us-east-1 --cidr 10.0.0.0/24 --ipam-scope-id ipam-scope-05b579a1909c5fc7a --start-time 2021-12-27T00:00:00.000Z
```
1. Affichez les résultats de l'analyse. Dans l'exemple ci-dessous, le CIDR a été alloué à de nombreux sous-réseaux VPCs au cours de cette période. Notez qu'aucune **SampledEndTime**valeur signifie que l'enregistrement est toujours actif. Pour plus d'informations sur les valeurs affichées dans la sortie suivante, consultez [Afficher l'historique des adresses IP](view-history-cidr-ipam.md).
```
{
"HistoryRecords": [
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-2",
"ResourceType": "subnet",
"ResourceId": "subnet-0d1b8f899725aa72d",
"ResourceCidr": "10.0.0.0/24",
"ResourceName": "Example name",
"VpcId": "vpc-042b8a44f64267d67",
"SampledStartTime": "2021-12-11T16:35:59.074000+00:00",
"SampledEndTime": "2021-12-28T15:34:00.017000+00:00"
},
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-2",
"ResourceType": "vpc",
"ResourceId": "vpc-09754dfd85911abec",
"ResourceCidr": "10.0.0.0/24",
"ResourceName": "Example name",
"ResourceComplianceStatus": "unmanaged",
"ResourceOverlapStatus": "overlapping",
"VpcId": "vpc-09754dfd85911abec",
"SampledStartTime": "2021-12-27T20:07:59.947000+00:00",
"SampledEndTime": "2021-12-28T15:34:00.017000+00:00"
},
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-west-2",
"ResourceType": "vpc",
"ResourceId": "vpc-0a8347f594bea5901",
"ResourceCidr": "10.0.0.0/24",
"ResourceName": "Example name",
"ResourceComplianceStatus": "unmanaged",
"ResourceOverlapStatus": "overlapping",
"VpcId": "vpc-0a8347f594bea5901",
"SampledStartTime": "2021-12-11T16:35:59.318000+00:00"
},
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "subnet",
"ResourceId": "subnet-0af7eadb0798e9148",
"ResourceCidr": "10.0.0.0/24",
"ResourceName": "Example name",
"VpcId": "vpc-03298ba16756a8736",
"SampledStartTime": "2021-12-14T21:07:22.357000+00:00"
}
]
}
```
**Scénario 5 : Quelles ressources sont actuellement associées avec `10.2.1.155/32` ?**
1. Exécutez la commande suivante :
```
aws ec2 get-ipam-address-history --region us-east-1 --cidr 10.2.1.155/32 --ipam-scope-id ipam-scope-05b579a1909c5fc7a
```
1. Affichez les résultats de l'analyse. Dans l'exemple ci-dessous, le CIDR a été alloué à une interface réseau et à une instance EC2 pendant la période. Notez qu'aucune **SampledEndTime**valeur signifie que l'enregistrement est toujours actif. Pour plus d'informations sur les valeurs affichées dans la sortie suivante, consultez [Afficher l'historique des adresses IP](view-history-cidr-ipam.md).
```
{
"HistoryRecords": [
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "network-interface",
"ResourceId": "eni-0b4e53eb1733aba16",
"ResourceCidr": "10.2.1.155/32",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
},
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "instance",
"ResourceId": "i-064da1f79baed14f3",
"ResourceCidr": "10.2.1.155/32",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
}
]
}
```
**Scénario 6 : Quelles ressources sont actuellement associées avec `10.2.1.0/24` ?**
1. Exécutez la commande suivante :
```
aws ec2 get-ipam-address-history --region us-east-1 --cidr 10.2.1.0/24 --ipam-scope-id ipam-scope-05b579a1909c5fc7a
```
1. Affichez les résultats de l'analyse. Dans l'exemple ci-dessous, le CIDR a été alloué à un VPC et sous-réseau au cours de la période. Seuls les résultats qui correspondent exactement à ce résultat `/24`Les CIDR sont retournés, pas tous `/32 `au sein du`/24`CIDR. Notez qu'aucune **SampledEndTime**valeur signifie que l'enregistrement est toujours actif. Pour plus d'informations sur les valeurs affichées dans la sortie suivante, consultez [Afficher l'historique des adresses IP](view-history-cidr-ipam.md).
```
{
"HistoryRecords": [
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "subnet",
"ResourceId": "subnet-0864c82a42f5bffed",
"ResourceCidr": "10.2.1.0/24",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
},
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "vpc",
"ResourceId": "vpc-0f5ee7e1ba908a378",
"ResourceCidr": "10.2.1.0/24",
"ResourceComplianceStatus": "compliant",
"ResourceOverlapStatus": "nonoverlapping",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
}
]
}
```
**Scénario 7 : Quelles ressources sont actuellement associées avec `54.0.0.9/32` ?**
Dans cet exemple, `54.0.0.9/32` est attribué à une adresse IP élastique qui ne fait pas partie de l' AWS organisation intégrée à votre IPAM.
1. Exécutez la commande suivante :
```
aws ec2 get-ipam-address-history --region us-east-1 --cidr 54.0.0.9/32 --ipam-scope-id ipam-scope-05b579a1909c5fc7a
```
1. Étant donné qu'elle `54.0.0.9/32` est attribuée à une adresse IP élastique qui ne fait pas partie de l' AWS organisation intégrée à l'IPAM dans cet exemple, aucun enregistrement n'est renvoyé.
```
{
"HistoryRecords": []
}
```
# Didacticiel : apporter votre ASN à l'IPAM
Si vos applications utilisent des adresses IP approuvées et des numéros de système autonome (ASN) que vos partenaires ou clients ont autorisés sur leur réseau, vous pouvez exécuter ces applications dans AWS sans demander à vos partenaires ou clients de modifier leurs listes d'autorisation.
Un numéro de système autonome (ASN) est un numéro globalement unique qui permet d'identifier un groupe de réseaux sur Internet et d'échanger des données de routage avec d'autres réseaux de manière dynamique à l'aide du [Protocole Border Gateway](https://aws.amazon.com/what-is/border-gateway-protocol/). Les fournisseurs de services Internet (FSI), par exemple, utilisent des ASN pour identifier la source du trafic réseau. Toutes les organisations n'achètent pas leur propre ASN, mais celles qui le font peuvent apporter leur ASN à AWS.
Apportez votre propre numéro de système autonome (BYOASN) vous permet de publier les adresses IPv4 ou IPv6 que vous apportez à AWS avec votre propre ASN public au lieu de l’ASN AWS. Lorsque vous utilisez le BYOASN, le trafic provenant de votre adresse IP transporte votre ASN au lieu de l'ASN AWS et vos charges de travail sont accessibles aux clients ou aux partenaires qui ont autorisé le trafic répertorié en fonction de votre adresse IP et de votre ASN.
**Important**
Effectuez ce didacticiel en utilisant le compte administrateur IPAM dans la région d’accueil de votre IPAM.
Ce didacticiel suppose que vous possédez l'ASN public que vous souhaitez apporter à l'IPAM et que vous avez déjà apporté un CIDR BYOIP à AWS et l'avez provisionné dans un groupe dans votre portée publique. Vous pouvez apporter un ASN à l'IPAM à tout moment, mais pour l'utiliser, vous devez l'associer à un CIDR que vous avez ajouté à votre compte AWS. Ce tutoriel suppose que vous l'avez déjà fait. Pour plus d'informations, consultez [Didacticiel : apporter vos adresses IP à IPAM](tutorials-byoip-ipam.md).
Vous pouvez changer sans délai entre votre propre ASN publicitaire ou un ASN AWS, mais vous êtes limité à passer d'un ASN AWS à votre propre ASN une fois par heure.
Si votre CIDR BYOIP est publié actuellement, vous n'avez pas à le retirer de la publicité pour l'associer à votre ASN.
## Conditions préalables à l'onboarding de votre ASN
Vous aurez besoin des éléments suivants pour suivre ce didacticiel :
+ Votre ASN public de 2 ou 4 octets.
+ Si vous avez déjà apporté une plage d’adresses IP à AWS avec [Didacticiel : apporter vos adresses IP à IPAM](tutorials-byoip-ipam.md), vous avez besoin de la plage d’adresses IP CIDR. Vous aurez également besoin d’une clé privée. Vous pouvez utiliser la clé privée que vous avez créée lorsque vous avez introduit la plage d’adresses IP CIDR dans AWS, ou vous pouvez créer une nouvelle clé privée comme décrit dans la section [Create a private key and generate an X.509 certificate](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/prepare-for-byoip.html#byoip-certificate) du *Guide d’utilisation d’Amazon EC2*.
+ Lorsque vous apportez une plage d’adresses IPv4 ou IPv6 à AWS avec [Didacticiel : apporter vos adresses IP à IPAM](tutorials-byoip-ipam.md), vous [créez un certificat X.509](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html#byoip-add-certificate) et vous [chargez ce certificat X.509 dans le registre RDAP de votre RIR](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html#byoip-add-certificate). Vous devez charger le même certificat que vous avez créé dans le registre RDAP de votre RIR pour l’ASN. Veillez à inclure le `-----BEGIN CERTIFICATE-----` and `-----END CERTIFICATE-----` avant et après la partie encodée. Tout ce contenu doit se trouver sur une seule et longue ligne. La procédure de mise à jour de RDAP dépend de votre RIR :
+ Pour ARIN, utilisez le [portail du gestionnaire de compte](https://account.arin.net/public/secure/dashboard) pour ajouter le certificat dans la section « Commentaires publics » pour l’objet « Informations réseau » représentant votre ASN à l’aide de l’option « Modifier l’ASN ». Ne l’ajoutez pas à la section des commentaires de votre organisation.
+ Pour RIPE, ajoutez le certificat en tant que nouveau champ « descr » à l’objet « aut-num » représentant votre ASN. Vous les trouverez généralement dans la section « Mes ressources » du
[portail de la base de données RIPE ](https://apps.db.ripe.net/db-web-ui/myresources/overview). Ne l’ajoutez pas dans la section des commentaires de votre organisation ni dans le champ « remarques » de l’objet « aut-num ».
+ Pour l’APNIC, envoyez le certificat par e-mail à l’adresse [helpdesk@apnic.net](mailto:helpdesk@apnic.net) afin de l’ajouter manuellement au champ « remarques » de votre ASN. Envoyez l’e-mail en utilisant le contact autorisé APNIC pour l’ASN.
+ Lorsque vous apportez une plage d’adresses IP à IPAM, vous créez un ROA pour vérifier que vous contrôlez l’espace d’adresses IP que vous apportez à IPAM. En plus de ce ROA, vous devez avoir un deuxième ROA dans votre RIR avec l’ASN que vous apportez à IPAM. Si vous n’avez pas ce deuxième ROA pour l’ASN dans votre RIR, complétez [3. Créez un objet ROA dans votre RIR](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/prepare-for-byoip.html#byoip-create-roa-object). Ignorez les autres étapes.
## Étapes du didacticiel
Effectuez les étapes ci-dessous à l'aide de la console AWS ou de la AWS CLI.
------
#### [ AWS Management Console ]
1. Ouvrez la console IPAM à partir de l'adresse [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/).
1. Dans le panneau de navigation de gauche, sélectionnez **IPAMs**.
1. Choisissez votre IPAM.
1. Choisissez l'onglet **BYOASNs**, puis **Provisionner BYOASNs**.
1. Saisissez l'**ASN**. Par conséquent, le champ **Message** est automatiquement renseigné avec le message que vous devrez vous connecter à l'étape suivante.
+ Le format du message est le suivant, où ACCOUNT est votre numéro de compte AWS, ASN est l'ASN que vous apportez à IPAM et AAAAMMJJ est la date d'expiration du message (qui par défaut est le dernier jour du mois suivant). Exemple :
```
text_message="1|aws|ACCOUNT|ASN|YYYYMMDD|SHA256|RSAPSS"
```
1. Copiez le message et remplacez la date d'expiration par votre propre valeur si vous le souhaitez.
1. Signer le message à l’aide de la clé privée. Exemple :
```
signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")
```
1. Sous **Signature**, entrez la signature.
1. (Facultatif) Pour provisionner un autre ASN, choisissez **Provisionner un autre ASN**. Vous pouvez provisionner jusqu'à 5 ASN. Pour augmenter ce quota, consultez [Quotas pour votre IPAM](quotas-ipam.md).
1. Choisissez **Provisionner**.
1. Consultez le processus de provisionnement dans l'onglet **BYOASNs**. Attendez que l'**État** passe de *Provisionnement en attente* à *Provisionné*. Les BYOASN dont l'état est de *Provisionnement échoué* sont automatiquement supprimés au bout de 7 jours. Une fois que l'ASN est correctement provisionné, vous pouvez l'associer à un CIDR BYOIP.
1. Dans le panneau de navigation de gauche, choisissez **Groupes**.
1. Choisissez votre portée publique. Pour plus d'informations sur les portées, consultez [Fonctionnement d'IPAM](how-it-works-ipam.md).
1. Choisissez un groupe régional auquel un CIDR BYOIP est provisionné. Le **Service** du groupe doit être défini sur **EC2** et un paramètre régional doit être choisi.
1. Choisissez l'onglet **CIDRs** et sélectionnez un CIDR BYOIP.
1. Choisissez **Actions** > **Gérer les associations BYOASN**.
1. Sous **BYOASNs associés**, choisissez l'ASN que vous avez apporté à AWS. Si vous avez plusieurs ASN, vous pouvez associer plusieurs ASN au CIDR BYOIP. Vous pouvez associer autant d’ASN que vous pouvez apporter à IPAM. Notez que vous pouvez apporter jusqu'à 5 ASN à l'IPAM par défaut. Pour plus d'informations, consultez [Quotas pour votre IPAM](quotas-ipam.md).
1. Choisissez **Associer**.
1. Attendez que l'association d'ASN soit terminée. Une fois que l'ASN est correctement associé au CIDR BYOIP, vous pouvez à nouveau publier le CIDR BYOIP.
1. Choisissez l'onglet **CIDRs** pour groupe.
1. Sélectionnez le CIDR BYOIP et cliquez sur **Actions** >**Publicité**. Par conséquent, vos options d'ASN sont affichées : l'ASN Amazon et tous les ASN que vous avez apportés à IPAM.
1. Sélectionnez l'ASN que vous avez apporté à l'IPAM et choisissez **Publicité CIDR**. Par conséquent, le CIDR BYOIP est annoncé et la valeur dans la colonne **Publicité** passe de Retiré à Publié. La colonne **Numéro de système autonome** affiche l'ASN associé au CIDR.
1. (facultatif) Si vous décidez de reconvertir l'association d'ASN en Amazon ASN, sélectionnez le CIDR BYOIP, puis choisissez à nouveau **Actions** > **Publicité**. Cette fois, choisissez l'ASN Amazon. Vous pouvez revenir à l'ASN Amazon à tout moment, mais vous ne pouvez passer à un ASN personnalisé qu'une fois par heure.
Le didacticiel est terminé.
**Nettoyage**
1. Dissocier l'ASN du CIDR BYOIP
+ Pour retirer le CIDR BYOIP de la publicité, dans votre groupe dans la portée publique, choisissez le CIDR BYOIP et choisissez **Actions** > **Retirer de la publicité**.
+ Pour dissocier l'ASN du CIDR, choisissez **Actions** > **Gérer les associations BYOASN**.
1. Déprovisionner l'ASN
+ Pour déprovisionner l'ASN, sous l'onglet BYOASNs, choisissez l'ASN, puis choisissez **Déprovisionner l'ASN**. Par conséquent, l'ASN est déprovisionné. Les BYOASN dont l'état est de *Déprovisionné* sont automatiquement supprimés au bout de 7 jours.
Le nettoyage est terminé.
------
#### [ Command line ]
1. Fournissez votre ASN en incluant votre ASN et votre message d’autorisation. La signature est le message signé avec votre clé privée.
```
aws ec2 provision-ipam-byoasn --ipam-id $ipam_id --asn 12345 --asn-authorization-context Message="$text_message",Signature="$signed_message"
```
1. Décrivez votre ASN pour suivre le processus de provisionnement. Si la demande aboutit, le *ProvisionStatus* devrait être défini sur *provisionné* au bout de quelques minutes.
```
aws ec2 describe-ipam-byoasn
```
1. Associez votre ASN à votre CIDR BYOIP. Tout ASN personnalisé à partir duquel vous souhaitez faire de la publicité doit d'abord être associé à votre CIDR.
```
aws ec2 associate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n
```
1. Décrivez votre CIDR pour suivre le processus d'association.
```
aws ec2 describe-byoip-cidrs --max-results 10
```
1. Publiez votre CIDR avec votre ASN. Si le CIDR est déjà publié, cela remplacera l'ASN d'origine d'Amazon par le vôtre.
```
aws ec2 advertise-byoip-cidr --asn 12345 --cidr xxx.xxx.xxx.xxx/n
```
1. Décrivez votre CIDR pour voir l'état de l'ASN passer d'*associé* à *publié*.
```
aws ec2 describe-byoip-cidrs --max-results 10
```
Le didacticiel est terminé.
**Nettoyage**
1. Effectuez l’une des actions suivantes :
+ Pour retirer uniquement votre publicité ASN et recommencer à utiliser les ASN Amazon tout en maintenant le CIDR publié, vous devez appeler advertise-byoip-cidr avec la valeur spéciale AWS du paramètre ASN. Vous pouvez revenir à l'ASN Amazon à tout moment, mais vous ne pouvez passer à un ASN personnalisé qu'une fois par heure.
```
aws ec2 advertise-byoip-cidr --asn AWS --cidr xxx.xxx.xxx.xxx/n
```
+ Pour retirer simultanément votre publicité CIDR et ASN, vous pouvez appeler withdraw-byoip-cidr.
```
aws ec2 withdraw-byoip-cidr --cidr xxx.xxx.xxx.xxx/n
```
1. Pour nettoyer votre ASN, vous devez d'abord le dissocier de votre CIDR BYOIP.
```
aws ec2 disassociate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n
```
1. Une fois que votre ASN est dissocié de tous les CIDR BYOIP auxquels vous l'avez associé, vous pouvez le déprovisionner.
```
aws ec2 deprovision-ipam-byoasn --ipam-id $ipam_id --asn 12345
```
1. Le CIDR BYOIP peut également être déprovisionné une fois que toutes les associations ASN ont été supprimées.
```
aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-1234567890abcdef0 --cidr xxx.xxx.xxx.xxx/n
```
1. Confirmez le déprovisionnement.
```
aws ec2 get-ipam-pool-cidrs --ipam-pool-id ipam-pool-1234567890abcdef0
```
Le nettoyage est terminé.
------
# Didacticiel : apporter vos adresses IP à IPAM
Les didacticiels de cette section vous expliquent comment intégrer un espace d'adresse IP public AWS et comment gérer cet espace avec IPAM.
La gestion de l'espace d'adressage IP public avec IPAM présente les avantages suivants :
+ **Améliore l'utilisation des adresses IP publiques dans votre organisation** : vous pouvez utiliser IPAM pour partager l'espace d'adressage IP entre des comptes AWS . Si vous n'utilisez pas IPAM, vous ne pouvez pas partager votre espace IP public entre les comptes AWS Organizations.
+ **Simplifie le processus d'attribution d'un espace IP public à AWS** : vous pouvez utiliser IPAM pour intégrer l'espace d'adresses IP public une seule fois, puis utiliser IPAM pour distribuer vos adresses IP publiques entre les régions vers des ressources telles que les instances EC2 et les équilibreurs de charge d'[applications](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-ip-pools.html). Sans l'IPAM, vous devez intégrer votre public IPs pour chaque AWS région.
**Topics**
+ [Vérification du contrôle du domaine](tutorials-byoip-ipam-domain-verification-methods.md)
+ [Apporter votre propre IP à IPAM en utilisant à la fois la console de gestion AWS et l’AWS CLI](tutorials-byoip-ipam-console-intro.md)
+ [Apportez votre propre CIDR IP sur IPAM en utilisant uniquement laAWSCLI](tutorials-byoip-ipam-cli-only-intro.md)
+ [Utilisez votre propre adresse IP pour CloudFront utiliser IPAM](tutorials-byoip-cloudfront.md)
# Vérification du contrôle du domaine
Avant de transférer une plage d'adresses IP à AWS, vous devez utiliser l'une des options décrites dans cette section pour vérifier que vous contrôlez l'espace d'adresses IP. Plus tard, lorsque vous amenez la plage d'adresses IP à AWS, cela AWS confirme que vous contrôlez la plage d'adresses IP. Cette validation empêche les clients d’utiliser des plages d’adresses IP appartenant à d’autres, ce qui permet d’éviter les problèmes de routage et de sécurité.
Il existe deux méthodes pour vérifier que vous contrôlez la plage :
+ **Certificat X.509** : si votre plage d’adresses IP est enregistrée auprès d’un registre Internet qui prend en charge le protocole RDAP (tel que ARIN, RIPE et APNIC), vous pouvez utiliser un certificat X.509 pour vérifier la propriété de votre domaine.
+ **Enregistrement DNS TXT** : que votre registre Internet prenne en charge le protocole RDAP ou non, vous pouvez utiliser un jeton de vérification et un enregistrement DNS TXT pour vérifier la propriété de votre domaine.
**Topics**
+ [Vérifiez votre domaine avec un certificat X.509](#tutorials-byoip-ipam-domain-verification-cert)
+ [Vérifiez votre domaine à l’aide d’un enregistrement DNS TXT](#tutorials-byoip-ipam-domain-verification-dns-txt)
## Vérifiez votre domaine avec un certificat X.509
Cette section explique comment vérifier votre domaine à l’aide d’un certificat X.509 avant de transférer votre plage d’adresses IP à IPAM.
**Vérification de votre domaine avec un certificat X.509**
1. Suivez les trois étapes décrites dans la section [Prerequisites for BYOIP in Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/prepare-for-byoip.html) du *Guide d’utilisation d’Amazon EC2*.
**Note**
Lorsque vous créez le ROAs, pour, IPv4 CIDRs vous devez définir la longueur maximale d'un préfixe d'adresse IP sur`/24`. En IPv6 CIDRs effet, si vous les ajoutez à un pool publicitaire, la longueur maximale d'un préfixe d'adresse IP doit être de. `/48` Cela vous garantit une flexibilité totale pour répartir votre adresse IP publique entre AWS les régions. L'IPAM applique la longueur maximale que vous avez définie. La longueur maximale est la plus petite annonce de longueur de préfixe que vous autorisez pour cet acheminement. Par exemple, si vous apportez un bloc d'adresse CIDR `/20` dans AWS, en définissant la longueur maximale sur `/24`, vous pouvez diviser un grand bloc comme vous le souhaitez (par exemple avec `/21`, `/22` ou`/24`) et distribuer ces blocs d'adresse CIDR plus petits dans n'importe quelle Région. Si vous définissez la longueur maximale sur `/23`, vous ne serez pas en mesure de diviser et de publier un bloc `/24` à partir du bloc plus grand. Notez également qu'il `/24` s'agit du plus petit IPv4 bloc et `/48` du plus petit IPv6 bloc que vous pouvez annoncer depuis une région sur Internet.
1. Effectuez les étapes 1 et 2 uniquement sous [Provisionner une plage d’adresses publiable dans AWS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html#byoip-provision) dans le *Guide de l’utilisateur Amazon EC2*, **et ne provisionnez pas encore la plage d’adresses (étape 3)**. Enregistrez le `text_message` et `signed_message`. Vous en aurez besoin plus tard dans ce processus.
Lorsque vous avez terminé ces étapes, continuez avec [Apporter votre propre IP à IPAM en utilisant à la fois la console de gestion AWS et l’AWS CLI](tutorials-byoip-ipam-console-intro.md) ou [Apportez votre propre CIDR IP sur IPAM en utilisant uniquement laAWSCLI](tutorials-byoip-ipam-cli-only-intro.md).
## Vérifiez votre domaine à l’aide d’un enregistrement DNS TXT
Suivez les étapes décrites dans cette section pour vérifier votre domaine à l’aide d’un enregistrement DNS TXT avant de transférer votre plage d’adresses IP à IPAM.
Vous pouvez utiliser les enregistrements DNS TXT pour vérifier que vous contrôlez une plage d’adresses IP publiques. Les enregistrements DNS TXT sont un type d’enregistrement DNS qui contient des informations sur votre nom de domaine. Cette fonctionnalité vous permet d’importer les adresses IP enregistrées dans n’importe quel registre Internet (tel que JPNIC, LACNIC et AFRINIC), et pas seulement celles qui prennent en charge les validations basées sur des enregistrements RDAP (Registration Data Access Protocol) (telles que ARIN, RIPE et APNIC).
**Important**
Avant de pouvoir continuer, vous devez avoir créé un IPAM dans le niveau gratuit ou avancé. Si vous n’avez pas d’IPAM, complétez [Création d'un IPAM](create-ipam.md) d’abord.
**Topics**
+ [Étape 1 : créer une ROA si vous n’en avez pas](#tutorials-byoip-ipam-domain-verification-dns-txt-roa)
+ [Étape 2. Créez un jeton de vérification](#tutorials-byoip-ipam-domain-verification-dns-txt-token)
+ [Étape 3. Configuration de la zone DNS et de l’enregistrement TXT](#tutorials-byoip-ipam-domain-verification-dns-txt-dns)
### Étape 1 : créer une ROA si vous n’en avez pas
Vous devez disposer d’une autorisation d’origine d’éitinéraire (ROA) dans votre registre Internet régional (RIR) pour les plages d’adresses IP que vous souhaitez promouvoir. Si vous n’avez pas de ROA dans votre RIR, complétez [3. Créez un objet ROA dans votre RIR](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html#byoip-create-roa-object) dans le *Guide de l’utilisateur Amazon EC2*. Ignorez les autres étapes.
La plage d' IPv4 adresses la plus précise que vous pouvez apporter est /24. La plage d' IPv6 adresses la plus précise que vous pouvez apporter est /48 pour celles CIDRs qui sont publiables et /60 pour celles CIDRs qui ne le sont pas.
### Étape 2. Créez un jeton de vérification
Un jeton de vérification est une valeur aléatoire AWS générée que vous pouvez utiliser pour prouver le contrôle d'une ressource externe. Par exemple, vous pouvez utiliser un jeton de vérification pour vérifier que vous contrôlez une plage d'adresses IP publiques lorsque vous transmettez une plage d'adresses IP à AWS (BYOIP).
Suivez les étapes décrites dans cette section pour créer un jeton de vérification dont vous aurez besoin ultérieurement dans ce tutoriel pour transférer votre plage d’adresses IP vers IPAM. Suivez les instructions ci-dessous pour la AWS console ou le AWS CLI.
------
#### [ AWS Management Console ]
**Création d’un jeton de vérification**
1. Ouvrez la console IPAM à [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)l'adresse.
1. Dans la console AWS de gestion, choisissez la AWS région dans laquelle vous avez créé votre IPAM.
1. Dans le panneau de navigation de gauche, choisissez **IPAMs**.
1. Choisissez votre IPAM, puis cliquez sur **l’onglet Jetons de vérification**.
1. Sélectionnez **Créer un jeton de vérification**.
1. Après avoir créé le jeton, laissez cet onglet de navigateur ouvert. Vous aurez besoin de la **valeur du jeton**, du **nom du jeton** à l’étape suivante et de **l’identifiant du jeton** à une étape ultérieure.
Notez ce qui suit :
+ Une fois que vous avez créé un jeton de vérification, vous pouvez le réutiliser pour plusieurs BYOIP CIDRs que vous fournissez depuis votre IPAM dans les 72 heures. Si vous souhaitez en approvisionner davantage CIDRs après 72 heures, vous avez besoin d'un nouveau jeton.
+ Vous pouvez créer jusqu’à 100 jetons. Si vous atteignez cette limite, supprimez les jetons expirés.
------
#### [ Command line ]
+ Demandez à l'IPAM de créer un jeton de vérification que vous utiliserez pour la configuration DNS avec [create-ipam-external-resource-verification-token](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-ipam-external-resource-verification-token.html) :
```
aws ec2 create-ipam-external-resource-verification-token --ipam-id ipam-id
```
Cela renverra un jeton IpamExternalResourceVerificationTokenId et avec `TokenName` et`TokenValue`, ainsi que le délai d'expiration (`NotAfter`) du jeton.
```
{
"IpamExternalResourceVerificationToken": {
"IpamExternalResourceVerificationTokenId": "ipam-ext-res-ver-token-0309ce7f67a768cf0",
"IpamId": "ipam-0f9e8725ac3ae5754",
"TokenValue": "a34597c3-5317-4238-9ce7-50da5b6e6dc8",
"TokenName": "86950620",
"NotAfter": "2024-05-19T14:28:15.927000+00:00",
"Status": "valid",
"Tags": [],
"State": "create-in-progress" }
}
```
Notez ce qui suit :
+ Une fois que vous avez créé un jeton de vérification, vous pouvez le réutiliser pour plusieurs BYOIP CIDRs que vous fournissez depuis votre IPAM dans les 72 heures. Si vous souhaitez en approvisionner davantage CIDRs après 72 heures, vous avez besoin d'un nouveau jeton.
+ Vous pouvez consulter vos jetons à l'aide de [describe-ipam-external-resource-verification-tokens](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-ipam-external-resource-verification-tokens.html).
+ Vous pouvez créer jusqu’à 100 jetons. Si vous atteignez la limite, vous pouvez supprimer les jetons expirés à l'aide de [delete-ipam-external-resource-verification-token](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/delete-ipam-external-resource-verification-token.html).
------
### Étape 3. Configuration de la zone DNS et de l’enregistrement TXT
Effectuez les étapes décrites dans cette section pour configurer la zone DNS et l’enregistrement TXT. Si vous n’utilisez pas Route53 comme DNS, suivez la documentation fournie par votre fournisseur DNS pour configurer une zone DNS et ajouter un enregistrement TXT.
Si vous utilisez Route53, prenez les éléments suivants en considération :
+ Pour créer une zone de recherche inversée dans la AWS console, consultez la section [Création d'une zone hébergée publique](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/CreatingHostedZone.html) dans le *guide du développeur Amazon Route 53* ou utilisez la AWS CLI commande [create-hosted-zone](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-hosted-zone.html).
+ Pour créer un enregistrement dans la zone de recherche inversée de la AWS console, consultez la section [Création d'enregistrements à l'aide de la console Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html) dans le *manuel du développeur Amazon Route 53* ou utilisez la AWS CLI commande [change-resource-record-sets](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/change-resource-record-sets.html).
+ Une fois que vous avez créé votre zone hébergée, déléguez la zone hébergée de votre RIR aux serveurs de noms fournis par Route53 (par exemple pour [LACNIC](https://www.lacnic.net/1017/2/lacnic/reverse-dns-resolution) ou [APNIC](https://www.apnic.net/manage-ip/manage-resources/reverse-dns/)).
Que vous utilisiez un autre fournisseur DNS ou Route53, tenez compte des points suivants lorsque vous configurez l’enregistrement TXT :
+ Le nom de l’enregistrement doit être le nom de votre jeton.
+ Le type d’enregistrement doit être TXT.
+ ResourceRecord La valeur doit être la valeur du jeton.
Exemple :
+ **Nom**: `86950620.113.0.203.in-addr.arpa`
+ **Type :** `TXT`
+ **ResourceRecords Value (Valeur)** : `a34597c3-5317-4238-9ce7-50da5b6e6dc8`
Où :
+ `86950620` est le nom du jeton de vérification.
+ `113.0.203.in-addr.arpa` est le nom de la zone de recherche inversée.
+ `TXT` est le type d’enregistrement.
+ `a34597c3-5317-4238-9ce7-50da5b6e6dc8` est la valeur du jeton de vérification.
**Note**
En fonction de la taille du préfixe à apporter à IPAM avec BYOIP, un ou plusieurs enregistrements d’authentification doivent être créés dans le DNS. Ces enregistrements d’authentification sont de type TXT et doivent être placés dans la zone inverse du préfixe lui-même ou de son préfixe parent.
En effet IPv4, les enregistrements d'authentification doivent s'aligner sur les plages situées à la limite d'un octet qui constitue le préfixe.
**Exemples**
Pour 198.18.123.0/24, qui est déjà aligné à la limite d’un octet, vous devez créer un enregistrement d’authentification unique à l’adresse suivante :
`token-name.123.18.198.in-addr.arpa. IN TXT “token-value”`
Pour 198.18.12.0/22, qui lui-même n’est pas aligné sur la limite des octets, vous devez créer quatre enregistrements d’authentification. Ces enregistrements doivent couvrir les sous-réseaux 198.18.12.0/24, 198.18.13.0/24, 198.18.14.0/24 et 198.18.15.0/24 qui sont alignés à la limite d’un octet. Les entrées DNS correspondantes doivent être :
`token-name.12.18.198.in-addr.arpa. IN TXT “token-value”`
`token-name.13.18.198.in-addr.arpa. IN TXT “token-value”`
`token-name.14.18.198.in-addr.arpa. IN TXT “token-value”`
`token-name.15.18.198.in-addr.arpa. IN TXT “token-value”`
Pour 198.18.0.0/16, qui est déjà aligné à la limite d’un octet, vous devez créer un enregistrement d’authentification unique :
`token-name.18.198.in-addr.arpa. IN TXT “token-value”`
En effet IPv6, les enregistrements d'authentification doivent s'aligner sur les plages situées à la limite du nibble qui constituent le préfixe. Les valeurs de nibble valides sont par exemple 32, 36, 40, 44, 48, 52, 56 et 60.
**Exemples**
Pour 2001:0db8::/40, qui est déjà aligné à la limite de nibble, vous devez créer un enregistrement d’authentification unique :
`token-name.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”`
Pour 2001:0db8:80::/42, qui n’est pas alignée à la limite de nibble, vous devez créer quatre enregistrements d’authentification. Ces enregistrements doivent couvrir les sous-réseaux 2001:db8:80::/44, 2001:db8:90::/44, 2001:db8:a0::/44, et 2001:db8:b0::/44 qui sont alignés sur une limite de nibble. Les entrées DNS correspondantes doivent être :
`token-name.8.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”`
`token-name.9.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”`
`token-name.a.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”`
`token-name.b.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”`
Pour la plage non annoncée 2001:db8:0:1000::/54, qui n’est elle-même pas alignée à une limite de nibble, vous devez créer quatre enregistrements d’authentification. Ces enregistrements doivent couvrir les sous-réseaux 2001:db8:0:1000::/56, 2001:db8:0:1100::/56, 2001:db8:0:1200::/56 et 2001:db8:0:1300::/56 qui sont alignés à une limite de nibble. Les entrées DNS correspondantes doivent être :
`token-name.0.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”`
`token-name.1.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”`
`token-name.2.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”`
`token-name.3.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”`
Pour valider le nombre correct de nombres hexadécimaux entre le *nom du jeton* et la chaîne « ip6.arpa », multipliez le nombre par quatre. Le résultat doit correspondre à la longueur du préfixe. Par exemple, pour un préfixe /56, vous devez avoir 14 chiffres hexadécimaux.
Lorsque vous avez terminé ces étapes, continuez avec [Apporter votre propre IP à IPAM en utilisant à la fois la console de gestion AWS et l’AWS CLI](tutorials-byoip-ipam-console-intro.md) ou [Apportez votre propre CIDR IP sur IPAM en utilisant uniquement laAWSCLI](tutorials-byoip-ipam-cli-only-intro.md).
# Apporter votre propre IP à IPAM en utilisant à la fois la console de gestion AWS et l’AWS CLI
Intégrer votre propre adresse IP (BYOIP) à IPAM vous permet d’utiliser les plages d’adresses IPv4 et IPv6 existantes de votre organisation dans AWS. Vous pouvez ainsi maintenir une image de marque cohérente, améliorer les performances du réseau, renforcer la sécurité et simplifier la gestion en unifiant les environnements sur site et en nuage sous votre propre espace d’adresses IP.
Suivez ces étapes pour apporter un CIDR IPv4 ou IPv6 à IPAM à l’aide du AWS console de gestion et de la AWSCLI.
**Note**
Avant de commencer, vous devez disposer d’un [contrôle de domaine vérifié](tutorials-byoip-ipam-domain-verification-methods.md).
Une fois que vous avez apporté une plage d’adresses IPv4 vers AWS, vous pouvez utiliser toutes les adresses IP de la plage, y compris la première adresse (adresse réseau) et la dernière adresse (adresse de diffusion).
**Topics**
+ [Apportez votre propre IPv4 CIDR à IPAM à l'aide de la console de AWS gestion et de la CLI AWS](tutorials-byoip-ipam-console-ipv4.md)
+ [Apportez votre propre IPv6 CIDR à IPAM à l'aide de la console de gestion AWS](tutorials-byoip-ipam-console-ipv6.md)
# Apportez votre propre IPv4 CIDR à IPAM à l'aide de la console de AWS gestion et de la CLI AWS
Procédez comme suit pour transférer un IPv4 CIDR vers IPAM et allouer une adresse IP élastique (EIP) à l'aide de la console de AWS gestion et de la CLI. AWS
**Important**
Le didacticiel présume que vous ayez déjà effectué les étapes suivantes dans les sections suivantes :
[Intégration d'IPAM aux comptes d'une organisation AWS](enable-integ-ipam.md).
[Création d'un IPAM](create-ipam.md).
Chaque étape de ce didacticiel doit être effectuée par l'un des trois comptes AWS Organizations :
Le compte de gestion
Le compte de membre configuré pour être votre administrateur IPAM dans[Intégration d'IPAM aux comptes d'une organisation AWS](enable-integ-ipam.md). Dans ce tutoriel, ce compte sera appelé compte IPAM.
Le compte membre de votre organisation qui sera alloué CIDRs à partir d'un pool IPAM. Dans ce tutoriel, ce compte sera appelé compte IPAM.
**Topics**
+ [Étape 1 : Création de profils AWS CLI nommés et de rôles IAM](#tutorials-create-profiles)
+ [Étape 2 : Création d'un groupe IPAM niveau supérieur](#tutorials-byoip-ipam-ipv4-console-create-top)
+ [Étape 3. Création d'un groupe régional dans le groupe de niveau supérieur](#tutorials-byoip-ipam-ipv4-console-create-reg)
+ [Étape 4 : publication du CIDR](#tutorials-byoip-ipam-ipv4-console-adv)
+ [Étape 5. Partager le groupe régional](#tutorials-byoip-ipam-ipv4-console-share-reg)
+ [Étape 6 : allocation d’une adresse IP Elastic à partir du groupe](#tutorials-byoip-ipam-ipv4-console-all-eip)
+ [Étape 7 : association de l’adresse IP Elastic à une instance EC2](#tutorials-byoip-ipam-ipv4-console-assoc-eip)
+ [Étape 8 : nettoyage](#tutorials-byoip-ipam-ipv4-console-cleanup)
+ [Alternative à l’étape 6](#tutorials-byoip-ipam-ipv4-alt)
## Étape 1 : Création de profils AWS CLI nommés et de rôles IAM
Pour suivre ce didacticiel en tant qu' AWS utilisateur unique, vous pouvez utiliser des profils AWS CLI nommés pour passer d'un rôle IAM à un autre. Les [profils nommés](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-using-profiles) sont des ensembles de paramètres et d'informations d'identification auxquels vous vous référez lorsque vous utilisez l'option `--profile` associée à l' AWS CLI. Pour plus d'informations sur la création de rôles IAM et de profils nommés pour les AWS comptes, consultez la section [Utilisation d'un rôle IAM dans le](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html). AWS CLI
Créez un rôle et un profil nommé pour chacun des trois AWS comptes que vous utiliserez dans ce didacticiel :
+ Un profil appelé le compte `management-account` de gestion des AWS Organizations.
+ Un profil appelé `ipam-account` pour le compte membre AWS des Organizations configuré pour être votre administrateur IPAM.
+ Un profil appelait `member-account` le compte membre AWS Organizations de votre organisation, qui sera alloué CIDRs à partir d'un pool IPAM.
Une fois que vous avez créé les rôles IAM et les profils nommés, revenez à cette page et passez à l'étape suivante. Vous remarquerez dans le reste de ce didacticiel que les exemples de AWS CLI commandes utilisent l'`--profile`option avec l'un des profils nommés pour indiquer quel compte doit exécuter la commande.
## Étape 2 : Création d'un groupe IPAM niveau supérieur
Suivez les étapes de cette section pour créer un groupe IPAM de niveau supérieur.
Cette étape doit être réalisée par le compte IPAM.
**Création d’un groupe**
1. Ouvrez la console IPAM à [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)l'adresse.
1. Dans le panneau de navigation, choisissez **Pools** (Groupes).
1. Par défaut, lorsque vous créez un groupe, la portée privée par défaut est sélectionnée. Choisissez la portée Public. Pour plus d'informations sur les portées, consultez [Fonctionnement d'IPAM](how-it-works-ipam.md).
1. Sélectionnez **Create pool** (Créer un groupe).
1. (Facultatif) Ajoutez une valeur **Name tag** (Étiquette de nom) du groupe et une **Description** du groupe.
1. Sous **Source**, choisissez **Portée IPAM**.
1. Sous **Famille d'adresses**, sélectionnez **IPv4**.
1. Sous **Planification des ressources**, laissez sélectionné **Planifier l'espace IP dans la portée**. Pour plus d'informations sur l'utilisation de cette option pour planifier l'espace IP de sous-réseau dans un VPC, consultez [Didacticiel : Planifier l'espace d'adresse IP VPC pour les allocations IP de sous-réseau](tutorials-subnet-planning.md).
1. Sous**Locale** (paramètre régional), choisissez**Aucun**.
L'intégration IPAM avec BYOIP nécessite que les paramètres régionaux soient définis sur le groupe utilisé pour le CIDR BYOIP. Puisque nous allons créer un groupe IPAM de niveau supérieur contenant un groupe régional et que nous allons allouer de l'espace à une adresse IP élastique à partir du groupe régional, vous définirez les paramètres régionaux sur le groupe régional, et non sur le groupe de niveau supérieur. Vous ajouterez les paramètres régionaux au groupe régional lorsque vous le créerez à une étape ultérieure.
**Note**
Si vous créez un groupe unique uniquement et non un groupe de niveau supérieur comportant des groupes régionaux, vous devez choisir un paramètre régional pour ce groupe afin que le groupe soit disponible pour les allocations.
1. Sous **Source IP publique**, choisissez **BYOIP**.
1. Sous **CIDRs provision**, effectuez l'une des opérations suivantes :
+ Si vous avez [vérifié le contrôle de votre domaine à l’aide d’un certificat X.509](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-cert), vous devez inclure le CIDR, le message BYOIP et la signature du certificat que vous avez créés lors de cette étape afin que nous puissions vérifier que vous contrôlez l’espace public.
+ Si vous avez [vérifié le contrôle de votre domaine avec un enregistrement DNS TXT](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-dns-txt), vous devez inclure le jeton de vérification CIDR et IPAM que vous avez créé dans cette étape afin que nous puissions vérifier que vous contrôlez l’espace public.
Notez que lors du provisionnement d'un IPv4 CIDR vers un pool au sein du pool de niveau supérieur, le IPv4 CIDR minimum que vous pouvez provisionner est le suivant `/24` ; les informations plus spécifiques CIDRs (telles que`/25`) ne sont pas autorisées.
**Important**
Bien que la plupart des approvisionnements soient effectués dans les deux heures, le processus d’allocation des plages qui peuvent être annoncées publiquement peut durer jusqu’à une semaine.
1. Laissez l’option **Configurer les paramètres des règles d’allocation de ce groupe** non sélectionnée.
1. (En option) Sélectionnez **Tags** (Étiquettes) pour le groupe.
1. Sélectionnez **Create pool** (Créer un groupe).
Vérifiez que ce CIDR a été provisionné avant de continuer. Vous pouvez voir l'état du provisionnement dans l'**CIDRs**onglet de la page de détails du pool.
## Étape 3. Création d'un groupe régional dans le groupe de niveau supérieur
Création d'un groupe régional dans le groupe de niveau supérieur L'intégration IPAM avec BYOIP nécessite que les paramètres régionaux soient définis sur le groupe utilisé pour le CIDR BYOIP. Vous ajouterez les paramètres régionaux au groupe régional lorsque vous le créerez dans cette section. Le `Locale` doit faire partie de l’une des régions d’exploitation que vous avez configurées lorsque vous avez créé l’IPAM. Par exemple, un paramètre régional *us-east-1* signifie que *us-east-1* doit être une région opérationnelle pour l’IPAM. Une paramètre régional *us-east-1-scl-1* (un groupe frontalier de réseau utilisé pour les zones locales) signifie que l’IPAM doit avoir une région opérationnelle *us-east-1*.
Cette étape doit être réalisée par le compte IPAM.
**Création d'un groupe dans un groupe de niveau supérieur**
1. Ouvrez la console IPAM à [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)l'adresse.
1. Dans le panneau de navigation, choisissez **Pools** (Groupes).
1. Par défaut, lorsque vous créez un groupe, la portée privée par défaut est sélectionnée. Si vous ne souhaitez pas utiliser la portée privée par défaut, dans le menu déroulant en haut du panneau de contenu, choisissez la portée que vous souhaitez utiliser. Pour plus d'informations sur les portées, consultez [Fonctionnement d'IPAM](how-it-works-ipam.md).
1. Sélectionnez **Create pool** (Créer un groupe).
1. (Facultatif) Ajoutez une valeur **Name tag** (Étiquette de nom) du groupe et une **Description** du groupe.
1. Sous **Source**, sélectionnez le groupe de niveau supérieur que vous avez créé dans la section précédente.
1. Sous **Planification des ressources**, laissez sélectionné **Planifier l'espace IP dans la portée**. Pour plus d'informations sur l'utilisation de cette option pour planifier l'espace IP de sous-réseau dans un VPC, consultez [Didacticiel : Planifier l'espace d'adresse IP VPC pour les allocations IP de sous-réseau](tutorials-subnet-planning.md).
1. Sous **Paramètres régionaux**, choisissez les paramètres régionaux du groupe. Dans ce didacticiel, nous allons utiliser `us-east-2`comme paramètre régional pour le groupe régional. Les options disponibles proviennent des Régions d'exploitation que vous avez sélectionnées lors de la création de votre IPAM.
Les paramètres régionaux du groupe doivent être l’une des options suivantes :
+ AWS Région dans laquelle vous souhaitez que ce pool IPAM soit disponible pour des allocations.
+ Le groupe de bordure du réseau pour une zone AWS locale dans laquelle vous souhaitez que ce pool IPAM soit disponible pour des allocations ([zones locales prises en charge](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html#byoip-zone-avail)). Cette option n'est disponible que pour les IPv4 pools IPAM du périmètre public.
+ Une [zone locale AWS dédiée](https://aws.amazon.com/dedicatedlocalzones/). Pour créer un pool dans une zone locale AWS dédiée, entrez la zone locale AWS dédiée dans l'entrée du sélecteur.
+ `Global`lorsque vous souhaitez utiliser des adresses IP dans le monde entier dans toutes les AWS régions, telles que les CloudFront sites. La `Global` localisation n'est disponible que pour les IPv4 piscines publiques.
Par exemple, vous pouvez uniquement allouer un CIDR à un VPC à partir d'un groupe IPAM qui partage un paramètre régional avec la Région du VPC. Notez que lorsque vous avez choisi un paramètre régional pour un pool, vous ne pouvez pas le modifier. Si la région d'accueil de l'IPAM n'est pas disponible en raison d'une panne et que les paramètres régionaux du groupe sont différents de ceux de la région d'accueil de l'IPAM, le groupe peut toujours être utilisé pour allouer des adresses IP.
Le choix d'un paramètre régional garantit qu'il n'y a aucune dépendance entre les Régions entre votre groupe et les ressources qui y sont allouées.
1. Sous **Service**, choisissez **EC2 (EIP/VPC)**. Le service que vous sélectionnez détermine le AWS service pour lequel le CIDR sera publicisé. Actuellement, la seule option est **EC2 (EIP/VPC)**, ce qui signifie que les CIDR alloués à partir de ce pool seront publicisés pour le service Amazon EC2 (pour les adresses IP élastiques) et le service Amazon VPC (pour les adresses associées à). CIDRs VPCs
1. Sous **CIDRs provisionnement**, choisissez un CIDR à provisionner pour le pool.
**Note**
Lorsque vous fournissez un CIDR à un pool régional au sein du pool de niveau supérieur, le IPv4 CIDR le plus spécifique que vous puissiez provisionner est le suivant `/24` ; les informations plus spécifiques CIDRs (telles que`/25`) ne sont pas autorisées. Après avoir créé le groupe régional, vous pouvez créer des groupes plus petits (tels que `/25`) au sein du même groupe régional. Notez que si vous partagez le groupe régional ou les groupes qu’il contient, ces groupes ne peuvent être utilisés que dans les paramètres régionaux définis sur le même groupe régional.
1. Activez l’option **Configurer les paramètres des règles d’allocation de ce groupe**. Vous disposez ici des mêmes options de règle d'allocation que lorsque vous avez créé le groupe de premier niveau. Consultez [Création d'un pool de haut niveau IPv4](create-top-ipam.md) pour obtenir une explication des options disponibles lorsque vous créez des groupes. Les règles d'allocation du groupe régional ne sont pas héritées du groupe de niveau supérieur. Si vous n'appliquez aucune règle ici, aucune règle d'allocation ne sera définie pour le groupe.
1. (En option) Sélectionnez **Tags** (Étiquettes) pour le groupe.
1. Lorsque vous avez fini de configurer votre groupe, choisissez **Create pool** (Créer un groupe).
Vérifiez que ce CIDR a été provisionné avant de continuer. Vous pouvez voir l'état du provisionnement dans l'**CIDRs**onglet de la page de détails du pool.
## Étape 4 : publication du CIDR
Les étapes de cette section doivent être réalisées par le compte IPAM. Une fois que vous avez associé l'adresse IP élastique (EIP) à une instance ou à Elastic Load Balancer, vous pouvez commencer à annoncer le CIDR que vous avez apporté et qui se trouve dans un pool sur AWS lequel **le Service EC2** (EIP/VPC) est configuré. Dans ce didacticiel, il s'agit de votre groupe régional. Par défaut, le CIDR n'est pas publié, ce qui signifie qu'il n'est pas accessible publiquement sur Internet.
Cette étape doit être réalisée par le compte IPAM.
**Note**
Le statut de la publicité ne limite pas votre capacité à attribuer des adresses IP Elastic. Même si votre BYOIPv4 CIDR n'est pas annoncé, vous pouvez toujours créer EIPs à partir du pool IPAM.
**Pour publier le CIDR**
1. Ouvrez la console IPAM à [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)l'adresse.
1. Dans le panneau de navigation, choisissez **Pools** (Groupes).
1. Par défaut, lorsque vous créez un groupe, la portée privée par défaut est sélectionnée. Choisissez la portée Public. Pour plus d'informations sur les portées, consultez [Fonctionnement d'IPAM](how-it-works-ipam.md).
1. Choisissez le groupe régional que vous avez créé dans ce didacticiel.
1. Cliquez sur l'onglet **CIDRs**.
1. Sélectionnez le CIDR BYOIP et cliquez sur **Actions** >**Publicité**.
1. Cliques sur **Publicité CIDR**.
Par conséquent, le CIDR BYOIP est annoncé et la valeur dans la colonne **Publicité** passe de**Retiré** à **Annoncé**.
## Étape 5. Partager le groupe régional
Suivez les étapes décrites dans cette section pour partager le pool IPAM à l'aide de AWS Resource Access Manager (RAM).
### Activer le partage des ressources dans AWS RAM
Après avoir créé votre IPAM, partagez le groupe régional avec d'autres comptes de votre organisation. Avant de partager un pool IPAM, suivez les étapes décrites dans cette section pour activer le partage de ressources avec AWS RAM. Si vous utilisez le AWS CLI pour activer le partage des ressources, utilisez l'`--profile management-account`option.
**Pour activer le partage des ressources**
1. À l'aide du compte AWS Organizations de gestion, ouvrez la AWS RAM console à l'adresse [https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/).
1. Dans le volet de navigation de gauche, choisissez **Paramètres**, sélectionnez **Activer le partage avec AWS Organizations**, puis sélectionnez **Enregistrer les paramètres**.
Vous pouvez désormais partager un groupe IPAM avec d'autres membres de l'organisation.
### Partagez un pool IPAM à l'aide de AWS RAM
Dans cette section, vous allez partager le pool régional avec un autre compte AWS Organizations membre. Pour obtenir des instructions complètes sur le partage de groupes IPAM, y compris des informations sur les autorisations IAM requises, consultez [Partage d'un groupe IPAM à l'aide d'AWS RAM](share-pool-ipam.md). Si vous utilisez le AWS CLI pour activer le partage des ressources, utilisez l'`--profile ipam-account`option.
**Pour partager un pool IPAM à l'aide de AWS RAM**
1. À l'aide du compte administrateur IPAM, ouvrez la console IPAM à l'adresse. [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)
1. Dans le panneau de navigation, choisissez **Pools** (Groupes).
1. Choisissez le périmètre privé, choisissez le groupe IPAM, puis choisissez **Actions** > **Afficher les détails**.
1. Sous **Resource sharing** (Partage de ressources), sélectionnez **Create resource share** (Créer un partage de ressources). La AWS RAM console s'ouvre. Vous partagez le pool en utilisant AWS RAM.
1. Sélectionnez **Create a resource share** (Créer un partage de ressources).
1. Dans la AWS RAM console, choisissez à nouveau **Créer un partage de ressources**.
1. Ajoutez un **Nom** pour la ressource partagée.
1. Sous **Sélectionner le type de ressource**, choisissez **Groupes IPAM,** puis choisissez l’ARN du groupe que vous souhaitez partager.
1. Choisissez **Suivant**.
1. Choisissez l'**AWSRAMPermissionIpamPoolByoipCidrImport**autorisation. Les détails des options d'autorisation ne sont pas abordés dans ce didacticiel, mais vous pouvez en savoir plus sur ces options dans [Partage d'un groupe IPAM à l'aide d'AWS RAM](share-pool-ipam.md).
1. Choisissez **Suivant**.
1. Dans **Principaux** > **Sélectionner le type de principal**, choisissez **Compte AWS **, saisissez l'ID du compte qui transmettra une plage d'adresses IP à IPAM, puis choisissez **Ajouter**.
1. Choisissez **Suivant**.
1. Examinez les options de partage de ressources et les principaux avec lesquels vous procéderez au partage, puis sélectionnez **Créer**.
1. Pour autoriser le compte **member-account** à allouer les CIDR de l’adresse IP à partir du groupe IPAM, créez un deuxième partage de ressources avec `AWSRAMDefaultPermissionsIpamPool`. La valeur pour `--resource-arns` est l'ARN du groupe IPAM que vous avez créé dans la section précédente. La valeur de `--principals` est l’ID de compte du **member-account**. La valeur pour `--permission-arns` est l'ARN de l'autorisation `AWSRAMDefaultPermissionsIpamPool`.
## Étape 6 : allocation d’une adresse IP Elastic à partir du groupe
Suivez les étapes de cette section pour allouer une adresse IP Elastic à partir du groupe. Notez que si vous utilisez des IPv4 pools publics pour allouer des adresses IP élastiques, vous pouvez utiliser les étapes alternatives [Alternative à l’étape 6](#tutorials-byoip-ipam-ipv4-alt) plutôt que celles de cette section.
**Important**
Si vous voyez une erreur liée au fait que vous ne disposez pas des autorisations nécessaires pour appeler ec2 :AllocateAddress, l'autorisation gérée actuellement attribuée au pool IPAM qui a été partagé avec vous doit être mise à jour. Contactez la personne qui a créé le partage de ressources et demandez-lui de mettre à jour l’autorisation gérée `AWSRAMPermissionIpamResourceDiscovery` vers la version par défaut. Pour de plus amples informations, consultez [Mettre à jour un partage de ressources](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-update.html) dans le *Guide de l'utilisateur AWS RAM *.
------
#### [ AWS Management Console ]
Suivez les étapes décrites dans la section [Allouer une adresse IP Elastic](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-allocating) dans le *Guide de l’utilisateur Amazon EC2* pour attribuer l’adresse, mais notez ce qui suit :
+ Cette étape doit être effectuée par le compte membre.
+ Assurez-vous que la AWS région dans laquelle vous vous trouvez dans la console EC2 correspond à l'option locale que vous avez choisie lors de la création du pool régional.
+ Lorsque vous choisissez le pool d'adresses, choisissez l'option **Allouer à l'aide d'un pool IPv4 IPAM** et choisissez le pool régional que vous avez créé.
------
#### [ Command line ]
Allouez une adresse depuis le groupe à l’aide de la commande [allocate-address](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/allocate-address.html). L’option `--region` utilisée doit correspondre à l’option `-locale` que vous avez choisie lors de la création du groupe à l’étape 2. Incluez l’ID du groupe IPAM que vous avez créé à l’étape 2 dans `--ipam-pool-id`. En option, vous pouvez également choisir un élément spécifique `/32` dans votre groupe IPAM en utilisant l’option `--address`.
```
aws ec2 allocate-address --region us-east-1 --ipam-pool-id ipam-pool-07ccc86aa41bef7ce
```
Exemple de réponse :
```
{
"PublicIp": "18.97.0.41",
"AllocationId": "eipalloc-056cdd6019c0f4b46",
"PublicIpv4Pool": "ipam-pool-07ccc86aa41bef7ce",
"NetworkBorderGroup": "us-east-1",
"Domain": "vpc"
}
```
Pour plus d’informations, veuillez consulter la rubrique [Attribuer une adresse IP Elastic](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-allocating) dans le *Guide de l’utilisateur Amazon EC2*.
------
## Étape 7 : association de l’adresse IP Elastic à une instance EC2
Suivez les étapes de cette section pour association de l’adresse IP Elastic à une instance EC2.
------
#### [ AWS Management Console ]
Suivez les étapes décrites dans [Associer une adresse IP élastique](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-associating) dans le *guide de l'utilisateur Amazon EC2* pour attribuer une adresse IP élastique à partir du pool IPAM, mais notez ce qui suit : lorsque vous utilisez l'option AWS Management Console, la AWS région à laquelle vous associez l'adresse IP élastique doit correspondre à l'option locale que vous avez choisie lors de la création du pool régional.
Cette étape doit être effectuée par le compte membre.
------
#### [ Command line ]
Cette étape doit être effectuée par le compte membre. Utilisez l'option `--profile member-account`.
Utilisez la commande [associate-address](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/allocate-address.html) pour associer une adresse IP Elastic à une instance. L’option `--region` à laquelle vous associez l’adresse IP Elastic doit correspondre à l’option `--locale` que vous avez choisie lors de la création du groupe régional.
```
aws ec2 associate-address --region us-east-1 --instance-id i-07459a6fca5b35823 --public-ip 18.97.0.41
```
Exemple de réponse :
```
{
"AssociationId": "eipassoc-06aa85073d3936e0e"
}
```
Pour plus d’informations, voir [Associer une adresse IP Elastic à une instance ou à une interface réseau](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-associating) dans le *Guide de l’utilisateur Amazon EC2*.
------
## Étape 8 : nettoyage
Suivez les étapes de cette section pour nettoyer les ressources que vous avez provisionnées et créées dans ce tutoriel.
**Étape 1 : Retirez le CIDR de la publicité**
Cette étape doit être réalisée par le compte IPAM.
1. Ouvrez la console IPAM à [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)l'adresse.
1. Dans le panneau de navigation, choisissez **Pools** (Groupes).
1. Par défaut, lorsque vous créez un groupe, la portée privée par défaut est sélectionnée. Choisissez la portée Public.
1. Choisissez le groupe régional que vous avez créé dans ce didacticiel.
1. Cliquez sur l'onglet **CIDRs**.
1. Sélectionnez le CIDR BYOIP et cliquez sur **Actions** >**Enlever de la publicité**.
1. Cliquez sur **Enlever CIDR**.
Par conséquent, le CIDR BYOIP n'est plus annoncé et la valeur dans la colonne **Publicité** passe de **Annoncé** à **Retiré**.
**Étape 2 : Dissocier une adresse IP élastique**
Cette étape doit être effectuée par le compte membre. Si vous utilisez le AWS CLI, utilisez l'`--profile member-account`option.
+ Suivez les étapes [Dissocier une adresse IP Elastic](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-associating-different)dans le *Guide de l’utilisateur Amazon EC2* pour dissocier l’EIP. Lorsque vous ouvrez EC2 dans la console de AWS gestion, la AWS région dans laquelle vous dissociez l'EIP doit correspondre à l'`Locale`option que vous avez choisie lors de la création du pool qui sera utilisé pour le CIDR BYOIP. Dans ce tutoriel, il s'agit de votre groupe régional.
**Étape 3 : Affectation de l'adresse IP élastique**
Cette étape doit être effectuée par le compte membre. Si vous utilisez le AWS CLI, utilisez l'`--profile member-account`option.
+ Suivez les étapes pour [Libérer une adresse IP Elastic ;](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-releasing)dans le *Guide de l’utilisateur Amazon EC2*pour libérer une adresse IP Elastic (EIP) à partir du groupe IPv4 public. Lorsque vous ouvrez EC2 dans la console de AWS gestion, la AWS région dans laquelle vous allouez l'EIP doit correspondre à l'`Locale`option que vous avez choisie lors de la création du pool qui sera utilisé pour le CIDR BYOIP.
**Étape 4 : Supprimer tous les partages de RAM et désactiver l'intégration de la RAM avec AWS Organizations**
Cette étape doit être effectuée par le compte IPAM et le compte de gestion respectivement. Si vous utilisez le AWS CLI pour supprimer les partages de RAM et désactiver l'intégration de RAM, utilisez les ` --profile management-account` options ` --profile ipam-account` et.
+ Suivez les étapes décrites dans les [sections Suppression d'un partage de ressources dans la AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-delete.html) et [Désactivation du partage de ressources avec AWS les organisations](https://docs.aws.amazon.com/ram/latest/userguide/security-disable-sharing-with-orgs.html) dans le *guide de l'utilisateur de la AWS RAM*, dans cet ordre, pour supprimer les partages de RAM et désactiver l'intégration de la RAM avec AWS les organisations.
**Étape 5 : Déprovisionner le CIDRs pool régional et le pool de niveau supérieur**
Cette étape doit être réalisée par le compte IPAM. Si vous utilisez le AWS CLI pour partager le pool, utilisez l'`--profile ipam-account`option.
+ Effectuez les étapes [Déprovisionnement CIDRs depuis un pool](depro-pool-cidr-ipam.md) pour déprovisionner le CIDRs pool régional puis le pool de niveau supérieur, dans cet ordre.
**Étape 6 : supprimer le groupe régional et le groupe de niveau supérieur**
Cette étape doit être réalisée par le compte IPAM. Si vous utilisez le AWS CLI pour partager le pool, utilisez l'`--profile ipam-account`option.
+ Suivez les étapes de [Suppression d'un groupe](delete-pool-ipam.md)pour supprimer le groupe régional et ensuite le groupe de niveau supérieur, dans cet ordre.
## Alternative à l’étape 6
Si vous utilisez des IPv4 pools publics pour allouer des adresses IP élastiques, vous pouvez suivre les étapes de cette section plutôt que celles de la section précédente[Étape 6 : allocation d’une adresse IP Elastic à partir du groupe](#tutorials-byoip-ipam-ipv4-console-all-eip).
**Topics**
+ [Étape 1 : créer un IPv4 pool public](#tutorials-byoip-ipam-ipv4-console-alt-pool)
+ [Étape 2 : Fournir le IPv4 CIDR public à votre piscine publique IPv4](#tutorials-byoip-ipam-ipv4-console-alt-cidr)
+ [Étape 3 : Allouer une adresse IP élastique depuis le IPv4 pool public](#tutorials-byoip-ipam-ipv4-console-alt-eip)
+ [Alternative au nettoyage de l’étape 6](#tutorials-byoip-ipam-ipv4-console-alt-cleanup)
### Étape 1 : créer un IPv4 pool public
Cette étape doit être effectuée par le compte membre qui fournira une adresse IP élastique.
**Note**
Cette étape doit être effectuée par le compte membre en utilisant le AWS CLI.
Les IPv4 pools publics et les pools IPAM sont gérés par des ressources distinctes dans AWS. Les IPv4 pools publics sont des ressources à compte unique qui vous permettent de convertir vos adresses IP publiques CIDRs en adresses IP élastiques. Les pools IPAM peuvent être utilisés pour allouer votre espace public à des IPv4 pools publics.
**Pour créer un IPv4 pool public à l'aide du AWS CLI**
+ Exécutez la commande suivante pour provisionner le CIDR. Lorsque vous exécutez la commande dans cette section, la valeur de `--region` doit correspondre à l'option `Locale` que vous avez choisie lorsque vous avez créé le groupe qui sera utilisé pour le CIDR BYOIP.
```
aws ec2 create-public-ipv4-pool --region us-east-2 --profile member-account
```
Dans le résultat, vous verrez l'ID du IPv4 pool public. Vous aurez besoin de cet ID à la prochaine étape.
```
{
"PoolId": "ipv4pool-ec2-09037ce61cf068f9a"
}
```
### Étape 2 : Fournir le IPv4 CIDR public à votre piscine publique IPv4
Fournissez le IPv4 CIDR public à votre IPv4 pool public. La valeur pour `--region` doit correspondre à la valeur `Locale` que vous avez choisie lorsque vous avez créé le groupe qui sera utilisé pour le CIDR BYOIP. `--netmask-length` est la quantité d'espace du groupe IPAM que vous souhaitez apporter à votre groupe publique. La valeur ne peut pas être supérieure à la longueur du masque réseau du groupe IPAM. Le `--netmask-length` le moins précis que vous puissiez définir est `24`.
**Note**
Si vous apportez une plage de CIDR `/24` à IPAM pour la partager au sein d'une organisation AWS , vous pouvez attribuer des préfixes plus petits à plusieurs groupes IPAM, par exemple `/27` (avec `-- netmask-length 27`), plutôt que de provisionner l'intégralité du CIDR `/24` (avec `-- netmask-length 24`) comme indiqué dans ce didacticiel.
Cette étape doit être effectuée par le compte membre en utilisant le AWS CLI.
**Pour créer un IPv4 pool public à l'aide du AWS CLI**
1. Exécutez la commande suivante pour provisionner le CIDR.
```
aws ec2 provision-public-ipv4-pool-cidr --region us-east-2 --ipam-pool-id ipam-pool-04d8e2d9670eeab21 --pool-id ipv4pool-ec2-09037ce61cf068f9a --netmask-length 24 --profile member-account
```
Dans la sortie, vous verrez apparaître le CIDR provisionné.
```
{
"PoolId": "ipv4pool-ec2-09037ce61cf068f9a",
"PoolAddressRange": {
"FirstAddress": "130.137.245.0",
"LastAddress": "130.137.245.255",
"AddressCount": 256,
"AvailableAddressCount": 256
}
}
```
1. Exécutez la commande suivante pour afficher le CIDR provisionné dans le pool public IPv4 .
```
aws ec2 describe-public-ipv4-pools --region us-east-2 --max-results 10 --profile member-account
```
Dans la sortie, vous verrez apparaître le CIDR provisionné. Par défaut, le CIDR n'est pas publié, ce qui signifie qu'il n'est pas accessible publiquement sur Internet. Vous aurez la possibilité de définir ce CIDR comme publié dans la dernière étape de ce tutoriel.
```
{
"PublicIpv4Pools": [
{
"PoolId": "ipv4pool-ec2-09037ce61cf068f9a",
"Description": "",
"PoolAddressRanges": [
{
"FirstAddress": "130.137.245.0",
"LastAddress": "130.137.245.255",
"AddressCount": 256,
"AvailableAddressCount": 255
}
],
"TotalAddressCount": 256,
"TotalAvailableAddressCount": 255,
"NetworkBorderGroup": "us-east-2",
"Tags": []
}
]
}
```
**Une fois que vous avez créé le IPv4 pool public, pour afficher le IPv4 pool public alloué dans le pool régional IPAM, ouvrez la console IPAM et consultez l'allocation dans le pool régional sous **Allocations ou Ressources**.**
### Étape 3 : Allouer une adresse IP élastique depuis le IPv4 pool public
Suivez les étapes de la section [Allocation d’une adresse IP Elastic](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-allocating) du *Guide de l’utilisateur Amazon EC2* pour allouer une EIP à partir du groupe public d’adresses IPv4. Lorsque vous ouvrez EC2 dans la console de AWS gestion, la AWS région dans laquelle vous allouez l'EIP doit correspondre à l'`Locale`option que vous avez choisie lors de la création du pool qui sera utilisé pour le CIDR BYOIP.
Cette étape doit être effectuée par le compte membre. Si vous utilisez le AWS CLI, utilisez l'`--profile member-account`option.
Une fois ces trois étapes terminées, revenez au tutoriel [Étape 7 : association de l’adresse IP Elastic à une instance EC2](#tutorials-byoip-ipam-ipv4-console-assoc-eip) et continuez jusqu’à ce que vous ayez terminé.
### Alternative au nettoyage de l’étape 6
Procédez comme suit pour nettoyer les IPv4 piscines publiques créées à l'aide de l'alternative à l'étape 9. Vous devez effectuer ces étapes après avoir publié l’adresse IP Elastic au cours du processus de nettoyage standard dans [Étape 8 : nettoyage](#tutorials-byoip-ipam-ipv4-console-cleanup).
**Étape 1 : Déprovisionner le IPv4 CIDR public de votre pool public IPv4**
**Important**
Cette étape doit être effectuée par le compte membre en utilisant le AWS CLI.
1. Consultez votre BYOIP CIDRs.
```
aws ec2 describe-public-ipv4-pools --region us-east-2 --profile member-account
```
Dans la sortie, vous verrez apparaître les adresses IP dans votre CIDR BYOIP.
```
{
"PublicIpv4Pools": [
{
"PoolId": "ipv4pool-ec2-09037ce61cf068f9a",
"Description": "",
"PoolAddressRanges": [
{
"FirstAddress": "130.137.245.0",
"LastAddress": "130.137.245.255",
"AddressCount": 256,
"AvailableAddressCount": 256
}
],
"TotalAddressCount": 256,
"TotalAvailableAddressCount": 256,
"NetworkBorderGroup": "us-east-2",
"Tags": []
}
]
}
```
1. Exécutez la commande suivante pour libérer le CIDR du IPv4 pool public.
```
aws ec2 deprovision-public-ipv4-pool-cidr --region us-east-2 --pool-id ipv4pool-ec2-09037ce61cf068f9a --cidr 130.137.245.0/24 --profile member-account
```
1. Consultez à CIDRs nouveau votre BYOIP et assurez-vous qu'il n'y a plus d'adresses provisionnées. Lorsque vous exécutez la commande dans cette section, la valeur de `--region` doit correspondre à la Région de votre IPAM.
```
aws ec2 describe-public-ipv4-pools --region us-east-2 --profile member-account
```
Dans le résultat, vous verrez le nombre d'adresses IP dans votre IPv4 pool public.
```
{
"PublicIpv4Pools": [
{
"PoolId": "ipv4pool-ec2-09037ce61cf068f9a",
"Description": "",
"PoolAddressRanges": [],
"TotalAddressCount": 0,
"TotalAvailableAddressCount": 0,
"NetworkBorderGroup": "us-east-2",
"Tags": []
}
]
}
```
**Note**
L'IPAM peut mettre un certain temps à découvrir que les allocations de IPv4 pool public ont été supprimées. Vous ne pouvez pas continuer à nettoyer et à désactiver le CIDR du groupe IPAM tant que vous ne voyez pas que l'allocation a été supprimée d'IPAM.
**Étape 2 : Supprimer le IPv4 pool public**
Cette étape doit être effectuée par le compte membre.
+ Exécutez la commande suivante pour supprimer le IPv4 pool public, le CIDR. Lorsque vous exécutez la commande dans cette section, la valeur de `--region` doit correspondre à l'option `Locale` que vous avez choisie lorsque vous avez créé le groupe qui sera utilisé pour le CIDR BYOIP. Dans ce tutoriel, il s'agit de votre groupe régional. Cette étape doit être effectuée à l'aide de la AWS CLI.
```
aws ec2 delete-public-ipv4-pool --region us-east-2 --pool-id ipv4pool-ec2-09037ce61cf068f9a --profile member-account
```
Dans la sortie, vous verrez la valeur de retour**vrai**.
```
{
"ReturnValue": true
}
```
Une fois que vous avez supprimé le groupe, pour afficher l'allocation non gérée par IPAM, ouvrez la console IPAM et affichez les détails du groupe régional sous**Allocations**.
# Apportez votre propre IPv6 CIDR à IPAM à l'aide de la console de gestion AWS
Suivez les étapes de ce didacticiel pour transférer un IPv6 CIDR à l'IPAM et allouer un VPC avec le CIDR en utilisant à la fois la console de gestion et le AWS . AWS CLI
Si vous n'avez pas besoin de publier vos IPv6 adresses sur Internet, vous pouvez fournir une IPv6 adresse GUA privée à un IPAM. Pour de plus amples informations, veuillez consulter [Activer le provisionnement de CIDR GUA IPv6 privés](enable-prov-ipv6-gua.md).
**Important**
Le didacticiel présume que vous ayez déjà effectué les étapes suivantes dans les sections suivantes :
[Intégration d'IPAM aux comptes d'une organisation AWS](enable-integ-ipam.md).
[Création d'un IPAM](create-ipam.md).
Chaque étape de ce didacticiel doit être effectuée par l'un des trois comptes AWS Organizations :
Le compte de gestion
Le compte de membre configuré pour être votre administrateur IPAM dans[Intégration d'IPAM aux comptes d'une organisation AWS](enable-integ-ipam.md). Dans ce tutoriel, ce compte sera appelé compte IPAM.
Le compte membre de votre organisation qui sera alloué CIDRs à partir d'un pool IPAM. Dans ce tutoriel, ce compte sera appelé compte IPAM.
**Topics**
+ [Étape 1 : Création d'un groupe IPAM de niveau supérieur](#tutorials-byoip-ipam-ipv6-console-1)
+ [Étape 2. Création d'un groupe régional dans le groupe de niveau supérieur](#tutorials-byoip-ipam-ipv6-console-2)
+ [Étape 3. Partager le groupe régional](#tutorials-byoip-ipam-ipv4-console-4-deux)
+ [Étape 4 : création d'un VPC](#tutorials-byoip-ipam-ipv6-console-4)
+ [Étape 5 : publication du CIDR](#tutorials-byoip-ipam-ipv6-console-5)
+ [Étape 6 : nettoyage](#tutorials-byoip-ipam-ipv6-console-cleanup)
## Étape 1 : Création d'un groupe IPAM de niveau supérieur
Puisque vous allez créer un groupe IPAM de niveau supérieur contenant un groupe régional et que nous allons allouer de l’espace à une ressource à partir du groupe régional, vous définirez les paramètres régionaux sur le groupe régional, et non sur le groupe de niveau supérieur. Vous ajouterez les paramètres régionaux au groupe régional lorsque vous le créerez à une étape ultérieure. L'intégration IPAM avec BYOIP nécessite que les paramètres régionaux soient définis sur le groupe utilisé pour le CIDR BYOIP.
Cette étape doit être réalisée par le compte IPAM.
**Création d’un groupe**
1. Ouvrez la console IPAM à [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)l'adresse.
1. Dans le panneau de navigation, choisissez **Pools** (Groupes).
1. Par défaut, lorsque vous créez un groupe, la portée privée par défaut est sélectionnée. Choisissez la portée Public. Pour plus d'informations sur les portées, consultez [Fonctionnement d'IPAM](how-it-works-ipam.md).
1. Sélectionnez **Create pool** (Créer un groupe).
1. (Facultatif) Ajoutez une valeur **Name tag** (Étiquette de nom) du groupe et une **Description** du groupe.
1. Sous **Source**, choisissez **Portée IPAM**.
1. Sous **Famille d'adresses**, sélectionnez **IPv6**.
1. Sous **Planification des ressources**, laissez sélectionné **Planifier l'espace IP dans la portée**. Pour plus d'informations sur l'utilisation de cette option pour planifier l'espace IP de sous-réseau dans un VPC, consultez [Didacticiel : Planifier l'espace d'adresse IP VPC pour les allocations IP de sous-réseau](tutorials-subnet-planning.md).
1. Sous**Locale** (paramètre régional), choisissez**Aucun**. Vous définirez les paramètres régionaux sur le groupe régional.
Le paramètre régional est la AWS région dans laquelle vous souhaitez que ce pool IPAM soit disponible pour les allocations. Par exemple, vous pouvez uniquement allouer un CIDR à un VPC à partir d'un groupe IPAM qui partage un paramètre régional avec la Région du VPC. Notez que lorsque vous avez choisi un paramètre régional pour un pool, vous ne pouvez pas le modifier. Si la région d'accueil de l'IPAM n'est pas disponible en raison d'une panne et que les paramètres régionaux du groupe sont différents de ceux de la région d'accueil de l'IPAM, le groupe peut toujours être utilisé pour allouer des adresses IP.
**Note**
Si vous créez un groupe unique uniquement et non un groupe de niveau supérieur comportant des groupes régionaux, vous devez choisir un paramètre régional pour ce groupe afin que le groupe soit disponible pour les allocations.
1. Sous **Source IP publique**, **BYOIP** est sélectionné par défaut.
1. Sous **CIDRs provision**, effectuez l'une des opérations suivantes :
+ Si vous avez [vérifié le contrôle de votre domaine à l’aide d’un certificat X.509](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-cert), vous devez inclure le CIDR, le message BYOIP et la signature du certificat que vous avez créés lors de cette étape afin que nous puissions vérifier que vous contrôlez l’espace public.
+ Si vous avez [vérifié le contrôle de votre domaine avec un enregistrement DNS TXT](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-dns-txt), vous devez inclure le jeton de vérification CIDR et IPAM que vous avez créé dans cette étape afin que nous puissions vérifier que vous contrôlez l’espace public.
Notez que lorsque vous fournissez un IPv6 CIDR à un pool au sein du pool de niveau supérieur, la plage d' IPv6 adresses la plus spécifique que vous pouvez apporter est /48 pour celles CIDRs qui sont publiables et /60 pour CIDRs celles qui ne le sont pas.
**Important**
Bien que la plupart des approvisionnements soient effectués dans les deux heures, le processus d’allocation des plages qui peuvent être annoncées publiquement peut durer jusqu’à une semaine.
1. Laissez l’option **Configurer les paramètres des règles d’allocation de ce groupe** non sélectionnée.
1. (En option) Sélectionnez **Tags** (Étiquettes) pour le groupe.
1. Sélectionnez **Create pool** (Créer un groupe).
Vérifiez que ce CIDR a été provisionné avant de continuer. Vous pouvez voir l'état du provisionnement dans l'**CIDRs**onglet de la page de détails du pool.
## Étape 2. Création d'un groupe régional dans le groupe de niveau supérieur
Création d'un groupe régional dans le groupe de niveau supérieur Un paramètre régional est obligatoire sur le groupe ; il doit s'agir de l'une des Régions d'exploitation que vous avez configurées lors de la création de l'IPAM.
Cette étape doit être réalisée par le compte IPAM.
**Création d'un groupe dans un groupe de niveau supérieur**
1. Ouvrez la console IPAM à [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)l'adresse.
1. Dans le panneau de navigation, choisissez **Pools** (Groupes).
1. Par défaut, lorsque vous créez un groupe, la portée privée par défaut est sélectionnée. Si vous ne souhaitez pas utiliser la portée privée par défaut, dans le menu déroulant en haut du panneau de contenu, choisissez la portée que vous souhaitez utiliser. Pour plus d'informations sur les portées, consultez [Fonctionnement d'IPAM](how-it-works-ipam.md).
1. Sélectionnez **Create pool** (Créer un groupe).
1. (Facultatif) Ajoutez une valeur **Name tag** (Étiquette de nom) du groupe et une description du groupe.
1. Sous **Source**, sélectionnez le groupe de niveau supérieur que vous avez créé dans la section précédente.
1. Sous **Planification des ressources**, laissez sélectionné **Planifier l'espace IP dans la portée**. Pour plus d'informations sur l'utilisation de cette option pour planifier l'espace IP de sous-réseau dans un VPC, consultez [Didacticiel : Planifier l'espace d'adresse IP VPC pour les allocations IP de sous-réseau](tutorials-subnet-planning.md).
1. Choisissez les paramètres régionaux du groupe. La sélection d'un paramètre régional garantit qu'il n'y a aucune dépendance régionale entre votre groupe et les ressources qui y sont allouées. Les options disponibles proviennent des Régions d'exploitation que vous avez sélectionnées lors de la création de votre IPAM. Dans ce didacticiel, nous allons utiliser `us-east-2`comme paramètre régional pour le groupe régional.
Le paramètre régional est la AWS région dans laquelle vous souhaitez que ce pool IPAM soit disponible pour les allocations. Par exemple, vous pouvez uniquement allouer un CIDR à un VPC à partir d'un groupe IPAM qui partage un paramètre régional avec la Région du VPC. Notez que lorsque vous avez choisi un paramètre régional pour un pool, vous ne pouvez pas le modifier. Si la région d'accueil de l'IPAM n'est pas disponible en raison d'une panne et que les paramètres régionaux du groupe sont différents de ceux de la région d'accueil de l'IPAM, le groupe peut toujours être utilisé pour allouer des adresses IP.
1. Sous **Service**, choisissez **EC2 (EIP/VPC)**. Le service que vous sélectionnez détermine le AWS service pour lequel le CIDR sera publicisé. Actuellement, la seule option est **EC2 (EIP/VPC)**, ce qui signifie que les CIDR alloués à partir de ce pool seront publicisés pour le service Amazon EC2 et le service Amazon VPC (pour associé à). CIDRs VPCs
1. Sous **CIDRs provisionnement**, choisissez un CIDR à provisionner pour le pool. Notez que lorsque vous fournissez un IPv6 CIDR à un pool au sein du pool de niveau supérieur, la plage d' IPv6 adresses la plus spécifique que vous pouvez apporter est /48 pour celles CIDRs qui sont publiables et /60 pour CIDRs celles qui ne le sont pas.
1. Activez **Configurer les paramètres des règles d’allocation de ce groupe** et choisissez des règles d’allocation facultatives pour ce groupe :
+ **Importer automatiquement les ressources découvertes** : cette option n'est pas disponible si la valeur **Locale** (Paramètre régional) est définie sur **None** (Aucun). Si cette option est sélectionnée, IPAM recherchera en permanence les ressources dans la plage CIDR de ce groupe et les importera automatiquement sous forme d'allocations dans votre IPAM. Notez ce qui suit :
+ Les ressources CIDRs qui seront allouées à ces ressources ne doivent pas déjà être allouées à d'autres ressources pour que l'importation réussisse.
+ IPAM importera un CIDR indépendamment de sa conformité avec les règles d'allocation du groupe, de sorte qu'une ressource puisse être importée puis marquée comme non conforme.
+ Si IPAM en découvre plusieurs CIDRs qui se chevauchent, IPAM n'importera que le plus grand CIDR.
+ Si IPAM en découvre plusieurs CIDRs avec correspondance CIDRs, IPAM n'en importera qu'une seule au hasard.
+ **Longueur minimale du masque réseau** : la longueur minimale du masque réseau requise pour que les allocations CIDR dans ce groupe IPAM soient conformes et le bloc d'adresse CIDR de la plus grande taille pouvant être alloué à partir du groupe. La longueur minimale du masque réseau doit être inférieure à la longueur maximale du masque réseau. Les longueurs de masque réseau possibles pour les IPv4 adresses sont les suivantes `0` : -`32`. Les longueurs de masque réseau possibles pour les IPv6 adresses sont les suivantes `0` : -`128`.
+ **Longueur du masque réseau par défaut** : longueur de masque réseau par défaut pour les allocations ajoutées à ce groupe.
+ **Longueur maximale du masque réseau** : longueur maximale du masque réseau requise pour les allocations CIDR dans ce groupe. Cette valeur dicte le bloc d'adresse CIDR de la plus petite taille pouvant être alloué à partir du groupe. Assurez-vous que cette valeur est minimale**/48**.
+ **Exigences d'étiquette** : étiquettes requises pour que les ressources allouent de l'espace à partir du groupe. Si les étiquettes des ressources ont été modifiées après l'allocation de l'espace ou si les règles d'étiquette des allocations sont modifiées sur le groupe, la ressource peut être marquée comme non conforme.
+ **Paramètres régionaux** : paramètres régionaux qui seront requis pour les ressources utilisées CIDRs à partir de ce pool. Les ressources importées automatiquement qui ne possèdent pas ces paramètres régionaux seront marquées non conformes. Les ressources qui ne sont pas automatiquement importées dans le groupe ne seront pas autorisées à allouer de l'espace à partir du groupe à moins qu'elles ne se trouvent dans ces paramètres régionaux.
1. (Facultatif) Choisissez **Tags** (Étiquettes) pour le groupe.
1. Lorsque vous avez fini de configurer votre groupe, choisissez **Create pool** (Créer un groupe).
Vérifiez que ce CIDR a été provisionné avant de continuer. Vous pouvez voir l'état du provisionnement dans l'**CIDRs**onglet de la page de détails du pool.
## Étape 3. Partager le groupe régional
Suivez les étapes décrites dans cette section pour partager le pool IPAM à l'aide de AWS Resource Access Manager (RAM).
### Activer le partage des ressources dans AWS RAM
Après avoir créé votre IPAM, partagez le groupe régional avec d'autres comptes de votre organisation. Avant de partager un pool IPAM, suivez les étapes décrites dans cette section pour activer le partage de ressources avec AWS RAM. Si vous utilisez le AWS CLI pour activer le partage des ressources, utilisez l'`--profile management-account`option.
**Pour activer le partage des ressources**
1. À l'aide du compte AWS Organizations de gestion, ouvrez la AWS RAM console à l'adresse [https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/).
1. Dans le volet de navigation de gauche, choisissez **Paramètres**, sélectionnez **Activer le partage avec AWS Organizations**, puis sélectionnez **Enregistrer les paramètres**.
Vous pouvez désormais partager un groupe IPAM avec d'autres membres de l'organisation.
### Partagez un pool IPAM à l'aide de AWS RAM
Dans cette section, vous allez partager le pool régional avec un autre compte AWS Organizations membre. Pour obtenir des instructions complètes sur le partage de groupes IPAM, y compris des informations sur les autorisations IAM requises, consultez [Partage d'un groupe IPAM à l'aide d'AWS RAM](share-pool-ipam.md). Si vous utilisez le AWS CLI pour activer le partage des ressources, utilisez l'`--profile ipam-account`option.
**Pour partager un pool IPAM à l'aide de AWS RAM**
1. À l'aide du compte administrateur IPAM, ouvrez la console IPAM à l'adresse. [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)
1. Dans le panneau de navigation, choisissez **Pools** (Groupes).
1. Choisissez le périmètre privé, choisissez le groupe IPAM, puis choisissez **Actions** > **Afficher les détails**.
1. Sous **Resource sharing** (Partage de ressources), sélectionnez **Create resource share** (Créer un partage de ressources). La AWS RAM console s'ouvre. Vous partagez le pool en utilisant AWS RAM.
1. Sélectionnez **Create a resource share** (Créer un partage de ressources).
1. Dans la AWS RAM console, choisissez à nouveau **Créer un partage de ressources**.
1. Ajoutez un **Nom** pour la ressource partagée.
1. Sous **Sélectionner le type de ressource**, choisissez **Groupes IPAM,** puis choisissez l’ARN du groupe que vous souhaitez partager.
1. Choisissez **Suivant**.
1. Choisissez l'**AWSRAMPermissionIpamPoolByoipCidrImport**autorisation. Les détails des options d'autorisation ne sont pas abordés dans ce didacticiel, mais vous pouvez en savoir plus sur ces options dans [Partage d'un groupe IPAM à l'aide d'AWS RAM](share-pool-ipam.md).
1. Choisissez **Suivant**.
1. Dans **Principaux** > **Sélectionner le type de principal**, choisissez **Compte AWS **, saisissez l'ID du compte qui transmettra une plage d'adresses IP à IPAM, puis choisissez **Ajouter**.
1. Choisissez **Suivant**.
1. Examinez les options de partage de ressources et les principaux avec lesquels vous procéderez au partage, puis sélectionnez **Créer**.
1. Pour autoriser le compte **member-account** à allouer les CIDR de l’adresse IP à partir du groupe IPAM, créez un deuxième partage de ressources avec `AWSRAMDefaultPermissionsIpamPool`. La valeur pour `--resource-arns` est l'ARN du groupe IPAM que vous avez créé dans la section précédente. La valeur de `--principals` est l’ID de compte du **member-account**. La valeur pour `--permission-arns` est l'ARN de l'autorisation `AWSRAMDefaultPermissionsIpamPool`.
## Étape 4 : création d'un VPC
Suivez les étapes décrites dans la section [Create a VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) du *Guide d’utilisation d’Amazon VPC*.
Cette étape doit être effectuée par le compte membre.
**Note**
Lorsque vous ouvrez un VPC dans la console de AWS gestion, la AWS région dans laquelle vous créez le VPC doit correspondre à l'`Locale`option que vous avez choisie lors de la création du pool qui sera utilisé pour le CIDR BYOIP.
Lorsque vous arrivez à l'étape du choix de CIDR pour le VPC, vous aurez la possibilité d'utiliser un CIDR à partir d'un groupe IPAM. Choisissez le groupe régional que vous avez créé dans ce didacticiel.
Lorsque vous créez le VPC, AWS alloue un CIDR dans le pool IPAM au VPC. Vous pouvez afficher l'allocation dans IPAM en choisissant un groupe dans le panneau de contenu de la console IPAM et en affichant l'onglet **Allocations** du groupe.
## Étape 5 : publication du CIDR
Les étapes de cette section doivent être réalisées par le compte IPAM. Une fois que vous avez créé le VPC, vous pouvez commencer à annoncer le CIDR que vous avez apporté et AWS qui se trouve dans le pool sur lequel le **Service EC2 (**EIP/VPC) est configuré. Dans ce didacticiel, il s'agit de votre groupe régional. Par défaut, le CIDR n'est pas publié, ce qui signifie qu'il n'est pas accessible publiquement sur Internet.
Cette étape doit être réalisée par le compte IPAM.
**Pour publier le CIDR**
1. Ouvrez la console IPAM à [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)l'adresse.
1. Dans le panneau de navigation, choisissez **Pools** (Groupes).
1. Par défaut, lorsque vous créez un groupe, la portée privée par défaut est sélectionnée. Choisissez la portée Public. Pour plus d'informations sur les portées, consultez [Fonctionnement d'IPAM](how-it-works-ipam.md).
1. Choisissez le groupe régional que vous avez créé dans ce didacticiel.
1. Cliquez sur l'onglet **CIDRs**.
1. Sélectionnez le CIDR BYOIP et cliquez sur **Actions** >**Publicité**.
1. Cliques sur **Publicité CIDR**.
Par conséquent, le CIDR BYOIP est annoncé et la valeur dans la colonne **Publicité** passe de**Retiré** à **Annoncé**.
## Étape 6 : nettoyage
Suivez les étapes de cette section pour nettoyer les ressources que vous avez provisionnées et créées dans ce tutoriel.
**Étape 1 : Retirez le CIDR de la publicité**
Cette étape doit être réalisée par le compte IPAM.
1. Ouvrez la console IPAM à [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)l'adresse.
1. Dans le panneau de navigation, choisissez **Pools** (Groupes).
1. Par défaut, lorsque vous créez un groupe, la portée privée par défaut est sélectionnée. Choisissez la portée Public.
1. Choisissez le groupe régional que vous avez créé dans ce didacticiel.
1. Cliquez sur l'onglet **CIDRs**.
1. Sélectionnez le CIDR BYOIP et cliquez sur **Actions** >**Enlever de la publicité**.
1. Cliquez sur **Enlever CIDR**.
Par conséquent, le CIDR BYOIP n’est plus annoncé et la valeur dans la colonne **Publicité** passe de**Annoncé** à **Retiré**.
**Étape 2 : Supprimer le VPC.**
Cette étape doit être effectuée par le compte membre.
+ Suivez les étapes décrites dans la section [Delete a VPC](https://docs.aws.amazon.com/vpc/latest/userguide/delete-vpc.html) du *Guide d’utilisation d’Amazon VPC* pour supprimer le VPC. Lorsque vous ouvrez un VPC dans la console de AWS gestion, la AWS région dans laquelle le VPC est supprimé doit correspondre à l'`Locale`option que vous avez choisie lors de la création du pool qui sera utilisé pour le CIDR BYOIP. Dans ce didacticiel, il s'agit de votre groupe régional.
Lorsque vous supprimez le VPC, il faut du temps à IPAM pour découvrir que la ressource a été supprimée et pour décaler le CIDR alloué au VPC. Vous ne pouvez pas passer à l'étape suivante du nettoyage tant que l'IPAM n'a pas supprimé l'allocation du pool dans les détails du pool.**Allocations**onglet.
**Étape 3 : Supprimer les partages de RAM et désactiver l'intégration de la RAM avec AWS Organizations**
Cette étape doit être effectuée par le compte IPAM et le compte de gestion respectivement.
+ Suivez les étapes décrites dans les [sections Suppression d'un partage de ressources dans la AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-delete.html) et [Désactivation du partage de ressources avec AWS les organisations](https://docs.aws.amazon.com/ram/latest/userguide/security-disable-sharing-with-orgs.html) dans le *guide de l'utilisateur de la AWS RAM*, dans cet ordre, pour supprimer les partages de RAM et désactiver l'intégration de la RAM avec AWS les organisations.
**Étape 4 : Déprovisionner le CIDRs pool régional et le pool de niveau supérieur**
Cette étape doit être réalisée par le compte IPAM.
+ Effectuez les étapes [Déprovisionnement CIDRs depuis un pool](depro-pool-cidr-ipam.md) pour déprovisionner le CIDRs pool régional puis le pool de niveau supérieur, dans cet ordre.
**Étape 5 : Supprimer le groupe régional et le groupe de niveau supérieur**
Cette étape doit être réalisée par le compte IPAM.
+ Suivez les étapes de [Suppression d'un groupe](delete-pool-ipam.md)pour supprimer le groupe régional et ensuite le groupe de niveau supérieur, dans cet ordre.
# Apportez votre propre CIDR IP sur IPAM en utilisant uniquement laAWSCLI
Intégrer votre propre adresse IP (BYOIP) à IPAM vous permet d’utiliser les plages d’adresses IPv4 et IPv6 existantes de votre organisation dans AWS. Vous pouvez ainsi maintenir une image de marque cohérente, améliorer les performances du réseau, renforcer la sécurité et simplifier la gestion en unifiant les environnements sur site et en nuage sous votre propre espace d’adresses IP.
Suivez ces étapes pour apporter un CIDR IPv4 ou IPv6 à IPAM à l’aide de la AWS CLI uniquement.
**Note**
Avant de commencer, vous devez disposer d’un [contrôle de domaine vérifié](tutorials-byoip-ipam-domain-verification-methods.md).
Une fois que vous avez apporté une plage d’adresses IPv4 vers AWS, vous pouvez utiliser toutes les adresses IP de la plage, y compris la première adresse (adresse réseau) et la dernière adresse (adresse de diffusion).
**Topics**
+ [Apportez votre propre IPv4 CIDR public à IPAM en utilisant uniquement la CLI AWS](tutorials-byoip-ipam-ipv4.md)
+ [Apportez votre propre IPv6 CIDR à IPAM en utilisant uniquement la CLI AWS](tutorials-byoip-ipam-ipv6.md)
# Apportez votre propre IPv4 CIDR public à IPAM en utilisant uniquement la CLI AWS
Procédez comme suit pour transférer un IPv4 CIDR vers IPAM et attribuer une adresse IP élastique (EIP) au CIDR en utilisant uniquement le. AWS CLI
**Important**
Le didacticiel présume que vous ayez déjà effectué les étapes suivantes dans les sections suivantes :
[Intégration d'IPAM aux comptes d'une organisation AWS](enable-integ-ipam.md).
[Création d'un IPAM](create-ipam.md).
Chaque étape de ce didacticiel doit être effectuée par l'un des trois comptes AWS Organizations :
Le compte de gestion
Le compte de membre configuré pour être votre administrateur IPAM dans[Intégration d'IPAM aux comptes d'une organisation AWS](enable-integ-ipam.md). Dans ce tutoriel, ce compte sera appelé compte IPAM.
Le compte membre de votre organisation qui sera alloué CIDRs à partir d'un pool IPAM. Dans ce tutoriel, ce compte sera appelé compte IPAM.
**Topics**
+ [Étape 1 : Création de profils AWS CLI nommés et de rôles IAM](#tutorials-create-profiles)
+ [Étape 2 : création d'un IPAM](#tutorials-byoip-ipam-ipv4-2)
+ [Étape 3 : Création d'un groupe IPAM de niveau supérieur](#tutorials-byoip-ipam-ipv4-3)
+ [Étape 4 : approvisionnement d'un CIDR au groupe de niveau supérieur](#tutorials-byoip-ipam-ipv4-4)
+ [Étape 5 : Création d'un groupe régional dans le groupe de niveau supérieur](#tutorials-byoip-ipam-ipv4-5)
+ [Étape 6 : approvisionnement d'un CIDR au groupe régional](#tutorials-byoip-ipam-ipv4-6)
+ [Étape 7 : publication du CIDR](#tutorials-byoip-ipam-ipv4-11)
+ [Étape 8 : partager le groupe régional](#tutorials-byoip-ipam-ipv4-console-4-deux)
+ [Étape 9 : allocation d’une adresse IP Elastic à partir du groupe](#tutorials-byoip-ipam-ipv4-console-cli-all-eip)
+ [Étape 10 : association de l’adresse IP Elastic à une instance EC2](#tutorials-byoip-ipam-ipv4-console-cli-assoc-eip)
+ [Étape 11 : nettoyage](#tutorials-byoip-ipam-ipv4-cli-cleanup)
+ [Alternative à l’étape 9](#tutorials-byoip-ipam-ipv4-cli-alt)
## Étape 1 : Création de profils AWS CLI nommés et de rôles IAM
Pour suivre ce didacticiel en tant qu' AWS utilisateur unique, vous pouvez utiliser des profils AWS CLI nommés pour passer d'un rôle IAM à un autre. Les [profils nommés](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-using-profiles) sont des ensembles de paramètres et d'informations d'identification auxquels vous vous référez lorsque vous utilisez l'option `--profile` associée à l' AWS CLI. Pour plus d'informations sur la création de rôles IAM et de profils nommés pour les AWS comptes, consultez la section [Utilisation d'un rôle IAM dans le](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html). AWS CLI
Créez un rôle et un profil nommé pour chacun des trois AWS comptes que vous utiliserez dans ce didacticiel :
+ Un profil appelé le compte `management-account` de gestion des AWS Organizations.
+ Un profil appelé `ipam-account` pour le compte membre AWS des Organizations configuré pour être votre administrateur IPAM.
+ Un profil appelait `member-account` le compte membre AWS Organizations de votre organisation, qui sera alloué CIDRs à partir d'un pool IPAM.
Une fois que vous avez créé les rôles IAM et les profils nommés, revenez à cette page et passez à l'étape suivante. Vous remarquerez dans le reste de ce didacticiel que les exemples de AWS CLI commandes utilisent l'`--profile`option avec l'un des profils nommés pour indiquer quel compte doit exécuter la commande.
## Étape 2 : création d'un IPAM
Cette étape est facultative. Si vous avez déjà créé un IPAM avec les Régions d'exploitation de `us-east-1` et `us-west-2` créées, vous pouvez ignorer cette étape. Créez un IPAM et spécifiez une Région d'exploitation de `us-east-1` et `us-west-2`. Vous devez sélectionner une Région d'exploitation pour pouvoir utiliser l'option des paramètres régionaux lorsque vous créez votre groupe IPAM. L'intégration IPAM avec BYOIP nécessite que les paramètres régionaux soient définis sur le groupe utilisé pour le CIDR BYOIP.
Cette étape doit être réalisée par le compte IPAM.
Exécutez la commande suivante :
```
aws ec2 create-ipam --description my-ipam --region us-east-1 --operating-regions RegionName=us-west-2 --profile ipam-account
```
Dans la sortie, vous verrez l'IPAM que vous avez créé. Provisionnez un bloc d'adresse CIDR au groupe de niveau supérieur. Vous aurez besoin de votre ID de portée publique à l'étape suivante. Vous utilisez le champ public car les BYOIP CIDRs sont des adresses IP publiques, ce à quoi le champ public est destiné.
```
{
"Ipam": {
"OwnerId": "123456789012",
"IpamId": "ipam-090e48e75758de279",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"PublicDefaultScopeId": "ipam-scope-0087d83896280b594",
"PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",
"ScopeCount": 2,
"Description": "my-ipam",
"OperatingRegions": [
{
"RegionName": "us-east-1"
},
{
"RegionName": "us-west-2"
}
],
"Tags": []
}
}
```
## Étape 3 : Création d'un groupe IPAM de niveau supérieur
Suivez les étapes de cette section pour créer un groupe IPAM de niveau supérieur.
Cette étape doit être réalisée par le compte IPAM.
**Pour créer un pool d' IPv4 adresses pour toutes vos AWS ressources à l'aide du AWS CLI**
1. Exécutez la commande suivante pour créer un groupe IPAM. Utilisez l'ID de portée publique de l'IPAM que vous avez créé à l'étape précédente.
Cette étape doit être réalisée par le compte IPAM.
```
aws ec2 create-ipam-pool --region us-east-1 --ipam-scope-id ipam-scope-0087d83896280b594 --description "top-level-IPv4-pool" --address-family ipv4 --profile ipam-account
```
Dans la sortie, vous verrez apparaître `create-in-progress`, qui indique que la création du groupe est en cours.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "None",
"PoolDepth": 1,
"State": "create-in-progress",
"Description": "top-level-pool",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": []
}
}
```
1. Exécutez la commande suivante jusqu'à ce que l'état `create-complete` apparaisse dans la sortie.
```
aws ec2 describe-ipam-pools --region us-east-1 --profile ipam-account
```
L'exemple de sortie suivant illustre l'état du groupe.
```
{
"IpamPools": [
{
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "None",
"PoolDepth": 1,
"State": "create-complete",
"Description": "top-level-IPV4-pool",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": []
}
]
}
```
## Étape 4 : approvisionnement d'un CIDR au groupe de niveau supérieur
Allouez un bloc d'adresse CIDR au groupe de niveau supérieur. Notez que lors du provisionnement d'un IPv4 CIDR vers un pool au sein du pool de niveau supérieur, le IPv4 CIDR minimum que vous pouvez provisionner est le suivant `/24` ; les informations plus spécifiques CIDRs (telles que`/25`) ne sont pas autorisées.
**Note**
Si vous avez [vérifié le contrôle de votre domaine à l’aide d’un certificat X.509](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-cert), vous devez inclure le CIDR, le message BYOIP et la signature du certificat que vous avez créés lors de cette étape afin que nous puissions vérifier que vous contrôlez l’espace public.
Si vous avez [vérifié le contrôle de votre domaine avec un enregistrement DNS TXT](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-dns-txt), vous devez inclure le jeton de vérification CIDR et IPAM que vous avez créé dans cette étape afin que nous puissions vérifier que vous contrôlez l’espace public.
Vous devez uniquement vérifier le contrôle du domaine lorsque vous provisionnez le CIDR BYOIP au groupe de niveau supérieur. Pour le groupe régional au sein du groupe de niveau supérieur, vous pouvez omettre l’option de vérification de la propriété du domaine.
Cette étape doit être réalisée par le compte IPAM.
**Important**
Vous devez uniquement vérifier le contrôle du domaine lorsque vous provisionnez le CIDR BYOIP au groupe de niveau supérieur. Pour le groupe régional au sein du groupe de niveau supérieur, vous pouvez omettre l’option de contrôle de domaine. Une fois que vous avez intégré votre BYOIP à IPAM, vous n'êtes pas obligé d'effectuer une validation de propriété lorsque vous divisez le BYOIP entre les Régions et les comptes.
**Pour fournir un bloc CIDR au pool à l'aide du AWS CLI**
1. Pour fournir au CIDR des informations de certificat, utilisez l’exemple de commande suivant. En plus de remplacer les valeurs selon les besoins dans l’exemple, assurez-vous de remplacer les valeurs `Message` et `Signature` par les valeurs `text_message` et `signed_message` que vous avez saisies dans [Vérifiez votre domaine avec un certificat X.509](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-cert).
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --cidr 130.137.245.0/24 --verification-method remarks-x509 --cidr-authorization-context Message="1|aws|470889052444|130.137.245.0/24|20250101|SHA256|RSAPSS",Signature="W3gdQ9PZHLjPmrnGM~cvGx~KCIsMaU0P7ENO7VRnfSuf9NuJU5RUveQzus~QmF~Nx42j3z7d65uyZZiDRX7KMdW4KadaLiClyRXN6ps9ArwiUWSp9yHM~U-hApR89Kt6GxRYOdRaNx8yt-uoZWzxct2yIhWngy-du9pnEHBOX6WhoGYjWszPw0iV4cmaAX9DuMs8ASR83K127VvcBcRXElT5URr3gWEB1CQe3rmuyQk~gAdbXiDN-94-oS9AZlafBbrFxRjFWRCTJhc7Cg3ASbRO-VWNci-C~bWAPczbX3wPQSjtWGV3k1bGuD26ohUc02o8oJZQyYXRpgqcWGVJdQ__" --profile ipam-account
```
Pour fournir au CIDR des informations sur les jetons de vérification, utilisez l’exemple de commande suivant. En plus de remplacer les valeurs comme nécessaire dans l’exemple, assurez-vous de remplacer `ipam-ext-res-ver-token-0309ce7f67a768cf0` par l’ID du jeton `IpamExternalResourceVerificationTokenId` que vous avez obtenu dans [Vérifiez votre domaine à l’aide d’un enregistrement DNS TXT](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-dns-txt).
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --cidr 130.137.245.0/24 --verification-method dns-token --ipam-external-resource-verification-token-id ipam-ext-res-ver-token-0309ce7f67a768cf0 --profile ipam-account
```
Dans la sortie, vous verrez le CIDR en attente d'approvisionnement.
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "pending-provision"
}
}
```
1. Vérifiez que ce CIDR a été provisionné avant de continuer.
**Important**
Bien que la plupart des approvisionnements soient effectués dans les deux heures, le processus d’allocation des plages qui peuvent être annoncées publiquement peut durer jusqu’à une semaine.
Exécutez la commande suivante jusqu'à ce que l'état `provisioned` apparaisse dans la sortie.
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --profile ipam-account
```
L'exemple de sortie suivant illustre l'état.
```
{
"IpamPoolCidrs": [
{
"Cidr": "130.137.245.0/24",
"State": "provisioned"
}
]
}
```
## Étape 5 : Création d'un groupe régional dans le groupe de niveau supérieur
Création d'un groupe régional dans le groupe de niveau supérieur
Les paramètres régionaux du groupe doivent être l’une des options suivantes :
+ AWS Région dans laquelle vous souhaitez que ce pool IPAM soit disponible pour des allocations.
+ Le groupe de bordure du réseau pour une zone AWS locale dans laquelle vous souhaitez que ce pool IPAM soit disponible pour des allocations ([zones locales prises en charge](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html#byoip-zone-avail)). Cette option n'est disponible que pour les IPv4 pools IPAM du périmètre public.
+ Une [zone locale AWS dédiée](https://aws.amazon.com/dedicatedlocalzones/). Pour créer un pool dans une zone locale AWS dédiée, entrez la zone locale AWS dédiée dans l'entrée du sélecteur.
+ `Global`lorsque vous souhaitez utiliser des adresses IP dans le monde entier dans toutes les AWS régions, telles que les CloudFront sites. La `Global` localisation n'est disponible que pour les IPv4 piscines publiques.
Par exemple, vous pouvez uniquement allouer un CIDR à un VPC à partir d'un groupe IPAM qui partage un paramètre régional avec la Région du VPC. Notez que lorsque vous avez choisi un paramètre régional pour un pool, vous ne pouvez pas le modifier. Si la région d'accueil de l'IPAM n'est pas disponible en raison d'une panne et que les paramètres régionaux du groupe sont différents de ceux de la région d'accueil de l'IPAM, le groupe peut toujours être utilisé pour allouer des adresses IP.
Lorsque vous exécutez les commandes dans cette section, la valeur de `--region` doit inclure l’option `--locale` que vous avez saisie lorsque vous avez créé le groupe qui sera utilisé pour le CIDR BYOIP. Par exemple, si vous avez créé le groupe BYOIP avec une locale *us-east-1*, le `--region` devrait être *us-east-1*. Si vous avez créé le groupe BYOIP avec une locale *us-east-1-scl-1* (un groupe de frontières réseau utilisé pour les zones locales), le `--region` devrait être *us-east-1*, car cette région gère la locale *us-east-1-scl-1*.
Cette étape doit être réalisée par le compte IPAM.
La sélection d'un paramètre régional garantit qu'il n'y a aucune dépendance régionale entre votre groupe et les ressources qui y sont allouées. Les options disponibles proviennent des Régions d'exploitation que vous avez sélectionnées lors de la création de votre IPAM. Dans ce didacticiel, nous allons utiliser `us-west-2`comme paramètre régional pour le groupe régional.
**Important**
Lorsque vous créez le groupe, vous devez inclure `--aws-service ec2`. Le service que vous sélectionnez détermine le AWS service pour lequel le CIDR sera publicisé. Actuellement, la seule option est la `ec2` suivante : les CIDR alloués à partir de ce pool seront publicisés pour le service Amazon EC2 (pour les adresses IP élastiques) et le service Amazon VPC (pour les adresses associées à). CIDRs VPCs
**Pour créer un pool régional à l'aide du AWS CLI**
1. Exécutez la commande suivante pour créer le groupe.
```
aws ec2 create-ipam-pool --description "Regional-IPv4-pool" --region us-east-1 --ipam-scope-id ipam-scope-0087d83896280b594 --source-ipam-pool-id ipam-pool-0a03d430ca3f5c035 --locale us-west-2 --address-family ipv4 --aws-service ec2 --profile ipam-account
```
Dans la sortie, vous verrez IPAM en cours de création du groupe.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0d8f3646b61ca5987",
"SourceIpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0d8f3646b61ca5987",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-west-2",
"PoolDepth": 2,
"State": "create-in-progress",
"Description": "Regional--pool",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": [],
"ServiceType": "ec2"
}
}
```
1. Exécutez la commande suivante jusqu'à ce que l'état de `create-complete` apparaisse dans la sortie.
```
aws ec2 describe-ipam-pools --region us-east-1 --profile ipam-account
```
Dans la sortie, vous verrez les groupes que vous avez dans votre IPAM. Dans ce tutoriel, nous avons créé un groupe de niveau supérieur et un groupe régional. Vous verrez donc les deux.
## Étape 6 : approvisionnement d'un CIDR au groupe régional
Provisionnez un bloc d'adresse CIDR au groupe régional.
**Note**
Lorsque vous fournissez un CIDR à un pool régional au sein du pool de niveau supérieur, le IPv4 CIDR le plus spécifique que vous puissiez provisionner est le suivant `/24` ; les informations plus spécifiques CIDRs (telles que`/25`) ne sont pas autorisées. Après avoir créé le groupe régional, vous pouvez créer des groupes plus petits (tels que `/25`) au sein du même groupe régional. Notez que si vous partagez le groupe régional ou les groupes qu’il contient, ces groupes ne peuvent être utilisés que dans les paramètres régionaux définis sur le même groupe régional.
Cette étape doit être réalisée par le compte IPAM.
**Pour attribuer un bloc CIDR au pool régional à l'aide du AWS CLI**
1. Exécutez la commande suivante pour provisionner le CIDR.
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --cidr 130.137.245.0/24 --profile ipam-account
```
Dans la sortie, vous verrez le CIDR en attente d'approvisionnement.
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "pending-provision"
}
}
```
1. Exécutez la commande suivante jusqu'à ce que l'état de `provisioned` apparaisse dans la sortie.
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
L'exemple de sortie suivant illustre le bon état.
```
{
"IpamPoolCidrs": [
{
"Cidr": "130.137.245.0/24",
"State": "provisioned"
}
]
}
```
## Étape 7 : publication du CIDR
Les étapes de cette section doivent être réalisées par le compte IPAM. Une fois que vous avez associé l'adresse IP élastique (EIP) à une instance ou à Elastic Load Balancer, vous pouvez commencer à annoncer le CIDR que vous avez apporté et qui AWS se trouve dans le pool défini. `--aws-service ec2` Dans ce didacticiel, il s'agit de votre groupe régional. Par défaut, le CIDR n'est pas publié, ce qui signifie qu'il n'est pas accessible publiquement sur Internet. Lorsque vous exécutez la commande dans cette section, la valeur de `--region` doit correspondre à l'option `--locale` que vous avez saisie lorsque vous avez créé le groupe qui sera utilisé pour le CIDR BYOIP.
Cette étape doit être réalisée par le compte IPAM.
**Note**
Le statut de la publicité ne limite pas votre capacité à attribuer des adresses IP Elastic. Même si votre BYOIPv4 CIDR n'est pas annoncé, vous pouvez toujours créer EIPs à partir du pool IPAM.
**Commencez à faire de la publicité pour le CIDR à l'aide du AWS CLI**
+ Exécutez la commande suivante pour publier le CIDR.
```
aws ec2 advertise-byoip-cidr --region us-west-2 --cidr 130.137.245.0/24 --profile ipam-account
```
Dans la sortie, vous verrez que le CIDR est publié.
```
{
"ByoipCidr": {
"Cidr": "130.137.245.0/24",
"State": "advertised"
}
}
```
## Étape 8 : partager le groupe régional
Suivez les étapes décrites dans cette section pour partager le pool IPAM à l'aide de AWS Resource Access Manager (RAM).
### Activer le partage des ressources dans AWS RAM
Après avoir créé votre IPAM, partagez le groupe régional avec d'autres comptes de votre organisation. Avant de partager un pool IPAM, suivez les étapes décrites dans cette section pour activer le partage de ressources avec AWS RAM. Si vous utilisez le AWS CLI pour activer le partage des ressources, utilisez l'`--profile management-account`option.
**Pour activer le partage des ressources**
1. À l'aide du compte AWS Organizations de gestion, ouvrez la AWS RAM console à l'adresse [https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/).
1. Dans le volet de navigation de gauche, choisissez **Paramètres**, sélectionnez **Activer le partage avec AWS Organizations**, puis sélectionnez **Enregistrer les paramètres**.
Vous pouvez désormais partager un groupe IPAM avec d'autres membres de l'organisation.
### Partagez un pool IPAM à l'aide de AWS RAM
Dans cette section, vous allez partager le pool régional avec un autre compte AWS Organizations membre. Pour obtenir des instructions complètes sur le partage de groupes IPAM, y compris des informations sur les autorisations IAM requises, consultez [Partage d'un groupe IPAM à l'aide d'AWS RAM](share-pool-ipam.md). Si vous utilisez le AWS CLI pour activer le partage des ressources, utilisez l'`--profile ipam-account`option.
**Pour partager un pool IPAM à l'aide de AWS RAM**
1. À l'aide du compte administrateur IPAM, ouvrez la console IPAM à l'adresse. [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)
1. Dans le panneau de navigation, choisissez **Pools** (Groupes).
1. Choisissez le périmètre privé, choisissez le groupe IPAM, puis choisissez **Actions** > **Afficher les détails**.
1. Sous **Resource sharing** (Partage de ressources), sélectionnez **Create resource share** (Créer un partage de ressources). La AWS RAM console s'ouvre. Vous partagez le pool en utilisant AWS RAM.
1. Sélectionnez **Create a resource share** (Créer un partage de ressources).
1. Dans la AWS RAM console, choisissez à nouveau **Créer un partage de ressources**.
1. Ajoutez un **Nom** pour la ressource partagée.
1. Sous **Sélectionner le type de ressource**, choisissez **Groupes IPAM,** puis choisissez l’ARN du groupe que vous souhaitez partager.
1. Choisissez **Suivant**.
1. Choisissez l'**AWSRAMPermissionIpamPoolByoipCidrImport**autorisation. Les détails des options d'autorisation ne sont pas abordés dans ce didacticiel, mais vous pouvez en savoir plus sur ces options dans [Partage d'un groupe IPAM à l'aide d'AWS RAM](share-pool-ipam.md).
1. Choisissez **Suivant**.
1. Dans **Principaux** > **Sélectionner le type de principal**, choisissez **Compte AWS **, saisissez l'ID du compte qui transmettra une plage d'adresses IP à IPAM, puis choisissez **Ajouter**.
1. Choisissez **Suivant**.
1. Examinez les options de partage de ressources et les principaux avec lesquels vous procéderez au partage, puis sélectionnez **Créer**.
1. Pour autoriser le compte **member-account** à allouer les CIDR de l’adresse IP à partir du groupe IPAM, créez un deuxième partage de ressources avec `AWSRAMDefaultPermissionsIpamPool`. La valeur pour `--resource-arns` est l'ARN du groupe IPAM que vous avez créé dans la section précédente. La valeur de `--principals` est l’ID de compte du **member-account**. La valeur pour `--permission-arns` est l'ARN de l'autorisation `AWSRAMDefaultPermissionsIpamPool`.
## Étape 9 : allocation d’une adresse IP Elastic à partir du groupe
Suivez les étapes de cette section pour allouer une adresse IP Elastic à partir du groupe. Notez que si vous utilisez des IPv4 pools publics pour allouer des adresses IP élastiques, vous pouvez utiliser les étapes alternatives [Alternative à l’étape 9](#tutorials-byoip-ipam-ipv4-cli-alt) plutôt que celles de cette section.
**Important**
Si vous voyez une erreur liée au fait que vous ne disposez pas des autorisations nécessaires pour appeler ec2 :AllocateAddress, l'autorisation gérée actuellement attribuée au pool IPAM qui a été partagé avec vous doit être mise à jour. Contactez la personne qui a créé le partage de ressources et demandez-lui de mettre à jour l’autorisation gérée `AWSRAMPermissionIpamResourceDiscovery` vers la version par défaut. Pour de plus amples informations, consultez [Mettre à jour un partage de ressources](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-update.html) dans le *Guide de l'utilisateur AWS RAM *.
------
#### [ AWS Management Console ]
Suivez les étapes décrites dans la section [Allouer une adresse IP Elastic](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-allocating) dans le *Guide de l’utilisateur Amazon EC2* pour attribuer l’adresse, mais notez ce qui suit :
+ Cette étape doit être effectuée par le compte membre.
+ Assurez-vous que la AWS région dans laquelle vous vous trouvez dans la console EC2 correspond à l'option locale que vous avez choisie lors de la création du pool régional.
+ Lorsque vous choisissez le pool d'adresses, choisissez l'option **Allouer à l'aide d'un pool IPv4 IPAM** et choisissez le pool régional que vous avez créé.
------
#### [ Command line ]
Allouez une adresse depuis le groupe à l’aide de la commande [allocate-address](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/allocate-address.html). L’option `--region` utilisée doit correspondre à l’option `-locale` que vous avez choisie lors de la création du groupe à l’étape 2. Incluez l’ID du groupe IPAM que vous avez créé à l’étape 2 dans `--ipam-pool-id`. En option, vous pouvez également choisir un élément spécifique `/32` dans votre groupe IPAM en utilisant l’option `--address`.
```
aws ec2 allocate-address --region us-east-1 --ipam-pool-id ipam-pool-07ccc86aa41bef7ce
```
Exemple de réponse :
```
{
"PublicIp": "18.97.0.41",
"AllocationId": "eipalloc-056cdd6019c0f4b46",
"PublicIpv4Pool": "ipam-pool-07ccc86aa41bef7ce",
"NetworkBorderGroup": "us-east-1",
"Domain": "vpc"
}
```
Pour plus d’informations, veuillez consulter la rubrique [Attribuer une adresse IP Elastic](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-allocating) dans le *Guide de l’utilisateur Amazon EC2*.
------
## Étape 10 : association de l’adresse IP Elastic à une instance EC2
Suivez les étapes de cette section pour association de l’adresse IP Elastic à une instance EC2.
------
#### [ AWS Management Console ]
Suivez les étapes décrites dans [Associer une adresse IP élastique](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-associating) dans le *guide de l'utilisateur Amazon EC2* pour attribuer une adresse IP élastique à partir du pool IPAM, mais notez ce qui suit : lorsque vous utilisez l'option AWS Management Console, la AWS région à laquelle vous associez l'adresse IP élastique doit correspondre à l'option locale que vous avez choisie lors de la création du pool régional.
Cette étape doit être effectuée par le compte membre.
------
#### [ Command line ]
Cette étape doit être effectuée par le compte membre. Utilisez l'option `--profile member-account`.
Utilisez la commande [associate-address](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/allocate-address.html) pour associer une adresse IP Elastic à une instance. L’option `--region` à laquelle vous associez l’adresse IP Elastic doit correspondre à l’option `--locale` que vous avez choisie lors de la création du groupe régional.
```
aws ec2 associate-address --region us-east-1 --instance-id i-07459a6fca5b35823 --public-ip 18.97.0.41
```
Exemple de réponse :
```
{
"AssociationId": "eipassoc-06aa85073d3936e0e"
}
```
Pour plus d’informations, voir [Associer une adresse IP Elastic à une instance ou à une interface réseau](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-associating) dans le *Guide de l’utilisateur Amazon EC2*.
------
## Étape 11 : nettoyage
Suivez les étapes de cette section pour nettoyer les ressources que vous avez provisionnées et créées dans ce tutoriel. Lorsque vous exécutez les commandes dans cette section, la valeur de `--region` doit inclure l’option `--locale` que vous avez saisie lorsque vous avez créé le groupe qui sera utilisé pour le CIDR BYOIP.
**Nettoyez à l'aide du AWS CLI**
1. Affichez l'allocation EIP gérée dans IPAM.
Cette étape doit être réalisée par le compte IPAM.
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
La sortie affiche l'allocation dans IPAM.
```
{
"IpamPoolAllocations": [
{
"Cidr": "130.137.245.0/24",
"IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc45",
"ResourceId": "ipv4pool-ec2-0019eed22a684e0b2",
"ResourceType": "ec2-public-ipv4-pool",
"ResourceOwner": "123456789012"
}
]
}
```
1. Arrêtez de faire de la publicité pour le IPv4 CIDR.
Cette étape doit être réalisée par le compte IPAM.
```
aws ec2 withdraw-byoip-cidr --region us-west-2 --cidr 130.137.245.0/24 --profile ipam-account
```
Dans la sortie, vous verrez que l'état du CIDR est passé de **advertised** (publié) à **provisioned**(provisionné).
```
{
"ByoipCidr": {
"Cidr": "130.137.245.0/24",
"State": "provisioned"
}
}
```
1. Libérez les adresses IP Elastic.
Cette étape doit être effectuée par le compte membre.
```
aws ec2 release-address --region us-west-2 --allocation-id eipalloc-0db3405026756dbf6 --profile member-account
```
Vous ne verrez aucune sortie lorsque vous exécutez cette commande.
1. Affichez l'allocation EIP qui n’est plus gérée dans IPAM. IPAM peut prendre un certain temps afin de déterminer que l'adresse IP Elastic a été supprimée. Vous ne pouvez pas continuer à nettoyer et à désactiver le CIDR du groupe IPAM tant que vous ne voyez pas que l'allocation a été supprimée d'IPAM. Lorsque vous exécutez la commande dans cette section, la valeur de `--region` doit correspondre à l’option `--locale` que vous avez saisie lorsque vous avez créé le groupe qui sera utilisé pour le CIDR BYOIP.
Cette étape doit être réalisée par le compte IPAM.
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
La sortie affiche l'allocation dans IPAM.
```
{
"IpamPoolAllocations": []
}
```
1. Désapprovisionnez le CIDR du groupe régional. Lorsque vous exécutez les commandes de cette étape, la valeur de `--region` doit correspondre à la Région de votre IPAM.
Cette étape doit être réalisée par le compte IPAM.
```
aws ec2 deprovision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --cidr 130.137.245.0/24 --profile ipam-account
```
Dans la sortie, vous verrez le CIDR en attente de désapprovisionnement.
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "pending-deprovision"
}
}
```
Le désaprovisionnement prend un certain temps. Vérifiez le statut du désaprovisionnement.
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
Attendez de voir l'état **désaprovisionné** avant de passer à l'étape suivante.
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "deprovisioned"
}
}
```
1. Supprimez les partages RAM et désactivez l'intégration de la RAM avec AWS Organizations. Suivez les étapes décrites dans les [sections Suppression d'un partage de ressources dans la AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-delete.html) et [Désactivation du partage de ressources avec AWS les organisations](https://docs.aws.amazon.com/ram/latest/userguide/security-disable-sharing-with-orgs.html) dans le *guide de l'utilisateur de la AWS RAM*, dans cet ordre, pour supprimer les partages de RAM et désactiver l'intégration de la RAM avec AWS les organisations.
Cette étape doit être effectuée par le compte IPAM et le compte de gestion respectivement. Si vous utilisez le AWS CLI pour supprimer les partages de RAM et désactiver l'intégration de RAM, utilisez les ` --profile management-account` options ` --profile ipam-account` et.
1. Supprimer le groupe régional. Lorsque vous exécutez la commande dans cette étape, la valeur de `--region` doit correspondre à la Région de votre IPAM.
Cette étape doit être réalisée par le compte IPAM.
```
aws ec2 delete-ipam-pool --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
Dans la sortie, vous pouvez voir l'état de suppression.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0d8f3646b61ca5987",
"SourceIpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0d8f3646b61ca5987",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-east-1",
"PoolDepth": 2,
"State": "delete-in-progress",
"Description": "reg-ipv4-pool",
"AutoImport": false,
"Advertisable": true,
"AddressFamily": "ipv4"
}
}
```
1. Désapprovisionnez le CIDR du groupe de niveau supérieur. Lorsque vous exécutez les commandes de cette étape, la valeur de `--region` doit correspondre à la Région de votre IPAM.
Cette étape doit être réalisée par le compte IPAM.
```
aws ec2 deprovision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --cidr 130.137.245.0/24 --profile ipam-account
```
Dans la sortie, vous verrez le CIDR en attente de désapprovisionnement.
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "pending-deprovision"
}
}
```
Le désapprovisionnement prend un certain temps. Utilisez la commande suivante pour vérifier le statut de la désapprovisionnement.
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --profile ipam-account
```
Attendez de voir l'état **désaprovisionné** avant de passer à l'étape suivante.
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "deprovisioned"
}
}
```
1. Supprimer le groupe de niveau supérieur. Lorsque vous exécutez la commande dans cette étape, la valeur de `--region` doit correspondre à la Région de votre IPAM.
Cette étape doit être réalisée par le compte IPAM.
```
aws ec2 delete-ipam-pool --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --profile ipam-account
```
Dans la sortie, vous pouvez voir l'état de suppression.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-east-1",
"PoolDepth": 2,
"State": "delete-in-progress",
"Description": "top-level-pool",
"AutoImport": false,
"Advertisable": true,
"AddressFamily": "ipv4"
}
}
```
1. Supprimez l'IPAM. Lorsque vous exécutez la commande dans cette étape, la valeur de `--region` doit correspondre à la Région de votre IPAM.
Cette étape doit être réalisée par le compte IPAM.
```
aws ec2 delete-ipam --region us-east-1 --ipam-id ipam-090e48e75758de279 --profile ipam-account
```
Dans la sortie, vous verrez la réponse IPAM. Cela signifie que l'IPAM a été supprimé.
```
{
"Ipam": {
"OwnerId": "123456789012",
"IpamId": "ipam-090e48e75758de279",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"PublicDefaultScopeId": "ipam-scope-0087d83896280b594",
"PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",
"ScopeCount": 2,
"OperatingRegions": [
{
"RegionName": "us-east-1"
},
{
"RegionName": "us-west-2"
}
],
}
}
```
## Alternative à l’étape 9
Si vous utilisez des IPv4 pools publics pour allouer des adresses IP élastiques, vous pouvez suivre les étapes de cette section plutôt que celles de la section précédente[Étape 9 : allocation d’une adresse IP Elastic à partir du groupe](#tutorials-byoip-ipam-ipv4-console-cli-all-eip).
**Topics**
+ [Étape 1 : créer un IPv4 pool public](#tutorials-byoip-ipam-ipv4-9)
+ [Étape 2 : Fournir le IPv4 CIDR public à votre piscine publique IPv4](#tutorials-byoip-ipam-ipv4-9)
+ [Étape 3 : créer une adresse IP élastique à partir du IPv4 pool public](#tutorials-byoip-ipam-ipv4-10)
+ [Alternative au nettoyage de l’étape 9](#tutorials-byoip-ipam-ipv4-cli-alt-cleanup)
### Étape 1 : créer un IPv4 pool public
Cette étape est généralement effectuée par un autre AWS compte qui souhaite fournir une adresse IP élastique, telle que le compte membre.
**Important**
Les IPv4 pools publics et les pools IPAM sont gérés par des ressources distinctes dans AWS. Les IPv4 pools publics sont des ressources à compte unique qui vous permettent de convertir vos adresses IP publiques CIDRs en adresses IP élastiques. Les pools IPAM peuvent être utilisés pour allouer votre espace public à des IPv4 pools publics.
**Pour créer un IPv4 pool public à l'aide du AWS CLI**
+ Exécutez la commande suivante pour provisionner le CIDR. Lorsque vous exécutez la commande dans cette section, la valeur de `--region` doit correspondre à l'option `--locale` que vous avez saisie lorsque vous avez créé le groupe qui sera utilisé pour le CIDR BYOIP.
```
aws ec2 create-public-ipv4-pool --region us-west-2 --profile member-account
```
Dans le résultat, vous verrez l'ID du IPv4 pool public. Vous aurez besoin de cet ID à la prochaine étape.
```
{
"PoolId": "ipv4pool-ec2-0019eed22a684e0b2"
}
```
### Étape 2 : Fournir le IPv4 CIDR public à votre piscine publique IPv4
Fournissez le IPv4 CIDR public à votre IPv4 pool public. La valeur pour `--region` doit correspondre à la valeur `--locale` que vous avez saisie lorsque vous avez créé le groupe qui sera utilisé pour le CIDR BYOIP. Le `--netmask-length` le moins précis que vous puissiez définir est `24`.
Cette étape doit être effectuée par le compte membre.
**Pour créer un IPv4 pool public à l'aide du AWS CLI**
1. Exécutez la commande suivante pour provisionner le CIDR.
```
aws ec2 provision-public-ipv4-pool-cidr --region us-west-2 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --pool-id ipv4pool-ec2-0019eed22a684e0b2 --netmask-length 24 --profile member-account
```
Dans la sortie, vous verrez apparaître le CIDR provisionné.
```
{
"PoolId": "ipv4pool-ec2-0019eed22a684e0b2",
"PoolAddressRange": {
"FirstAddress": "130.137.245.0",
"LastAddress": "130.137.245.255",
"AddressCount": 256,
"AvailableAddressCount": 256
}
}
```
1. Exécutez la commande suivante pour afficher le CIDR provisionné dans le pool public IPv4 .
```
aws ec2 describe-byoip-cidrs --region us-west-2 --max-results 10 --profile member-account
```
Dans la sortie, vous verrez apparaître le CIDR provisionné. Par défaut, le CIDR n'est pas publié, ce qui signifie qu'il n'est pas accessible publiquement sur Internet. Vous aurez la possibilité de définir ce CIDR comme publié dans la dernière étape de ce tutoriel.
```
{
"ByoipCidrs": [
{
"Cidr": "130.137.245.0/24",
"StatusMessage": "Cidr successfully provisioned",
"State": "provisioned"
}
]
}
```
### Étape 3 : créer une adresse IP élastique à partir du IPv4 pool public
Créez une adresse IP élastique (EIP) à partir du IPv4 pool public. Lorsque vous exécutez les commandes dans cette section, la valeur de `--region` doit correspondre à l'option `--locale` que vous avez saisie lorsque vous avez créé le groupe qui sera utilisé pour le CIDR BYOIP.
Cette étape doit être effectuée par le compte membre.
**Pour créer un EIP à partir du IPv4 pool public à l'aide du AWS CLI**
1. Exécutez la commande suivante pour créer l'EIP.
```
aws ec2 allocate-address --region us-west-2 --public-ipv4-pool ipv4pool-ec2-0019eed22a684e0b2 --profile member-account
```
Dans la sortie, vous verrez l'allocation.
```
{
"PublicIp": "130.137.245.100",
"AllocationId": "eipalloc-0db3405026756dbf6",
"PublicIpv4Pool": "ipv4pool-ec2-0019eed22a684e0b2",
"NetworkBorderGroup": "us-east-1",
"Domain": "vpc"
}
```
1. Exécutez la commande suivante pour afficher l'allocation EIP gérée dans IPAM.
Cette étape doit être réalisée par le compte IPAM.
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
La sortie affiche l'allocation dans IPAM.
```
{
"IpamPoolAllocations": [
{
"Cidr": "130.137.245.0/24",
"IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc45",
"ResourceId": "ipv4pool-ec2-0019eed22a684e0b2",
"ResourceType": "ec2-public-ipv4-pool",
"ResourceOwner": "123456789012"
}
]
}
```
### Alternative au nettoyage de l’étape 9
Procédez comme suit pour nettoyer les IPv4 piscines publiques créées à l'aide de l'alternative à l'étape 9. Vous devez effectuer ces étapes après avoir publié l’adresse IP Elastic au cours du processus de nettoyage standard dans [Étape 10 : nettoyage](tutorials-byoip-ipam-ipv6.md#tutorials-byoip-ipam-ipv4-cleanup).
1. Consultez votre BYOIP CIDRs.
Cette étape doit être effectuée par le compte membre.
```
aws ec2 describe-public-ipv4-pools --region us-west-2 --profile member-account
```
Dans la sortie, vous verrez apparaître les adresses IP dans votre CIDR BYOIP.
```
{
"PublicIpv4Pools": [
{
"PoolId": "ipv4pool-ec2-0019eed22a684e0b2",
"Description": "",
"PoolAddressRanges": [
{
"FirstAddress": "130.137.245.0",
"LastAddress": "130.137.245.255",
"AddressCount": 256,
"AvailableAddressCount": 256
}
],
"TotalAddressCount": 256,
"TotalAvailableAddressCount": 256,
"NetworkBorderGroup": "us-east-1",
"Tags": []
}
]
}
```
1. Libérez le CIDR du IPv4 pool public. Lorsque vous exécutez la commande dans cette section, la valeur de `--region` doit correspondre à la Région de votre IPAM.
Cette étape doit être effectuée par le compte membre.
```
aws ec2 deprovision-public-ipv4-pool-cidr --region us-east-1 --pool-id ipv4pool-ec2-0019eed22a684e0b2 --cidr 130.137.245.0/24 --profile member-account
```
1. Consultez à CIDRs nouveau votre BYOIP et assurez-vous qu'il n'y a plus d'adresses provisionnées. Lorsque vous exécutez la commande dans cette section, la valeur de `--region` doit correspondre à la Région de votre IPAM.
Cette étape doit être effectuée par le compte membre.
```
aws ec2 describe-public-ipv4-pools --region us-east-1 --profile member-account
```
Dans le résultat, vous verrez le nombre d'adresses IP dans votre IPv4 pool public.
```
{
"PublicIpv4Pools": [
{
"PoolId": "ipv4pool-ec2-0019eed22a684e0b2",
"Description": "",
"PoolAddressRanges": [],
"TotalAddressCount": 0,
"TotalAvailableAddressCount": 0,
"NetworkBorderGroup": "us-east-1",
"Tags": []
}
]
}
```
# Apportez votre propre IPv6 CIDR à IPAM en utilisant uniquement la CLI AWS
Procédez comme suit pour apporter un IPv6 CIDR à IPAM et allouer un VPC en utilisant uniquement le. AWS CLI
Si vous n'avez pas besoin de publier vos IPv6 adresses sur Internet, vous pouvez fournir une IPv6 adresse GUA privée à un IPAM. Pour de plus amples informations, veuillez consulter [Activer le provisionnement de CIDR GUA IPv6 privés](enable-prov-ipv6-gua.md).
**Important**
Le didacticiel présume que vous ayez déjà effectué les étapes suivantes dans les sections suivantes :
[Intégration d'IPAM aux comptes d'une organisation AWS](enable-integ-ipam.md).
[Création d'un IPAM](create-ipam.md).
Chaque étape de ce didacticiel doit être effectuée par l'un des trois comptes AWS Organizations :
Le compte de gestion
Le compte de membre configuré pour être votre administrateur IPAM dans[Intégration d'IPAM aux comptes d'une organisation AWS](enable-integ-ipam.md). Dans ce tutoriel, ce compte sera appelé compte IPAM.
Le compte membre de votre organisation qui sera alloué CIDRs à partir d'un pool IPAM. Dans ce tutoriel, ce compte sera appelé compte IPAM.
**Topics**
+ [Étape 1 : Création de profils AWS CLI nommés et de rôles IAM](#tutorials-create-profiles)
+ [Étape 2 : création d'un IPAM](#tutorials-byoip-ipam-ipv6-2)
+ [Étape 3 : création d'un groupe IPAM](#tutorials-byoip-ipam-ipv6-3)
+ [Étape 4 : approvisionnement d'un CIDR au groupe de niveau supérieur](#tutorials-byoip-ipam-ipv6-4)
+ [Étape 5 : Création d'un groupe régional dans le groupe de niveau supérieur](#tutorials-byoip-ipam-ipv6-5)
+ [Étape 6 : approvisionnement d'un CIDR au groupe régional](#tutorials-byoip-ipam-ipv6-6)
+ [Étape 7. Partager le groupe régional](#tutorials-byoip-ipam-ipv4-console-4-deux)
+ [Étape 8 : créer un VPC à l'aide du CIDR IPv6](#tutorials-byoip-ipam-ipv6-8)
+ [Étape 9 : publication du CIDR](#tutorials-byoip-ipam-ipv6-9)
+ [Étape 10 : nettoyage](#tutorials-byoip-ipam-ipv4-cleanup)
## Étape 1 : Création de profils AWS CLI nommés et de rôles IAM
Pour suivre ce didacticiel en tant qu' AWS utilisateur unique, vous pouvez utiliser des profils AWS CLI nommés pour passer d'un rôle IAM à un autre. Les [profils nommés](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-using-profiles) sont des ensembles de paramètres et d'informations d'identification auxquels vous vous référez lorsque vous utilisez l'option `--profile` associée à l' AWS CLI. Pour plus d'informations sur la création de rôles IAM et de profils nommés pour les AWS comptes, consultez la section [Utilisation d'un rôle IAM dans le](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html). AWS CLI
Créez un rôle et un profil nommé pour chacun des trois AWS comptes que vous utiliserez dans ce didacticiel :
+ Un profil appelé le compte `management-account` de gestion des AWS Organizations.
+ Un profil appelé `ipam-account` pour le compte membre AWS des Organizations configuré pour être votre administrateur IPAM.
+ Un profil appelait `member-account` le compte membre AWS Organizations de votre organisation, qui sera alloué CIDRs à partir d'un pool IPAM.
Une fois que vous avez créé les rôles IAM et les profils nommés, revenez à cette page et passez à l'étape suivante. Vous remarquerez dans le reste de ce didacticiel que les exemples de AWS CLI commandes utilisent l'`--profile`option avec l'un des profils nommés pour indiquer quel compte doit exécuter la commande.
## Étape 2 : création d'un IPAM
Cette étape est facultative. Si vous avez déjà créé un IPAM avec les Régions d'exploitation de `us-east-1` et `us-west-2` créées, vous pouvez ignorer cette étape. Créez un IPAM et spécifiez une Région d'exploitation de `us-east-1` et `us-west-2`. Vous devez sélectionner une Région d'exploitation pour pouvoir utiliser l'option des paramètres régionaux lorsque vous créez votre groupe IPAM. L'intégration IPAM avec BYOIP nécessite que les paramètres régionaux soient définis sur le groupe utilisé pour le CIDR BYOIP.
Cette étape doit être réalisée par le compte IPAM.
Exécutez la commande suivante :
```
aws ec2 create-ipam --description my-ipam --region us-east-1 --operating-regions RegionName=us-west-2 --profile ipam-account
```
Dans la sortie, vous verrez l'IPAM que vous avez créé. Provisionnez un bloc d'adresse CIDR au groupe de niveau supérieur. Vous aurez besoin de votre ID de portée publique à l'étape suivante.
```
{
"Ipam": {
"OwnerId": "123456789012",
"IpamId": "ipam-090e48e75758de279",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"PublicDefaultScopeId": "ipam-scope-0087d83896280b594",
"PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",
"ScopeCount": 2,
"Description": "my-ipam",
"OperatingRegions": [
{
"RegionName": "us-east-1"
},
{
"RegionName": "us-west-2"
}
],
"Tags": []
}
}
```
## Étape 3 : création d'un groupe IPAM
Puisque vous allez créer un groupe IPAM de niveau supérieur contenant un groupe régional et que nous allons allouer de l'espace à une ressource (un VPC) à partir du groupe régional, vous définirez les paramètres régionaux sur le groupe régional, et non sur le groupe de niveau supérieur. Vous ajouterez les paramètres régionaux au groupe régional lorsque vous le créerez à une étape ultérieure. L'intégration IPAM avec BYOIP nécessite que les paramètres régionaux soient définis sur le groupe utilisé pour le CIDR BYOIP.
Cette étape doit être réalisée par le compte IPAM.
Choisissez si vous souhaitez que ce CIDR de pool IPAM soit publicisé AWS sur Internet (`--publicly-advertisable`ou). `--no-publicly-advertisable`
**Note**
Notez que l'ID de portée doit équivaloir à l'ID de portée publique et que la famille d'adresses doit être `ipv6`.
**Pour créer un pool d' IPv6 adresses pour toutes vos AWS ressources à l'aide du AWS CLI**
1. Exécutez la commande suivante pour créer un groupe IPAM. Utilisez l'ID de portée publique de l'IPAM que vous avez créé à l'étape précédente.
```
aws ec2 create-ipam-pool --region us-east-1 --ipam-scope-id ipam-scope-0087d83896280b594 --description "top-level-IPv6-pool" --address-family ipv6 --publicly-advertisable --profile ipam-account
```
Dans la sortie, vous verrez apparaître `create-in-progress`, qui indique que la création du groupe est en cours.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-07f2466c7158b50c4",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-07f2466c7158b50c4",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "None",
"PoolDepth": 1,
"State": "create-in-progress",
"Description": "top-level-Ipv6-pool",
"AutoImport": false,
"Advertisable": true,
"AddressFamily": "ipv6",
"Tags": []
}
}
```
1. Exécutez la commande suivante jusqu'à ce que l'état `create-complete` apparaisse dans la sortie.
```
aws ec2 describe-ipam-pools --region us-east-1 --profile ipam-account
```
L'exemple de sortie suivant illustre l'état du groupe.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-07f2466c7158b50c4",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-07f2466c7158b50c4",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "None",
"PoolDepth": 1,
"State": "create-complete",
"Description": "top-level-Ipv6-pool",
"AutoImport": false,
"Advertisable": true,
"AddressFamily": "ipv6",
"Tags": []
}
}
```
## Étape 4 : approvisionnement d'un CIDR au groupe de niveau supérieur
Allouez un bloc d'adresse CIDR au groupe de niveau supérieur. Notez que lorsque vous fournissez un IPv6 CIDR à un pool au sein du pool de niveau supérieur, la plage d' IPv6 adresses la plus spécifique que vous pouvez apporter est /48 pour celles CIDRs qui sont publiables et /60 pour CIDRs celles qui ne le sont pas.
**Note**
Si vous avez [vérifié le contrôle de votre domaine à l’aide d’un certificat X.509](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-cert), vous devez inclure le CIDR, le message BYOIP et la signature du certificat que vous avez créés lors de cette étape afin que nous puissions vérifier que vous contrôlez l’espace public.
Si vous avez [vérifié le contrôle de votre domaine avec un enregistrement DNS TXT](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-dns-txt), vous devez inclure le jeton de vérification CIDR et IPAM que vous avez créé dans cette étape afin que nous puissions vérifier que vous contrôlez l’espace public.
Vous devez uniquement vérifier le contrôle du domaine lorsque vous provisionnez le CIDR BYOIP au groupe de niveau supérieur. Pour le groupe régional au sein du groupe de niveau supérieur, vous pouvez omettre l’option de propriété du domaine.
Cette étape doit être réalisée par le compte IPAM.
**Pour fournir un bloc CIDR au pool à l'aide du AWS CLI**
1. Pour fournir au CIDR des informations de certificat, utilisez l’exemple de commande suivant. En plus de remplacer les valeurs selon les besoins dans l’exemple, assurez-vous de remplacer les valeurs `Message` et `Signature` par les valeurs `text_message` et `signed_message` que vous avez saisies dans [Vérifiez votre domaine avec un certificat X.509](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-cert).
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --cidr 2605:9cc0:409::/48 --verification-method remarks-x509 --cidr-authorization-context Message="1|aws|470889052444|2605:9cc0:409::/48|20250101|SHA256|RSAPSS",Signature="FU26~vRG~NUGXa~akxd6dvdcCfvL88g8d~YAuai-CR7HqMwzcgdS9RlpBGtfIdsRGyr77LmWyWqU9Xp1g2R1kSkfD00NiLKLcv9F63k6wdEkyFxNp7RAJDvF1mBwxmSgH~Crt-Vp6LON3yOOXMp4JENB9uM7sMlu6oeoutGyyhXFeYPzlGSRdcdfKNKaimvPCqVsxGN5AwSilKQ8byNqoa~G3dvs8ueSaDcT~tW4CnILura70nyK4f2XzgPKKevAD1g8bpKmOFMbHS30CxduYknnDl75lvEJs1J91u3-wispI~r69fq515UR19TA~fmmxBDh1huQ8DkM1rqcwveWow__" --profile ipam-account
```
Pour fournir au CIDR des informations sur les jetons de vérification, utilisez l’exemple de commande suivant. En plus de remplacer les valeurs comme nécessaire dans l’exemple, assurez-vous de remplacer `ipam-ext-res-ver-token-0309ce7f67a768cf0` par l’ID du jeton `IpamExternalResourceVerificationTokenId` que vous avez obtenu dans [Vérifiez votre domaine à l’aide d’un enregistrement DNS TXT](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-dns-txt).
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --cidr 2605:9cc0:409::/48 --verification-method dns-token --ipam-external-resource-verification-token-id ipam-ext-res-ver-token-0309ce7f67a768cf0 --profile ipam-account
```
Dans la sortie, vous verrez le CIDR en attente d'approvisionnement.
```
{
"IpamPoolCidr": {
"Cidr": "2605:9cc0:409::/48",
"State": "pending-provision"
}
}
```
1. Vérifiez que ce CIDR a été provisionné avant de continuer.
**Important**
Bien que la plupart des approvisionnements soient effectués dans les deux heures, le processus d’allocation des plages qui peuvent être annoncées publiquement peut durer jusqu’à une semaine.
Exécutez la commande suivante jusqu'à ce que l'état `provisioned` apparaisse dans la sortie.
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --profile ipam-account
```
L'exemple de sortie suivant illustre l'état.
```
{
"IpamPoolCidrs": [
{
"Cidr": "2605:9cc0:409::/48",
"State": "provisioned"
}
]
}
```
## Étape 5 : Création d'un groupe régional dans le groupe de niveau supérieur
Créez un groupe régional dans le groupe de niveau supérieur. `--locale` est obligatoire sur le groupe ; il doit s'agir de l'une des Régions d'exploitation que vous avez configurées lors de la création de l'IPAM.
Cette étape doit être réalisée par le compte IPAM.
**Important**
Lorsque vous créez le groupe, vous devez inclure `--aws-service ec2`. Le service que vous sélectionnez détermine le AWS service pour lequel le CIDR sera publicisé. Actuellement, la seule option est la `ec2` suivante : les CIDR alloués à partir de ce pool seront publicisés pour le service Amazon EC2 et le service Amazon VPC (pour associé à). CIDRs VPCs
**Pour créer un pool régional à l'aide du AWS CLI**
1. Exécutez la commande suivante pour créer le groupe.
```
aws ec2 create-ipam-pool --description "Regional-IPv6-pool" --region us-east-1 --ipam-scope-id ipam-scope-0087d83896280b594 --source-ipam-pool-id ipam-pool-07f2466c7158b50c4 --locale us-west-2 --address-family ipv6 --aws-service ec2 --profile ipam-account
```
Dans la sortie, vous verrez IPAM en cours de création du groupe.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0053b7d2b4fc3f730",
"SourceIpamPoolId": "ipam-pool-07f2466c7158b50c4",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0053b7d2b4fc3f730",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-west-2",
"PoolDepth": 2,
"State": "create-in-progress",
"Description": "reg-ipv6-pool",
"AutoImport": false,
"Advertisable": true,
"AddressFamily": "ipv6",
"Tags": [],
"ServiceType": "ec2"
}
}
```
1. Exécutez la commande suivante jusqu'à ce que l'état de `create-complete` apparaisse dans la sortie.
```
aws ec2 describe-ipam-pools --region us-east-1 --profile ipam-account
```
Dans la sortie, vous verrez les groupes que vous avez dans votre IPAM. Dans ce tutoriel, nous avons créé un groupe de niveau supérieur et un groupe régional. Vous verrez donc les deux.
## Étape 6 : approvisionnement d'un CIDR au groupe régional
Provisionnez un bloc d'adresse CIDR au groupe régional. Notez que lorsque vous fournissez le CIDR à un pool au sein du pool de niveau supérieur, la plage d' IPv6 adresses la plus spécifique que vous pouvez apporter est /48 pour celles CIDRs qui sont publiables et /60 pour CIDRs celles qui ne le sont pas.
Cette étape doit être réalisée par le compte IPAM.
**Pour attribuer un bloc CIDR au pool régional à l'aide du AWS CLI**
1. Exécutez la commande suivante pour provisionner le CIDR.
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --cidr 2605:9cc0:409::/48 --profile ipam-account
```
Dans la sortie, vous verrez le CIDR en attente d'approvisionnement.
```
{
"IpamPoolCidr": {
"Cidr": "2605:9cc0:409::/48",
"State": "pending-provision"
}
}
```
1. Exécutez la commande suivante jusqu'à ce que l'état de `provisioned` apparaisse dans la sortie.
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account
```
L'exemple de sortie suivant illustre le bon état.
```
{
"IpamPoolCidrs": [
{
"Cidr": "2605:9cc0:409::/48",
"State": "provisioned"
}
]
}
```
## Étape 7. Partager le groupe régional
Suivez les étapes décrites dans cette section pour partager le pool IPAM à l'aide de AWS Resource Access Manager (RAM).
### Activer le partage des ressources dans AWS RAM
Après avoir créé votre IPAM, partagez le groupe régional avec d'autres comptes de votre organisation. Avant de partager un pool IPAM, suivez les étapes décrites dans cette section pour activer le partage de ressources avec AWS RAM. Si vous utilisez le AWS CLI pour activer le partage des ressources, utilisez l'`--profile management-account`option.
**Pour activer le partage des ressources**
1. À l'aide du compte AWS Organizations de gestion, ouvrez la AWS RAM console à l'adresse [https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/).
1. Dans le volet de navigation de gauche, choisissez **Paramètres**, sélectionnez **Activer le partage avec AWS Organizations**, puis sélectionnez **Enregistrer les paramètres**.
Vous pouvez désormais partager un groupe IPAM avec d'autres membres de l'organisation.
### Partagez un pool IPAM à l'aide de AWS RAM
Dans cette section, vous allez partager le pool régional avec un autre compte AWS Organizations membre. Pour obtenir des instructions complètes sur le partage de groupes IPAM, y compris des informations sur les autorisations IAM requises, consultez [Partage d'un groupe IPAM à l'aide d'AWS RAM](share-pool-ipam.md). Si vous utilisez le AWS CLI pour activer le partage des ressources, utilisez l'`--profile ipam-account`option.
**Pour partager un pool IPAM à l'aide de AWS RAM**
1. À l'aide du compte administrateur IPAM, ouvrez la console IPAM à l'adresse. [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)
1. Dans le panneau de navigation, choisissez **Pools** (Groupes).
1. Choisissez le périmètre privé, choisissez le groupe IPAM, puis choisissez **Actions** > **Afficher les détails**.
1. Sous **Resource sharing** (Partage de ressources), sélectionnez **Create resource share** (Créer un partage de ressources). La AWS RAM console s'ouvre. Vous partagez le pool en utilisant AWS RAM.
1. Sélectionnez **Create a resource share** (Créer un partage de ressources).
1. Dans la AWS RAM console, choisissez à nouveau **Créer un partage de ressources**.
1. Ajoutez un **Nom** pour la ressource partagée.
1. Sous **Sélectionner le type de ressource**, choisissez **Groupes IPAM,** puis choisissez l’ARN du groupe que vous souhaitez partager.
1. Choisissez **Suivant**.
1. Choisissez l'**AWSRAMPermissionIpamPoolByoipCidrImport**autorisation. Les détails des options d'autorisation ne sont pas abordés dans ce didacticiel, mais vous pouvez en savoir plus sur ces options dans [Partage d'un groupe IPAM à l'aide d'AWS RAM](share-pool-ipam.md).
1. Choisissez **Suivant**.
1. Dans **Principaux** > **Sélectionner le type de principal**, choisissez **Compte AWS **, saisissez l'ID du compte qui transmettra une plage d'adresses IP à IPAM, puis choisissez **Ajouter**.
1. Choisissez **Suivant**.
1. Examinez les options de partage de ressources et les principaux avec lesquels vous procéderez au partage, puis sélectionnez **Créer**.
1. Pour autoriser le compte **member-account** à allouer les CIDR de l’adresse IP à partir du groupe IPAM, créez un deuxième partage de ressources avec `AWSRAMDefaultPermissionsIpamPool`. La valeur pour `--resource-arns` est l'ARN du groupe IPAM que vous avez créé dans la section précédente. La valeur de `--principals` est l’ID de compte du **member-account**. La valeur pour `--permission-arns` est l'ARN de l'autorisation `AWSRAMDefaultPermissionsIpamPool`.
## Étape 8 : créer un VPC à l'aide du CIDR IPv6
Créez un VPC à l'aide de l'ID de groupe IPAM. Vous devez également associer un bloc IPv4 CIDR au VPC à l'aide de cette option, `--cidr-block` sinon la demande échouera. Lorsque vous exécutez la commande dans cette section, la valeur de `--region` doit correspondre à l'option `--locale` que vous avez saisie lorsque vous avez créé le groupe qui sera utilisé pour le CIDR BYOIP.
Cette étape doit être effectuée par le compte membre.
**Pour créer un VPC avec le IPv6 CIDR à l'aide du AWS CLI**
1. Exécutez la commande suivante pour provisionner le CIDR.
```
aws ec2 create-vpc --region us-west-2 --ipv6-ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --cidr-block 10.0.0.0/16 --ipv6-netmask-length 56 --profile member-account
```
Dans la sortie, vous verrez le VPC en cours de création.
```
{
"Vpc": {
"CidrBlock": "10.0.0.0/16",
"DhcpOptionsId": "dopt-2afccf50",
"State": "pending",
"VpcId": "vpc-00b5573ffc3b31a29",
"OwnerId": "123456789012",
"InstanceTenancy": "default",
"Ipv6CidrBlockAssociationSet": [
{
"AssociationId": "vpc-cidr-assoc-01b5703d6cc695b5b",
"Ipv6CidrBlock": "2605:9cc0:409::/56",
"Ipv6CidrBlockState": {
"State": "associating"
},
"NetworkBorderGroup": "us-east-1",
"Ipv6Pool": "ipam-pool-0053b7d2b4fc3f730"
}
],
"CidrBlockAssociationSet": [
{
"AssociationId": "vpc-cidr-assoc-09cccb07d4e9a0e0e",
"CidrBlock": "10.0.0.0/16",
"CidrBlockState": {
"State": "associated"
}
}
],
"IsDefault": false
}
}
```
1. Affichez l'allocation du VPC dans IPAM.
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account
```
Dans la sortie, vous verrez l'allocation dans IPAM.
```
{
"IpamPoolAllocations": [
{
"Cidr": "2605:9cc0:409::/56",
"IpamPoolAllocationId": "ipam-pool-alloc-5f8db726fb9e4ff0a33836e649283a52",
"ResourceId": "vpc-00b5573ffc3b31a29",
"ResourceType": "vpc",
"ResourceOwner": "123456789012"
}
]
}
```
## Étape 9 : publication du CIDR
Une fois que vous avez créé le VPC avec le CIDR alloué dans IPAM, vous pouvez commencer à annoncer le CIDR que vous avez apporté et AWS qui se trouve dans le pool défini. `--aws-service ec2` Dans ce didacticiel, il s'agit de votre groupe régional. Par défaut, le CIDR n'est pas publié, ce qui signifie qu'il n'est pas accessible publiquement sur Internet. Lorsque vous exécutez la commande dans cette section, la valeur de `--region` doit correspondre à l'option `--locale` que vous avez saisie lorsque vous avez créé le groupe régional qui sera utilisé pour le CIDR BYOIP.
Cette étape doit être réalisée par le compte IPAM.
**Commencez à faire de la publicité pour le CIDR en utilisant le AWS CLI**
+ Exécutez la commande suivante pour publier le CIDR.
```
aws ec2 advertise-byoip-cidr --region us-west-2 --cidr 2605:9cc0:409::/48 --profile ipam-account
```
Dans la sortie, vous verrez que le CIDR est publié.
```
{
"ByoipCidr": {
"Cidr": "2605:9cc0:409::/48",
"State": "advertised"
}
}
```
## Étape 10 : nettoyage
Suivez les étapes de cette section pour nettoyer les ressources que vous avez provisionnées et créées dans ce tutoriel. Lorsque vous exécutez les commandes dans cette section, la valeur de `--region` doit correspondre à l'option `--locale` que vous avez saisie lorsque vous avez créé le groupe régional qui sera utilisé pour le CIDR BYOIP.
**Nettoyez à l'aide du AWS CLI**
1. Exécutez la commande suivante pour afficher l'allocation de VPC gérée dans IPAM.
Cette étape doit être réalisée par le compte IPAM.
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account
```
La sortie affiche l'allocation dans IPAM.
```
{
"IpamPoolAllocations": [
{
"Cidr": "2605:9cc0:409::/56",
"IpamPoolAllocationId": "ipam-pool-alloc-5f8db726fb9e4ff0a33836e649283a52",
"ResourceId": "vpc-00b5573ffc3b31a29",
"ResourceType": "vpc",
"ResourceOwner": "123456789012"
}
]
}
```
1. Exécutez la commande suivante pour arrêter la publication du CIDR. Lorsque vous exécutez la commande dans cette étape, la valeur de `--region` doit correspondre à l'option `--locale` que vous avez saisie lorsque vous avez créé le groupe régional qui sera utilisé pour le CIDR BYOIP.
Cette étape doit être réalisée par le compte IPAM.
```
aws ec2 withdraw-byoip-cidr --region us-west-2 --cidr 2605:9cc0:409::/48 --profile ipam-account
```
Dans la sortie, vous verrez que l'état du CIDR est passé de **advertised** (Publié) à **provisioned** (Provisionné).
```
{
"ByoipCidr": {
"Cidr": "2605:9cc0:409::/48",
"State": "provisioned"
}
}
```
1. Exécutez la commande suivante pour supprimer le VPC. Lorsque vous exécutez la commande dans cette section, la valeur de `--region` doit correspondre à l'option `--locale` que vous avez saisie lorsque vous avez créé le groupe régional qui sera utilisé pour le CIDR BYOIP.
Cette étape doit être effectuée par le compte membre.
```
aws ec2 delete-vpc --region us-west-2 --vpc-id vpc-00b5573ffc3b31a29 --profile member-account
```
Vous ne verrez aucune sortie lorsque vous exécutez cette commande.
1. Exécutez la commande suivante pour afficher l'allocation de VPC dans IPAM. IPAM peut prendre un certain temps pour découvrir que le VPC a été supprimé et supprimer cette allocation. Lorsque vous exécutez les commandes dans cette section, la valeur de `--region` doit correspondre à l'option `--locale` que vous avez saisie lorsque vous avez créé le groupe régional qui sera utilisé pour le CIDR BYOIP.
Cette étape doit être réalisée par le compte IPAM.
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account
```
La sortie affiche l'allocation dans IPAM.
```
{
"IpamPoolAllocations": [
{
"Cidr": "2605:9cc0:409::/56",
"IpamPoolAllocationId": "ipam-pool-alloc-5f8db726fb9e4ff0a33836e649283a52",
"ResourceId": "vpc-00b5573ffc3b31a29",
"ResourceType": "vpc",
"ResourceOwner": "123456789012"
}
]
}
```
Exécutez à nouveau la commande et recherchez l'allocation à supprimer. Vous ne pouvez pas continuer à nettoyer et à désactiver le CIDR du groupe IPAM tant que vous ne voyez pas que l'allocation a été supprimée d'IPAM.
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account
```
La sortie affiche l'allocation supprimée d'IPAM.
```
{
"IpamPoolAllocations": []
}
```
1. Supprimez les partages RAM et désactivez l'intégration de la RAM avec AWS Organizations. Suivez les étapes décrites dans les [sections Suppression d'un partage de ressources dans la AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-delete.html) et [Désactivation du partage de ressources avec AWS les organisations](https://docs.aws.amazon.com/ram/latest/userguide/security-disable-sharing-with-orgs.html) dans le *guide de l'utilisateur de la AWS RAM*, dans cet ordre, pour supprimer les partages de RAM et désactiver l'intégration de la RAM avec AWS les organisations.
Cette étape doit être effectuée par le compte IPAM et le compte de gestion respectivement. Si vous utilisez le AWS CLI pour supprimer les partages de RAM et désactiver l'intégration de RAM, utilisez les ` --profile management-account` options ` --profile ipam-account` et.
1. Exécutez la commande suivante pour désactiver le CIDR du groupe régional.
Cette étape doit être réalisée par le compte IPAM.
```
aws ec2 deprovision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --cidr 2605:9cc0:409::/48 --profile ipam-account
```
Dans la sortie, vous verrez le CIDR en attente de désapprovisionnement.
```
{
"IpamPoolCidr": {
"Cidr": "2605:9cc0:409::/48",
"State": "pending-deprovision"
}
}
```
La désactivation prend un certain temps. Continuez à exécuter la commande jusqu'à ce que vous voyez l'état CIDR **deprovisioned** (désactivé).
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --cidr 2605:9cc0:409::/48 --profile ipam-account
```
Dans la sortie, vous verrez le CIDR en attente de désactivation.
```
{
"IpamPoolCidr": {
"Cidr": "2605:9cc0:409::/48",
"State": "deprovisioned"
}
}
```
1. Exécutez la commande suivante pour supprimer le groupe régional.
Cette étape doit être réalisée par le compte IPAM.
```
aws ec2 delete-ipam-pool --region us-east-1 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account
```
Dans la sortie, vous pouvez voir l'état de suppression.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0053b7d2b4fc3f730",
"SourceIpamPoolId": "ipam-pool-07f2466c7158b50c4",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0053b7d2b4fc3f730",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-east-1",
"PoolDepth": 2,
"State": "delete-in-progress",
"Description": "reg-ipv6-pool",
"AutoImport": false,
"Advertisable": true,
"AddressFamily": "ipv6"
}
}
```
1. Exécutez la commande suivante pour désactiver le CIDR du groupe de niveau supérieur.
Cette étape doit être réalisée par le compte IPAM.
```
aws ec2 deprovision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --cidr 2605:9cc0:409::/48 --profile ipam-account
```
Dans la sortie, vous verrez le CIDR en attente de désapprovisionnement.
```
{
"IpamPoolCidr": {
"Cidr": "2605:9cc0:409::/48",
"State": "pending-deprovision"
}
}
```
Le désapprovisionnement prend un certain temps. Utilisez la commande suivante pour vérifier le statut de la désapprovisionnement.
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --profile ipam-account
```
Attendez de voir l'état **deprovisioned** (désactivé) avant de passer à l'étape suivante.
```
{
"IpamPoolCidr": {
"Cidr": "2605:9cc0:409::/48",
"State": "deprovisioned"
}
}
```
1. Exécutez la commande suivante pour supprimer le groupe de niveau supérieur.
Cette étape doit être réalisée par le compte IPAM.
```
aws ec2 delete-ipam-pool --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --profile ipam-account
```
Dans la sortie, vous pouvez voir l'état de suppression.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0053b7d2b4fc3f730",
"SourceIpamPoolId": "ipam-pool-07f2466c7158b50c4",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0053b7d2b4fc3f730",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-east-1",
"PoolDepth": 2,
"State": "delete-in-progress",
"Description": "reg-ipv6-pool",
"AutoImport": false,
"Advertisable": true,
"AddressFamily": "ipv6"
}
}
```
1. Exécutez la commande suivante pour supprimer l'IPAM.
Cette étape doit être réalisée par le compte IPAM.
```
aws ec2 delete-ipam --region us-east-1 --ipam-id ipam-090e48e75758de279 --profile ipam-account
```
Dans la sortie, vous verrez la réponse IPAM. Cela signifie que l'IPAM a été supprimé.
```
{
"Ipam": {
"OwnerId": "123456789012",
"IpamId": "ipam-090e48e75758de279",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"PublicDefaultScopeId": "ipam-scope-0087d83896280b594",
"PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",
"ScopeCount": 2,
"OperatingRegions": [
{
"RegionName": "us-east-1"
},
{
"RegionName": "us-west-2"
}
]
}
}
```
# Utilisez votre propre adresse IP pour CloudFront utiliser IPAM
Le BYOIP d'IPAM pour les services mondiaux vous permet d'utiliser vos propres IPv4 adresses avec des services AWS mondiaux tels que. CloudFront Contrairement au BYOIP régional, vos adresses IP sont annoncées simultanément à partir de plusieurs emplacements périphériques via le routage anycast.
## Pourquoi utiliser cette fonctionnalité ?
+ **Maintenir la liste des adresses IP autorisées** : utilisez les adresses IP approuvées existantes au lieu de mettre à jour les configurations du pare-feu
+ **Simplifiez les migrations** : migrez depuis un autre CDNs sans modifier l'infrastructure IP
+ **Image de marque cohérente** — Conservez votre espace d'adresse IP existant lorsque vous passez à AWS
## Qui doit utiliser cette fonctionnalité ?
Organisations qui ont besoin de leurs propres adresses IP pour diffuser du contenu dans le monde entier :
+ Grandes entreprises soumises à des exigences en matière de liste d'adresses IP autorisées
+ Entreprises qui migrent depuis d'autres entreprises CDNs avec des adresses IP existantes
+ Organisations dotées de politiques de sécurité strictes exigeant des plages d'adresses IP spécifiques
## Quand utiliser cette fonctionnalité ?
Utilisez le BYOIP pour des services internationaux lorsque vous devez :
+ Maintenir la liste d'adresses IP autorisées existante auprès des partenaires/clients
+ Migrez depuis un autre CDN à l'aide de vos adresses IP
+ Respectez les exigences de conformité pour des plages d'adresses IP spécifiques
**Note**
Nécessite /24 blocs IPv4 CIDR. Actuellement disponible CloudFront uniquement pour.
## Conditions préalables
Effectuez les étapes suivantes avant de commencer :
+ **Configuration de l'IPAM** — et [Intégration d'IPAM aux comptes d'une organisation AWS](enable-integ-ipam.md) [Création d'un IPAM](create-ipam.md)
+ **Vérification du domaine** — [Vérification du contrôle du domaine](tutorials-byoip-ipam-domain-verification-methods.md)
+ **Créez un pool de premier niveau** — Suivez les étapes 1 et 2 de la section [Apportez votre propre IPv4 CIDR](tutorials-byoip-ipam-console-ipv4.md) à l'IPAM
## Étapes de configuration globale du service
Les étapes suivantes diffèrent du processus BYOIP régional standard et définissent le modèle des services mondiaux :
### Étape 1 : créer un pool mondial pour les services anycast
Au lieu de créer un pool régional, créez un pool mondial pour les services anycast :
**Console**
Pour créer un pool global à l'aide de la console :
1. Ouvrez la console IPAM à [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)l'adresse.
1. Dans le volet de navigation, sélectionnez **Pools**
1. Choisissez **Créer un pool**
1. **Source** : Choisissez votre pool BYOIP de haut niveau
1. **Lieu** : Choisissez **Global**
1. **Service** : Choisissez les **services globaux** (apparaît lorsque Global est sélectionné)
1. **Source IP publique** : Choisissez **BYOIP**
1. **CIDRs à approvisionner** : Spécifiez votre plage CIDR /24
1. Choisissez **Créer un pool**
**INTERFACE DE LIGNE DE COMMANDE (CLI)**
À utiliser `aws ec2 create-ipam-pool` avec les paramètres régionaux définis sur « Global » et la famille d'adresses « ipv4 ».
Provisionnez ensuite le CIDR à l'aide `aws ec2 provision-ipam-pool-cidr` de.
**Important**
Vous devez allouer le bloc /24 complet à ce pool. Vous pouvez configurer des plages plus spécifiques au sein de ce bloc pour différentes utilisations.
### Étape 2 : créer des ressources spécifiques aux services
Pour CloudFront créer une liste d'adresses IP anycast qui utilise votre pool IPAM. Pour des instructions détaillées, consultez la documentation CloudFront BYOIP (lien à déterminer).
**Principaux paramètres de l'intégration IPAM :**
+ **Type d'adresse IP** — Choisissez **BYOIP**
+ **Pool IPAM** — Sélectionnez votre pool mondial à l'étape 1
+ **Nombre d'adresses IP** — Entrez **3** (obligatoire pour CloudFront)
### Étape 3 : Associer aux ressources du service
Associez votre liste d'adresses IP Anycast Static à une CloudFront distribution. Pour des instructions détaillées, consultez la documentation CloudFront BYOIP (lien à déterminer).
**Configuration des clés :**
+ Dans les paramètres de distribution, sélectionnez votre liste d'adresses IP Anycast à l'étape 2
### Étape 4 : Préparation à la migration
+ **Réduction du TTL DNS** — Définissez le TTL DNS pour vos enregistrements sur 60 secondes ou moins
+ **Attendre la propagation** — Laissez le temps au nouveau TTL de prendre effet sur Internet
### Étape 5 : Faites la promotion du CIDR dans le monde entier
Utilisez la commande de publicité globale IPAM :
**Console**
Pour annoncer le CIDR à l'aide de la console :
1. Ouvrez la console IPAM à [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)l'adresse.
1. Dans le volet de navigation, sélectionnez **Pools**
1. Sélectionnez votre pool mondial
1. Choisissez l'**CIDRs**onglet
1. Sélectionnez votre CIDR et choisissez **Actions** > **Annoncer** le CIDR
1. Confirmez la publicité
**INTERFACE DE LIGNE DE COMMANDE (CLI)**
`aws ec2 advertise-ipam-byoip-cidr`À utiliser avec votre identifiant de pool IPAM et votre CIDR.
**Important**
Supprimez la publicité de votre ancien fournisseur avant d'exécuter cette commande
Mettez à jour les enregistrements DNS de manière à ce qu'ils CloudFront pointent vers pour terminer la migration
## Nettoyage
Pour nettoyer les ressources créées dans ce didacticiel :
+ **Supprimer CloudFront des ressources** — Suivez les instructions de nettoyage de la documentation CloudFront BYOIP (lien à déterminer)
+ **Retirez le CIDR et supprimez les pools IPAM** : suivez le processus de nettoyage standard dans [Étape 8 : nettoyage](tutorials-byoip-ipam-console-ipv4.md#tutorials-byoip-ipam-ipv4-console-cleanup)
**Important**
Supprimez d'abord les CloudFront ressources, puis procédez au nettoyage IPAM pour éviter les interruptions de service.
# Tutoriel : Transférer un IPv4 CIDR BYOIP vers IPAM
Suivez ces étapes pour transférer un IPv4 CIDR existant vers IPAM. Si vous avez déjà un CIDR IPv4 BYOIP avec AWS, vous pouvez déplacer le CIDR vers IPAM depuis un pool public. IPv4 Vous ne pouvez pas déplacer un IPv6 CIDR vers IPAM.
Ce didacticiel part du principe que vous avez déjà réussi à intégrer une plage d'adresses IP à l' AWS aide du processus décrit dans [Apporter vos propres adresses IP (BYOIP) dans Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html) et que vous souhaitez maintenant transférer cette plage d'adresses IP vers IPAM. Si vous introduisez une nouvelle adresse IP AWS pour la première fois, suivez les étapes décrites dans[Didacticiel : apporter vos adresses IP à IPAM](tutorials-byoip-ipam.md).
Si vous transférez un IPv4 pool public vers l'IPAM, cela n'a aucun impact sur les allocations existantes. Une fois que vous avez transféré un IPv4 pool public vers l'IPAM, selon le type de ressource, vous pouvez peut-être surveiller les allocations existantes. Pour de plus amples informations, veuillez consulter [Contrôle de l'utilisation du CIDR par ressource](monitor-cidr-compliance-ipam.md).
**Note**
Ce didacticiel suppose que vous avez terminé cette procédure en [Création d'un IPAM](create-ipam.md).
Chaque étape de ce didacticiel doit être effectuée par l'un des deux AWS comptes suivants :
Le compte pour l'administrateur IPAM. Dans ce didacticiel, ce compte sera appelé compte IPAM.
Le compte de votre organisation qui possède le CIDR BYOIP. Dans ce didacticiel, ce compte sera appelé compte du propriétaire CIDR BYOIP.
**Topics**
+ [Étape 1 : Création de profils AWS CLI nommés et de rôles IAM](#tutorials-byoip-ipam-ipv4-console-1)
+ [Étape 2 : obtention de l'ID de portée publique de votre IPAM](#tutorials-byoip-ipam-transfer-ipv4-2)
+ [Étape 3 : création d'un groupe IPAM](#tutorials-byoip-ipam-transfer-ipv4-3)
+ [Étape 4 : partager le pool IPAM à l'aide de AWS RAM](#tutorials-byoip-ipam-transfer-ipv4-4)
+ [Étape 5 : Transférer un IPV4 CIDR BYOIP existant vers IPAM](#tutorials-byoip-ipam-transfer-ipv4-5)
+ [Étape 6 : affichage du CIDR dans IPAM](#tutorials-byoip-ipam-transfer-ipv4-6)
+ [Étape 7 : nettoyage](#tutorials-byoip-ipam-transfer-ipv4-7)
## Étape 1 : Création de profils AWS CLI nommés et de rôles IAM
Pour suivre ce didacticiel en tant qu' AWS utilisateur unique, vous pouvez utiliser des profils AWS CLI nommés pour passer d'un rôle IAM à un autre. Les [profils nommés](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-using-profiles) sont des ensembles de paramètres et d'informations d'identification auxquels vous vous référez lorsque vous utilisez l'option `--profile` associée à l' AWS CLI. Pour plus d'informations sur la création de rôles IAM et de profils nommés pour les AWS comptes, consultez la section [Utilisation d'un rôle IAM dans le](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html). AWS CLI
Créez un rôle et un profil nommé pour chacun des trois AWS comptes que vous utiliserez dans ce didacticiel :
+ Un profil appelé `ipam-account` pour le AWS compte qui est l'administrateur IPAM.
+ Un profil appelait le AWS compte `byoip-owner-account` de votre organisation qui possède le BYOIP CIDR.
Une fois que vous avez créé les rôles IAM et les profils nommés, revenez à cette page et passez à l'étape suivante. Vous remarquerez dans le reste de ce didacticiel que les exemples de AWS CLI commandes utilisent l'`--profile`option avec l'un des profils nommés pour indiquer quel compte doit exécuter la commande.
## Étape 2 : obtention de l'ID de portée publique de votre IPAM
Suivez les étapes de cette section pour obtenir l'ID de portée publique de votre IPAM. Cette étape doit être effectuée par le compte **ipam-account**.
Exécutez la commande suivante pour obtenir l'ID de portée publique.
```
aws ec2 describe-ipams --region us-east-1 --profile ipam-account
```
Dans la sortie, vous verrez l'ID de portée publique. Notez les valeurs de `PublicDefaultScopeId`. Vous en aurez besoin à l'étape suivante.
```
{
"Ipams": [
{
"OwnerId": "123456789012",
"IpamId": "ipam-090e48e75758de279",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"PublicDefaultScopeId": "ipam-scope-0087d83896280b594",
"PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",
"ScopeCount": 2,
"Description": "my-ipam",
"OperatingRegions": [
{
"RegionName": "us-east-1"
},
{
"RegionName": "us-west-2"
}
],
"Tags": []
}
]
}
```
## Étape 3 : création d'un groupe IPAM
Suivez les étapes de cette section pour créer un groupe IPAM. Cette étape doit être effectuée par le compte **ipam-account**. Le groupe IPAM que vous créez doit être un groupe de niveau supérieur avec l'option `--locale` correspondant à la région AWS du CIDR BYOIP. Vous pouvez uniquement transférer un BYOIP vers un groupe IPAM de niveau supérieur.
**Important**
Lorsque vous créez le groupe, vous devez inclure `--aws-service ec2`. Le service que vous sélectionnez détermine le AWS service pour lequel le CIDR sera publicisé. Actuellement, la seule option est la `ec2` suivante : les CIDR alloués à partir de ce pool seront publicisés pour le service Amazon EC2 (pour les adresses IP élastiques) et le service Amazon VPC (pour les adresses associées à). CIDRs VPCs
**Pour créer un pool d' IPv4 adresses pour le CIDR BYOIP transféré à l'aide du AWS CLI**
1. Exécutez la commande suivante pour créer un groupe IPAM. Utilisez l'ID de portée publique de l'IPAM que vous avez obtenu à l'étape précédente.
```
aws ec2 create-ipam-pool --region us-east-1 --profile ipam-account --ipam-scope-id ipam-scope-0087d83896280b594 --description "top-level-pool" --locale us-west-2 --aws-service ec2 --address-family ipv4
```
Dans la sortie, vous verrez apparaître `create-in-progress`, qui indique que la création du groupe est en cours.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-west-2",
"PoolDepth": 1,
"State": "create-in-progress",
"Description": "top-level-pool",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": [],
"AwsService": "ec2"
}
}
```
1. Exécutez la commande suivante jusqu'à ce que l'état `create-complete` apparaisse dans la sortie.
```
aws ec2 describe-ipam-pools --region us-east-1 --profile ipam-account
```
L'exemple de sortie suivant illustre l'état du groupe. Vous en aurez besoin **OwnerId**à l'étape suivante.
```
{
"IpamPools": [
{
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-west-2",
"PoolDepth": 1,
"State": "create-complete",
"Description": "top-level-pool",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": [],
"AwsService": "ec2"
}
]
}
```
## Étape 4 : partager le pool IPAM à l'aide de AWS RAM
Suivez les étapes décrites dans cette section pour partager un pool IPAM AWS RAM afin qu'un autre AWS compte puisse transférer un IPV4 CIDR BYOIP existant vers le pool IPAM et utiliser le pool IPAM. Cette étape doit être effectuée par le compte **ipam-account**.
**Pour partager un pool d' IPv4 adresses à l'aide du AWS CLI**
1. Consultez les AWS RAM autorisations disponibles pour les pools IPAM. Vous avez besoin des deux ARNs pour effectuer les étapes décrites dans cette section.
```
aws ram list-permissions --region us-east-1 --profile ipam-account --resource-type ec2:IpamPool
```
```
{
"permissions": [
{
"arn": "arn:aws:ram::aws:permission/AWSRAMDefaultPermissionsIpamPool",
"version": "1",
"defaultVersion": true,
"name": "AWSRAMDefaultPermissionsIpamPool",
"resourceType": "ec2:IpamPool",
"status": "ATTACHABLE",
"creationTime": "2022-06-30T13:04:29.335000-07:00",
"lastUpdatedTime": "2022-06-30T13:04:29.335000-07:00",
"isResourceTypeDefault": true
},
{
"arn": "arn:aws:ram::aws:permission/AWSRAMPermissionIpamPoolByoipCidrImport",
"version": "1",
"defaultVersion": true,
"name": "AWSRAMPermissionIpamPoolByoipCidrImport",
"resourceType": "ec2:IpamPool",
"status": "ATTACHABLE",
"creationTime": "2022-06-30T13:03:55.032000-07:00",
"lastUpdatedTime": "2022-06-30T13:03:55.032000-07:00",
"isResourceTypeDefault": false
}
]
}
```
1. Créez un partage de ressources pour permettre au **byoip-owner-account** compte d'importer le BYOIP CIDRs vers IPAM. La valeur pour `--resource-arns` est l'ARN du groupe IPAM que vous avez créé dans la section précédente. La valeur pour `--principals` est l'identifiant du compte du propriétaire du CIDR BYOIP. La valeur pour `--permission-arns` est l'ARN de l'autorisation `AWSRAMPermissionIpamPoolByoipCidrImport`.
```
aws ram create-resource-share --region us-east-1 --profile ipam-account --name PoolShare2 --resource-arns arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035 --principals 111122223333 --permission-arns arn:aws:ram::aws:permission/AWSRAMPermissionIpamPoolByoipCidrImport
```
```
{
"resourceShare": {
"resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7993758c-a4ea-43ad-be12-b3abaffe361a",
"name": "PoolShare2",
"owningAccountId": "123456789012",
"allowExternalPrincipals": true,
"status": "ACTIVE",
"creationTime": "2023-04-28T07:32:25.536000-07:00",
"lastUpdatedTime": "2023-04-28T07:32:25.536000-07:00"
}
}
```
1. (Facultatif) Si vous souhaitez autoriser le **byoip-owner-account** compte à allouer des adresses IP CIDRS du pool IPAM aux IPv4 pools publics une fois le transfert terminé, copiez l'ARN pour `AWSRAMDefaultPermissionsIpamPool` et créez un second partage de ressources. La valeur pour `--resource-arns` est l'ARN du groupe IPAM que vous avez créé dans la section précédente. La valeur pour `--principals` est l'identifiant du compte du propriétaire du CIDR BYOIP. La valeur pour `--permission-arns` est l'ARN de l'autorisation `AWSRAMDefaultPermissionsIpamPool`.
```
aws ram create-resource-share --region us-east-1 --profile ipam-account --name PoolShare1 --resource-arns arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035 --principals 111122223333 --permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionsIpamPool
```
```
{
"resourceShare": {
"resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/8d1e229b-2830-4cf4-8b10-19c889235a2f",
"name": "PoolShare1",
"owningAccountId": "123456789012",
"allowExternalPrincipals": true,
"status": "ACTIVE",
"creationTime": "2023-04-28T07:31:25.536000-07:00",
"lastUpdatedTime": "2023-04-28T07:31:25.536000-07:00"
}
}
```
Suite à la création du partage de ressources dans la RAM, le byoip-owner-account compte peut désormais passer CIDRs à IPAM.
## Étape 5 : Transférer un IPV4 CIDR BYOIP existant vers IPAM
Suivez les étapes décrites dans cette section pour transférer un IPV4 CIDR BYOIP existant vers IPAM. Cette étape doit être effectuée par le compte **byoip-owner-account**.
**Important**
Une fois que vous avez transféré une plage d' IPv4 adresses AWS, vous pouvez utiliser toutes les adresses IP de la plage, y compris la première adresse (adresse réseau) et la dernière adresse (adresse de diffusion).
Pour transférer le CIDR BYOIP vers IPAM, le propriétaire du CIDR BYOIP doit disposer des autorisations suivantes dans sa stratégie IAM :
+ `ec2:MoveByoipCidrToIpam`
+ `ec2:ImportByoipCidrToIpam`
**Note**
Vous pouvez utiliser le AWS Management Console ou le AWS CLI pour cette étape.
------
#### [ AWS Management Console ]
**Pour transférer un CIDR BYOIP vers le groupe IPAM :**
1. Ouvrez la console IPAM en [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)tant que **byoip-owner-account** compte.
1. Dans le panneau de navigation, choisissez **Pools** (Groupes).
1. Choisissez le groupe de niveau supérieur créé et partagé dans ce tutoriel.
1. Choisissez **Actions** > **Transférer le CIDR BYOIP**.
1. Choisissez **Transférer le CIDR BYOIP**.
1. Choisissez votre CIDR BYOIP.
1. Choisissez **Provisionner**.
------
#### [ Command line ]
Utilisez les AWS CLI commandes suivantes pour transférer un CIDR BYOIP vers le pool IPAM à l'aide de : AWS CLI
1. Exécutez la commande suivante pour transférer le CIDR. Assurez-vous que la `--region` valeur est la AWS région du CIDR BYOIP.
```
aws ec2 move-byoip-cidr-to-ipam --region us-west-2 --profile byoip-owner-account --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --ipam-pool-owner 123456789012 --cidr 130.137.249.0/24
```
Dans la sortie, vous verrez l'approvisionnement CIDR en attente.
```
{
"ByoipCidr": {
"Cidr": "130.137.249.0/24",
"State": "pending-transfer"
}
}
```
1. Assurez-vous que le CIDR a été transféré. Exécutez la commande suivante jusqu'à ce que l'état `complete-transfer` apparaisse dans la sortie.
```
aws ec2 move-byoip-cidr-to-ipam --region us-west-2 --profile byoip-owner-account --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --ipam-pool-owner 123456789012 --cidr 130.137.249.0/24
```
L'exemple de sortie suivant illustre l'état.
```
{
"ByoipCidr": {
"Cidr": "130.137.249.0/24",
"State": "complete-transfer"
}
}
```
------
## Étape 6 : affichage du CIDR dans IPAM
Suivez les étapes de cette section pour afficher le CIDR dans IPAM. Cette étape doit être effectuée par le compte **ipam-account**.
**Pour afficher le CIDR BYOIP transféré dans le pool IPAM à l'aide du AWS CLI**
+ Exécutez la commande suivante pour afficher l'allocation gérée dans IPAM. Assurez-vous que la `--region` valeur est la AWS région du CIDR BYOIP.
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --profile ipam-account --ipam-pool-id ipam-pool-0d8f3646b61ca5987
```
La sortie affiche l'allocation dans IPAM.
```
{
"IpamPoolAllocations": [
{
"Cidr": "130.137.249.0/24",
"IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc46",
"ResourceId": "ipv4pool-ec2-0019eed22a684e0b3",
"ResourceType": "ec2-public-ipv4-pool",
"ResourceOwner": "111122223333"
}
]
}
```
## Étape 7 : nettoyage
Suivez les étapes de cette section pour supprimer les ressources que vous avez créées dans ce tutoriel. Cette étape doit être effectuée par le compte **ipam-account**.
**Pour nettoyer les ressources créées dans ce didacticiel à l'aide du AWS CLI**
1. Pour supprimer la ressource partagée du groupe IPAM, exécutez la commande suivante pour obtenir le premier ARN de partage de ressources :
```
aws ram get-resource-shares --region us-east-1 --profile ipam-account --name PoolShare1 --resource-owner SELF
```
```
{
"resourceShares": [
{
"resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/8d1e229b-2830-4cf4-8b10-19c889235a2f",
"name": "PoolShare1",
"owningAccountId": "123456789012",
"allowExternalPrincipals": true,
"status": "ACTIVE",
"creationTime": "2023-04-28T07:31:25.536000-07:00",
"lastUpdatedTime": "2023-04-28T07:31:25.536000-07:00",
"featureSet": "STANDARD"
}
]
}
```
1. Copiez l'ARN du partage de ressources et utilisez-le pour supprimer le partage de ressources du groupe IPAM.
```
aws ram delete-resource-share --region us-east-1 --profile ipam-account --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/8d1e229b-2830-4cf4-8b10-19c889235a2f
```
```
{
"returnValue": true
}
```
1. Si vous avez créé un partage de ressources supplémentaire dans [Étape 4 : partager le pool IPAM à l'aide de AWS RAM](#tutorials-byoip-ipam-transfer-ipv4-4), répétez les deux étapes précédentes pour obtenir l'ARN du deuxième partage de ressources pour `PoolShare2` et supprimer le deuxième partage de ressources.
1. Exécutez la commande suivante pour obtenir l'ID d'allocation du CIDR BYOIP. Assurez-vous que la `--region` valeur correspond à la AWS région du CIDR BYOIP.
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --profile ipam-account --ipam-pool-id ipam-pool-0d8f3646b61ca5987
```
La sortie affiche l'allocation dans IPAM.
```
{
"IpamPoolAllocations": [
{
"Cidr": "130.137.249.0/24",
"IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc46",
"ResourceId": "ipv4pool-ec2-0019eed22a684e0b3",
"ResourceType": "ec2-public-ipv4-pool",
"ResourceOwner": "111122223333"
}
]
}
```
1. Libérez le CIDR du IPv4 pool public. Lorsque vous exécutez la commande dans cette section, la valeur de `--region` doit correspondre à la Région de votre IPAM.
Cette étape doit être réalisée par le compte **byoip-owner-account**.
```
aws ec2 deprovision-public-ipv4-pool-cidr --region us-east-1 --profile byoip-owner-account --pool-id ipv4pool-ec2-0019eed22a684e0b3 --cidr 130.137.249.0/24
```
1. Consultez à CIDRs nouveau votre BYOIP et assurez-vous qu'il n'y a plus d'adresses provisionnées. Lorsque vous exécutez la commande dans cette section, la valeur de `--region` doit correspondre à la Région de votre IPAM.
Cette étape doit être réalisée par le compte **byoip-owner-account**.
```
aws ec2 describe-public-ipv4-pools --region us-east-1 --profile byoip-owner-account
```
Dans le résultat, vous verrez le nombre d'adresses IP dans votre IPv4 pool public.
```
{
"PublicIpv4Pools": [
{
"PoolId": "ipv4pool-ec2-0019eed22a684e0b3",
"Description": "",
"PoolAddressRanges": [],
"TotalAddressCount": 0,
"TotalAvailableAddressCount": 0,
"NetworkBorderGroup": "us-east-1",
"Tags": []
}
]
}
```
1. Exécutez la commande suivante pour supprimer le groupe de niveau supérieur.
```
aws ec2 delete-ipam-pool --region us-east-1 --profile ipam-account --ipam-pool-id ipam-pool-0a03d430ca3f5c035
```
Dans la sortie, vous pouvez voir l'état de suppression.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-east-1",
"PoolDepth": 2,
"State": "delete-in-progress",
"Description": "top-level-pool",
"AutoImport": false,
"Advertisable": true,
"AddressFamily": "ipv4",
"AwsService": "ec2"
}
}
```
# Didacticiel : Planifier l'espace d'adresse IP VPC pour les allocations IP de sous-réseau
Suivez ce didacticiel pour planifier l'espace d'adresse IP du VPC afin d'allouer des adresses IP aux sous-réseaux VPC et de surveiller les métriques relatives aux adresses IP au niveau du sous-réseau et du VPC.
**Note**
Ce didacticiel couvre l'allocation d'un espace d' IPv4 adressage privé dans une étendue IPAM privée à des sous-réseaux VPCs et à des sous-réseaux. Vous pouvez également suivre ce didacticiel à l'aide d'une plage d' IPv6 adresses CIDR en créant le VPC avec une option de blocage CIDR IPv6 fournie par Amazon sur la console VPC.
La planification de l'espace d'adresse IP VPC pour les sous-réseaux vous permet d'effectuer les opérations suivantes :
+ **Planifier et organiser les adresses IP de votre VPC pour les allouer aux sous-réseaux** : vous pouvez diviser l'espace d'adresses IP du VPC en blocs d'adresse CIDR plus petits et allouer ces blocs d'adresse CIDR à des sous-réseaux ayant des besoins commerciaux différents, par exemple si vous exécutez des charges de travail dans des sous-réseaux de développement ou de production.
+ **Simplifier les allocations d'adresses IP pour les sous-réseaux VPC** : une fois que l'espace d'adresse de votre VPC est planifié et organisé, vous pouvez choisir une longueur de masque réseau plutôt que de saisir manuellement un CIDR. Par exemple, si un développeur crée un sous-réseau pour héberger des charges de travail de développement, il doit choisir un groupe et une longueur de masque réseau pour le sous-réseau et l'IPAM allouera automatiquement le bloc CIDR à votre sous-réseau.
L'exemple suivant illustre la hiérarchie du groupe et la structure de ressources que vous allez créer à l'aide de ce didacticiel :
+ Portée privée
+ Groupe de planification des ressources (10.0.0.0/20)
+ Groupe de sous-réseau de développement (10.0.0.0/24)
+ Sous-réseau de développement (10.0.0.0/28)
+ Groupe de sous-réseau de production (10.0.0.1/24)
+ Sous-réseau de production (10.0.0.16/28)
**Important**
Le pool de planification des ressources peut être utilisé pour allouer des ressources CIDRs à des sous-réseaux ou il peut être utilisé comme pool source dans lequel vous pouvez créer d'autres pools. Dans ce didacticiel, nous utilisons le groupe de planification des ressources comme groupe source pour les groupes de sous-réseaux.
Vous pouvez créer plusieurs pools de planification des ressources à l'aide du même VPC si plusieurs CIDR sont fournis au VPC ; si deux d'entre eux sont CIDRs attribués à un VPC, par exemple, vous pouvez créer deux pools de planification des ressources, un pour chaque CIDR. Chaque adresse CIDR peut être attribuée à un groupe à la fois.
## Étape 1 : Création d’un VPC
Suivez les étapes de cette section pour créer un VPC à utiliser pour la planification des adresses IP de sous-réseau. Pour plus d'informations sur les autorisations IAM requises pour créer VPCs, consultez les exemples de [politiques Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-policy-examples.html) dans le guide de l'utilisateur *Amazon VPC*.
**Note**
Vous pouvez utiliser un VPC existant plutôt que d'en créer un nouveau, mais ce didacticiel se concentre sur le scénario dans lequel le VPC est configuré avec un bloc d'adresse CIDR alloué manuellement, et non avec un bloc d'adresse CIDR alloué automatiquement par l'IPAM.
**Pour créer un VPC**
1. À l'aide du compte d'administrateur IPAM, ouvrez la console VPC à l'adresse. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Sélectionnez **Create VPC** (Créer un VPC).
1. Saisissez un nom pour le VPC, par exemple didacticiel-vpc.
1. Choisissez la **saisie manuelle IPv4 CIDR** et entrez un bloc IPv4 CIDR. Dans ce didacticiel, nous utilisons 10.0.0.0/20.
1. Ignorez l'option permettant d'ajouter un bloc IPv6 CIDR.
1. Sélectionnez **Create VPC** (Créer un VPC).
1. À l'aide du compte administrateur IPAM, ouvrez la console IPAM à l'adresse. [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)
1. Dans le volet de navigation de gauche, choisissez **Ressources**.
1. Attendez que le VPC que vous avez créé apparaisse. Cela prend un certain temps et vous devrez peut-être rafraîchir la fenêtre pour le voir apparaître. Le VPC doit être découvert par l'IPAM avant de passer à l'étape suivante.
## Étape 2 : créer un groupe de planification des ressources
Suivez les étapes de cette section pour créer un groupe de planification des ressources.
**Pour créer un groupe de planification des ressources**
1. À l'aide du compte administrateur IPAM, ouvrez la console IPAM à l'adresse. [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)
1. Dans le panneau de navigation, choisissez **Pools** (Groupes).
1. Choisissez la portée privée.
1. Sélectionnez **Create pool** (Créer un groupe).
1. Sous **Portée IPAM**, laissez la portée privée sélectionnée.
1. (Facultatif) Ajoutez un **tag Name** pour le pool, tel que « R esource-planning-pool ».
1. Sous **Source**, choisissez **Portée IPAM**.
1. Sous **Planification des ressources**, choisissez **Planifier l'espace IP dans un VPC** et choisissez le VPC que vous avez créé à l'étape précédente. Le VPC est la ressource utilisée pour approvisionner le pool CIDRs de planification des ressources.
1. Sous **CIDRs Provisionner**, choisissez le VPC CIDR à provisionner pour le pool de ressources. Le CIDR que vous provisionnez au groupe de planification des ressources doit correspondre au CIDR fourni au VPC. Dans ce didacticiel, nous utilisons 10.0.0.0/20.
1. Sélectionnez **Create pool** (Créer un groupe).
1. Une fois le groupe créé, choisissez l'onglet **CIDR** pour voir l'état du CIDR provisionné. Actualisez la page et attendez que l'état du CIDR passe de *Provision en attente* à *Provisionné* avant de passer à l'étape suivante.
## Étape 3 : créer des groupes de sous-réseaux
Suivez les étapes de cette section pour créer deux groupes de sous-réseaux qui seront utilisés pour allouer de l'espace IP aux sous-réseaux.
**Pour créer des groupes de sous-réseaux**
1. À l'aide du compte administrateur IPAM, ouvrez la console IPAM à l'adresse. [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)
1. Dans le panneau de navigation, choisissez **Pools** (Groupes).
1. Choisissez la portée privée.
1. Sélectionnez **Create pool** (Créer un groupe).
1. Sous **Portée IPAM**, laissez la portée privée sélectionnée.
1. (Facultatif) Ajoutez un **tag Name** pour le pool, tel que « dev-subnet-pool ».
1. Sous **Source**, choisissez le **Groupe IPAM** et sélectionnez le groupe de planification des ressources que vous avez créé à l'étape 3. La famille d'adresses, la configuration de planification des ressources et les paramètres régionaux sont automatiquement hérités du groupe source.
1. Sous **CIDRs provisionner**, choisissez le CIDR à provisionner pour le pool de sous-réseaux. Dans ce didacticiel, nous utilisons 10.0.0.0/24.
1. Sélectionnez **Create pool** (Créer un groupe).
1. Une fois le groupe créé, choisissez l'onglet **CIDR** pour voir l'état du CIDR provisionné. Actualisez la page et attendez que l'état du CIDR passe de *Provision en attente* à *Provisionné* avant de passer à l'étape suivante.
1. Répétez ce processus pour créer un autre sous-réseau appelé « prod-subnet-pool ».
À ce stade, si vous souhaitez mettre ce pool de sous-réseaux à la disposition d'autres AWS comptes, vous pouvez le partager. Pour obtenir des instructions sur la façon de procéder, consultez [Partage d'un groupe IPAM à l'aide d'AWS RAM](share-pool-ipam.md). Revenez ensuite ici pour terminer le didacticiel.
## Étape 4 : créer des sous-réseaux
Suivez ces étapes pour créer deux sous-réseaux.
**Pour créer des sous-réseaux**
1. À l'aide du compte approprié, ouvrez la console VPC à l'adresse. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Choisissez **Sous-réseaux** > **Créer un sous-réseau**.
1. Choisissez le VPC que vous avez créé au début de ce didacticiel.
1. Entrez un nom pour le sous-réseau, par exemple « didacticiel sous-réseau ».
1. (facultatif) Choisissez une **Zone de disponibilité**.
1. Sous bloc d'**IPv4 adresse CIDR, choisissez le bloc** d'adresse ** IPV4 CIDR alloué par iPam**, puis choisissez le pool de sous-réseaux de développement et un masque réseau /28.
1. Choisissez **Create subnet** (Créer un sous-réseau).
1. Répétez ce processus pour créer un autre sous-réseau. Cette fois, choisissez le groupe de sous-réseaux de production et un masque réseau /28.
1. Revenez à la console IPAM et choisissez **Ressources** dans le panneau de navigation de gauche.
1. Recherchez les groupes de sous-réseaux que vous avez créés et attendez que les sous-réseaux que vous avez créés apparaissent en dessous. Cela prend un certain temps et vous devrez peut-être rafraîchir la fenêtre pour le voir apparaître.
Le didacticiel est terminé. Vous pouvez créer des groupes de sous-réseaux supplémentaires selon vos besoins ou vous pouvez lancer une instance EC2 dans l'un des sous-réseaux.
L'IPAM publie des métriques relatives à l'utilisation des adresses IP dans les sous-réseaux. Vous pouvez définir des CloudWatch alarmes sur la IPUsage métrique du sous-réseau, ce qui vous permet de prendre des mesures lorsque les seuils d'utilisation des adresses IP sont dépassés. Si, par exemple, un CIDR /24 (256 adresses IP) est attribué à un sous-réseau et que vous souhaitez être averti lorsque 80 % de ce CIDR IPs ont été utilisés, vous pouvez configurer une CloudWatch alarme pour vous avertir lorsque ce seuil est atteint. Pour plus d'informations sur la création d'une alarme pour l'utilisation de l'adresse IP du sous-réseau, consultez [Astuce rapide pour créer des alarmes](cloudwatch-ipam-res-util.md#cloudwatch-ipam-res-util-tip).
## Étape 5 : nettoyage
Suivez ces étapes pour supprimer les ressources que vous avez créées à l'aide de ce didacticiel.
**Nettoyer les ressources.**
1. À l'aide du compte administrateur IPAM, ouvrez la console IPAM à l'adresse. [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)
1. Dans le panneau de navigation, choisissez **Pools** (Groupes).
1. Choisissez la portée privée.
1. Choisissez le groupe de planification des ressources, puis **Action** > **Supprimer**.
1. Sélectionnez **Supprimer en cascade**. Le groupe de planification des ressources et les groupes de sous-réseaux seront supprimés. Cela ne supprimera pas les sous-réseaux eux-mêmes. Ils resteront ceux qui leur sont CIDRs fournis, même s'ils ne CIDRs proviendront plus d'un pool IPAM.
1. Sélectionnez **Delete (Supprimer)**.
1. [Supprimer les sous-réseaux](https://docs.aws.amazon.com/vpc/latest/userguide/subnet-deleting.html).
1. [Supprimer le VPC](https://docs.aws.amazon.com/vpc/latest/userguide/delete-vpc.html).
Le nettoyage est terminé.
# Allouer des adresses IP Elastic séquentielles à partir d’un groupe IPAM
L'IPAM vous permet de fournir des IPv4 blocs publics appartenant à Amazon aux pools IPAM et d'allouer des [adresses IP élastiques](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html) séquentielles de ces pools aux ressources. AWS
Les adresses IP élastiques allouées de manière contiguë sont des IPv4 adresses publiques allouées de manière séquentielle. Par exemple, si Amazon vous fournit un bloc d'adresse IPv4 CIDR public de `192.0.2.0/30` et que vous allouez les quatre IPv4 adresses publiques disponibles à partir de ce bloc d'adresse CIDR, un exemple de quatre adresses IP élastiques séquentielles est`192.0.2.0`,`192.0.2.1`, `192.0.2.2` et. `192.0.2.3`
Les adresses IP Elastic allouées de manière contiguë vous permettent de simplifier vos règles de sécurité et de réseau de la manière suivante :
+ **Administration de la sécurité** : l'utilisation d' IPv4 adresses séquentielles réduit les frais de gestion de votre pare-feu. Vous pouvez ajouter un préfixe entier à une seule règle et l'associer à IPs partir du même préfixe au fur et à mesure de votre mise à l'échelle, ce qui vous permet d'économiser du temps et des efforts.
+ **Accès d'entreprise** : vous pouvez simplifier l'espace d'adressage partagé avec vos clients en utilisant un bloc CIDR complet au lieu d'une longue liste d' IPv4 adresses publiques individuelles. Cela évite d’avoir à communiquer constamment les modifications d’adresse IP au fur et à mesure que votre application évolue sur AWS.
+ **Gestion IP simplifiée** : L'utilisation d' IPv4 adresses séquentielles simplifie la gestion des adresses IP publiques pour votre équipe réseau centrale, car elle réduit le besoin de suivre le public individuel IPs et lui permet de se concentrer sur un nombre limité de préfixes IP.
Dans ce tutoriel, vous allez suivre les étapes nécessaires pour allouer des adresses IP Elastic séquentielles à partir d’un groupe IPAM. Vous allez créer un pool IPAM avec un bloc IPv4 CIDR public contigu fourni par Amazon, allouer des adresses IP élastiques à partir du pool et apprendre à surveiller les allocations de pool IPAM.
**Note**
Des frais sont associés au provisionnement de blocs CIDR publics IPv4 appartenant à Amazon. Pour plus d'informations, consultez l'onglet ** IPv4 Bloc contigu fourni par Amazon** sur la page de tarification d'Amazon [VPC](https://aws.amazon.com//vpc/pricing/).
Ce tutoriel part du principe que vous souhaitez créer un IPAM [à l’aide d’IPAM avec un seul compte](enable-single-user-ipam.md). Si vous souhaitez partager des IPv4 blocs publics contigus appartenant à Amazon sur plusieurs comptes, d'abord et ensuite. [Intégration d'IPAM aux comptes d'une organisation AWS](enable-integ-ipam.md) [Partage d'un groupe IPAM à l'aide d'AWS RAM](share-pool-ipam.md) Si vous intégrez AWS Organizations, vous avez la possibilité de créer une [politique de contrôle des services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) pour empêcher le déprovisionnement des IPv4 blocs contig affectés au pool.
Vous ne pouvez pas [transférer](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithEIPs.html#transfer-EIPs-intro) les adresses IP Elastic séquentielles allouées depuis un groupe IPAM vers d’autres comptes AWS . Au lieu de cela, IPAM vous permet de partager des pools IPAM entre différents AWS comptes en intégrant IPAM aux AWS Organizations (comme indiqué ci-dessus).
Le nombre de blocs IPv4 CIDR publics appartenant à Amazon que vous pouvez provisionner et leur taille sont limités. Pour de plus amples informations, veuillez consulter [Quotas pour votre IPAM](quotas-ipam.md).
**Topics**
+ [Étape 1 : création d'un IPAM](#tutorials-eip-pool-1)
+ [Étape 2 : création d’un groupe IPAM et provisionnement d’un CIDR](#tutorials-eip-pool-2)
+ [Étape 3 : allocation d’une adresse IP Elastic à partir du groupe](#tutorials-eip-pool-3)
+ [Étape 4 : association de l’adresse IP Elastic à une instance EC2](#tutorials-eip-pool-4)
+ [Étape 5 : suivre et surveiller l’utilisation du groupe](#track-monitor-eips-ipam)
+ [Nettoyage](#tutorials-eip-pool-cleanup)
## Étape 1 : création d'un IPAM
Suivez les étapes de cette section pour créer un IPAM.
------
#### [ AWS Management Console ]
**Pour créer un IPAM**
1. Ouvrez la console IPAM à [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)l'adresse.
1. Dans la console AWS de gestion, choisissez la AWS région dans laquelle vous souhaitez créer l'IPAM. Créez IPAM dans votre Région d'opérations principale.
1. Sur la page d'accueil, sélectionnez **Create IPAM** (Créer un IPAM).
1. Sélectionnez **Allow Amazon VPC IP Address Manager to replicate data from source account(s) into an IPAM Delegate account (Autoriser Amazon VPC IP Address Manager à répliquer les données du ou des comptes source dans le compte IPAM délégué)**. Si vous ne sélectionnez pas cette option, vous ne pouvez pas créer d'IPAM.
1. Choisissez un **niveau IPAM**. Pour plus d'informations sur les fonctionnalités disponibles dans chaque niveau et les coûts associés aux niveaux, consultez l'onglet IPAM sur la [page de tarification d'Amazon VPC](https://aws.amazon.com//vpc/pricing/).
1. Sous **Operating regions** (Régions d'exploitation), sélectionnez les Régions AWS dans lesquelles cet IPAM peut gérer et découvrir des ressources. La AWS région dans laquelle vous créez votre IPAM est sélectionnée comme l'une des régions opérationnelles par défaut. Par exemple, si vous créez cet IPAM dans une AWS région `us-east-1` mais que vous souhaitez créer ultérieurement des pools IPAM régionaux qui le fournissent CIDRs `us-west-2`, sélectionnez `us-west-2` ici. VPCs Si vous oubliez une Région d'exploitation, vous pouvez revenir ultérieurement et modifier vos paramètres IPAM.
**Note**
Si vous créez un IPAM dans le cadre de l'offre gratuite, vous pouvez sélectionner plusieurs régions d'exploitation pour votre IPAM, mais la seule fonctionnalité IPAM qui sera disponible dans toutes les régions d'exploitation est [Public IP Insights](view-public-ip-insights.md). Vous ne pouvez pas utiliser d'autres fonctionnalités dans le cadre de l'offre gratuite, comme BYOIP, dans les régions d'exploitation de l'IPAM. Vous ne pouvez les utiliser que dans la Région d'accueil de l'IPAM. Pour utiliser toutes les fonctionnalités IPAM dans toutes les régions d'exploitation, [créez un IPAM dans le niveau avancé](mod-ipam-tier.md).
1. Sélectionnez **Create IPAM** (Créer un IPAM).
------
#### [ Command line ]
Les commandes de cette section renvoient à la documentation de référence de la AWS CLI. La documentation fournit des descriptions détaillées des options que vous pouvez utiliser lorsque vous exécutez les commandes.
Créez l’IPAM à l’aide de la commande [create-ipam](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-ipam.html) :
```
aws ec2 create-ipam --region us-east-1
```
Exemple de réponse :
```
{
"Ipam": {
"OwnerId": "320805250157",
"IpamId": "ipam-0755477df834ea06b",
"IpamArn": "arn:aws:ec2::320805250157:ipam/ipam-0755477df834ea06b",
"IpamRegion": "us-east-1",
"PublicDefaultScopeId": "ipam-scope-01bc7290e4a9202f9",
"PrivateDefaultScopeId": "ipam-scope-0a50983b97a7a583a",
"ScopeCount": 2,
"OperatingRegions": [
{
"RegionName": "us-east-1"
}
],
"State": "create-in-progress",
"Tags": [],
"DefaultResourceDiscoveryId": "ipam-res-disco-02cc5b34cc3f04f09",
"DefaultResourceDiscoveryAssociationId": "ipam-res-disco-assoc-06b3a4dccfc81f7c1",
"ResourceDiscoveryAssociationCount": 1,
"Tier": "advanced"
}
}
```
Vous en aurez besoin PublicDefaultScopeId à l'étape suivante. Pour plus d'informations sur les portées, consultez [Fonctionnement d'IPAM](how-it-works-ipam.md).
------
## Étape 2 : création d’un groupe IPAM et provisionnement d’un CIDR
Suivez les étapes de cette section pour créer un groupe IPAM à partir duquel vous allouerez les adresses IP Elastic.
------
#### [ AWS Management Console ]
**Création d’un groupe**
1. Ouvrez la console IPAM à [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)l'adresse.
1. Dans le panneau de navigation, choisissez **Pools** (Groupes).
1. Choisissez la portée Public. Pour plus d'informations sur les portées, consultez [Fonctionnement d'IPAM](how-it-works-ipam.md).
1. Sélectionnez **Create pool** (Créer un groupe).
1. (Facultatif) Ajoutez une valeur **Name tag** (Étiquette de nom) du groupe et une **Description** du groupe.
1. Sous **Source**, choisissez **Portée IPAM**.
1. Sous **Famille d'adresses**, sélectionnez **IPv4**.
1. Sous **Planification des ressources**, laissez sélectionné **Planifier l'espace IP dans la portée**.
1. Sous **Paramètres régionaux**, choisissez les paramètres régionaux du groupe. Le paramètre régional est la AWS région dans laquelle vous souhaitez que ce pool IPAM soit disponible pour les allocations. Les options disponibles proviennent des Régions d'exploitation que vous avez sélectionnées lors de la création de votre IPAM.
1. Sous **Service**, choisissez **EC2 (EIP/VPC)**. Le service que vous sélectionnez détermine le AWS service pour lequel le CIDR sera annoncé. Actuellement, la seule option est **EC2 (EIP/VPC)**, ce qui signifie que les CIDR alloués à partir de ce groupe seront annoncés pour le service Amazon EC2 (pour les adresses IP Elastic).
1. Sous **Source IP publique**, sélectionnez **appartenant à Amazon**.
1. Sous **CIDR à provisionner**, choisissez **Ajouter un CIDR public appartenant à Amazon**. Choisissez une longueur de **masque réseau** comprise entre `/29` (8 adresses IP) et `/30` (4 adresses IP). Vous pouvez en ajouter jusqu'à 2 CIDRs par défaut. Pour plus d'informations sur l'augmentation des limites du public contigu fourni par Amazon, consultez. IPv4 CIDRs [Quotas pour votre IPAM](quotas-ipam.md)
1. Laissez l’option **Configurer les paramètres des règles d’allocation de ce groupe** non sélectionnée.
1. (En option) Sélectionnez **Tags** (Étiquettes) pour le groupe.
1. Sélectionnez **Create pool** (Créer un groupe).
Vérifiez que ce CIDR a été provisionné avant de continuer. Vous pouvez voir l'état du provisionnement dans l'**CIDRs**onglet de la page de détails du pool.
------
#### [ Command line ]
**Création d’un groupe**
1. Créez un pool IPAM à l'aide de la [create-ipam-pool](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-ipam-pool.html)commande. Le paramètre régional est la Région AWS dans laquelle vous souhaitez que ce groupe IPAM soit disponible pour les allocations. Les options disponibles proviennent des Régions d'exploitation que vous avez sélectionnées lors de la création de votre IPAM.
```
aws ec2 create-ipam-pool --region us-east-1 --ipam-scope-id ipam-scope-01bc7290e4a9202f9 --address-family ipv4 --locale us-east-1 --aws-service ec2 --public-ip-source amazon
```
Exemple de réponse avec état `create-in-progress` :
```
{
"IpamPool": {
"OwnerId": "320805250157",
"IpamPoolId": "ipam-pool-07ccc86aa41bef7ce",
"IpamPoolArn": "arn:aws:ec2::320805250157:ipam-pool/ipam-pool-07ccc86aa41bef7ce",
"IpamScopeArn": "arn:aws:ec2::320805250157:ipam-scope/ipam-scope-01bc7290e4a9202f9",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::320805250157:ipam/ipam-0755477df834ea06b",
"IpamRegion": "us-east-1",
"Locale": "us-east-1",
"PoolDepth": 1,
"State": "create-in-progress",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": [],
"AwsService": "ec2",
"PublicIpSource": "amazon"
}
}
```
1. Vérifiez que le pool a été créé avec succès à l'aide de la [describe-ipam-pools](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-ipam-pools.html)commande.
```
aws ec2 describe-ipam-pools --region us-east-1 --ipam-pool-ids ipam-pool-07ccc86aa41bef7ce
```
Exemple de réponse avec état `create-complete` :
```
{
"IpamPools": [
{
"OwnerId": "320805250157",
"IpamPoolId": "ipam-pool-07ccc86aa41bef7ce",
"IpamPoolArn": "arn:aws:ec2::320805250157:ipam-pool/ipam-pool-07ccc86aa41bef7ce",
"IpamScopeArn": "arn:aws:ec2::320805250157:ipam-scope/ipam-scope-01bc7290e4a9202f9",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::320805250157:ipam/ipam-0755477df834ea06b",
"IpamRegion": "us-east-1",
"Locale": "us-east-1",
"PoolDepth": 1,
"State": "create-complete",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": [],
"AwsService": "ec2",
"PublicIpSource": "amazon"
}
]
}
```
1. Fournissez un CIDR au pool à l'aide de la [provision-ipam-pool-cidr](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/provision-ipam-pool-cidr.html)commande. Choisissez `--netmask-length` entre `/29` (8 adresses IP) et `/30` (4 adresses IP). Vous pouvez en ajouter jusqu'à 2 CIDRs par défaut. Pour plus d'informations sur l'augmentation des limites du public contigu fourni par Amazon, consultez. IPv4 CIDRs [Quotas pour votre IPAM](quotas-ipam.md)
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-07ccc86aa41bef7ce --netmask-length 29
```
Exemple de réponse avec état `pending-provision` :
```
{
"IpamPoolCidr": {
"State": "pending-provision",
"IpamPoolCidrId": "ipam-pool-cidr-01856e43994df4913b7bc6aac47adf983",
"NetmaskLength": 29
}
}
```
1. Vérifiez que ce CIDR a été provisionné avant de continuer. Vous pouvez consulter l'état du provisionnement à l'aide de la [get-ipam-pool-cidrs](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/get-ipam-pool-cidrs.html)commande.
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-07ccc86aa41bef7ce
```
Exemple de réponse avec état `provisioned` :
```
{
"IpamPoolCidrs": [
{
"Cidr": "18.97.0.40/29",
"State": "provisioned",
"IpamPoolCidrId": "ipam-pool-cidr-01856e43994df4913b7bc6aac47adf983",
"NetmaskLength": 29
}
]
}
```
------
## Étape 3 : allocation d’une adresse IP Elastic à partir du groupe
Suivez les étapes de cette section pour allouer une adresse IP Elastic à partir du groupe.
------
#### [ AWS Management Console ]
Suivez les étapes décrites dans la section [Allouer une adresse IP Elastic](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-allocating) dans le *Guide de l’utilisateur Amazon EC2* pour attribuer l’adresse, mais notez ce qui suit :
+ Assurez-vous que la AWS région dans laquelle vous vous trouvez dans la console EC2 correspond à l'option locale que vous avez choisie lors de la création du pool à l'étape 2.
+ Lorsque vous choisissez le pool d'adresses, choisissez l'option **Allouer à l'aide d'un pool IPv4 IPAM** et choisissez le pool que vous avez créé à l'étape 1.
------
#### [ Command line ]
Allouez une adresse depuis le groupe à l’aide de la commande [allocate-address](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/allocate-address.html). L’option `--region` utilisée doit correspondre à l’option `-locale` que vous avez choisie lors de la création du groupe à l’étape 2. Incluez l’ID du groupe IPAM que vous avez créé à l’étape 2 dans `--ipam-pool-id`.
```
aws ec2 allocate-address --region us-east-1 --ipam-pool-id ipam-pool-07ccc86aa41bef7ce
```
Exemple de réponse :
```
{
"PublicIp": "18.97.0.41",
"AllocationId": "eipalloc-056cdd6019c0f4b46",
"PublicIpv4Pool": "ipam-pool-07ccc86aa41bef7ce",
"NetworkBorderGroup": "us-east-1",
"Domain": "vpc"
}
```
En option, vous pouvez également choisir un élément spécifique `/32` dans votre groupe IPAM en utilisant l’option `--address`.
```
aws ec2 allocate-address --region us-east-1 --ipam-pool-id ipam-pool-07ccc86aa41bef7ce --address 18.97.0.41
```
Exemple de réponse :
```
{
"PublicIp": "18.97.0.41",
"AllocationId": "eipalloc-056cdd6019c0f4b46",
"PublicIpv4Pool": "ipam-pool-07ccc86aa41bef7ce",
"NetworkBorderGroup": "us-east-1",
"Domain": "vpc"
}
```
Pour plus d’informations, veuillez consulter la rubrique [Attribuer une adresse IP Elastic](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-allocating) dans le *Guide de l’utilisateur Amazon EC2*.
------
## Étape 4 : association de l’adresse IP Elastic à une instance EC2
Suivez les étapes de cette section pour association de l’adresse IP Elastic à une instance EC2.
------
#### [ AWS Management Console ]
Suivez les étapes décrites dans [Associer une adresse IP élastique](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-associating) dans le *guide de l'utilisateur Amazon EC2* pour attribuer une adresse IP élastique à partir du pool IPAM, mais notez ce qui suit : lorsque vous utilisez l'option AWS Management Console, la AWS région à laquelle vous associez l'adresse IP élastique doit correspondre à l'option locale que vous avez choisie lors de la création du pool à l'étape 2.
------
#### [ Command line ]
Utilisez la commande [associate-address](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/allocate-address.html) pour associer une adresse IP Elastic à une instance. L’option `--region` à laquelle vous associez l’adresse IP Elastic doit correspondre à l’option `--locale` que vous avez choisie lors de la création du groupe à l’étape 2.
```
aws ec2 associate-address --region us-east-1 --instance-id i-07459a6fca5b35823 --public-ip 18.97.0.41
```
Exemple de réponse :
```
{
"AssociationId": "eipassoc-06aa85073d3936e0e"
}
```
Pour plus d’informations, voir [Associer une adresse IP Elastic à une instance ou à une interface réseau](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-associating) dans le *Guide de l’utilisateur Amazon EC2*.
------
## Étape 5 : suivre et surveiller l’utilisation du groupe
Une fois que vous avez alloué des adresses IP Elastic à partir du groupe IPAM, vous pouvez suivre et surveiller les allocations du groupe IPAM.
------
#### [ AWS Management Console ]
+ Consultez l’onglet **Allocations** des détails du groupe IPAM dans la console IPAM. Toutes les adresses IP Elastic allouées à partir du groupe IPAM ont un **type de ressource** **EIP**.
+ Utiliser [Public IP Insights](view-public-ip-insights.md) :
+ Sous **Types d'adresses IP publiques**, filtrez selon les adresses appartenant **à Amazon EIPs**. Cela indique le nombre total d' IPv4 adresses publiques allouées aux adresses IP Elastic appartenant à Amazon. Si vous filtrez en fonction de cette mesure et que vous faites défiler la page jusqu’aux **adresses IP publiques**, vous verrez les adresses IP Elastic que vous avez allouées.
+ **Sous **Utilisation de l'EIP**, filtrez par propriété **associée à Amazon EIPs ou Propriété non** associée à Amazon. EIPs** Cela indique le nombre total d'adresses IP élastiques que vous avez allouées à votre AWS compte et que vous avez associées ou non à une instance, une interface réseau ou une AWS ressource EC2. Si vous filtrez en fonction de cette mesure et que vous accédez à **Adresses IP publiques** au bas de la page, vous verrez des détails sur les ressources filtrées.
+ Dans le cadre de l'** IPs utilisation IPv4 contiguë appartenant à Amazon, surveillez l'utilisation** séquentielle des IPv4 adresses publiques au fil du temps et les pools IPAM associés appartenant à Amazon. IPv4
+ Utilisez Amazon CloudWatch pour suivre et surveiller les métriques relatives aux IPv4 blocs publics contigus fournis par Amazon qui ont été fournis à des pools IPAM. Pour les métriques disponibles spécifiques aux IPv4 blocs contigus, consultez la section **Mesures IP publiques sous**. [Métriques IPAM](cloudwatch-ipam-ip-address-usage.md) En plus de consulter les statistiques, vous pouvez créer des alarmes sur Amazon CloudWatch pour vous avertir lorsque les seuils sont atteints. La création d'alarmes et la configuration de notifications avec Amazon CloudWatch n'entrent pas dans le cadre de ce didacticiel. Pour plus d'informations, consultez la section [Utilisation des CloudWatch alarmes Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) dans le *guide de CloudWatch l'utilisateur Amazon*.
------
#### [ Command line ]
+ Affichez les allocations du pool IPAM à l'aide de la [get-ipam-pool-allocations](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-pool-allocations.html)commande. Toutes les adresses IP Elastic allouées à partir du groupe IPAM ont un **type de ressource** **EIP**.
```
aws ec2 get-ipam-pool-allocations --region us-east-1 --ipam-pool-id ipam-pool-07ccc86aa41bef7ce
```
Exemple de réponse :
```
{
"IpamPoolAllocations": [
{
"Cidr": "18.97.0.40/32",
"IpamPoolAllocationId": "ipam-pool-alloc-0bd07df786e8148aba2763e2b6c1c44bd",
"ResourceId": "eipalloc-0c9decaa541d89aa9",
"ResourceType": "eip",
"ResourceRegion": "us-east-1",
"ResourceOwner": "320805250157"
}
]
}
```
+ Utilisez Amazon CloudWatch pour suivre et surveiller les métriques relatives aux IPv4 blocs publics contigus fournis par Amazon qui ont été fournis à des pools IPAM. Pour les métriques disponibles spécifiques aux IPv4 blocs contigus, consultez la section **Mesures IP publiques sous**. [Métriques IPAM](cloudwatch-ipam-ip-address-usage.md) En plus de consulter les statistiques, vous pouvez créer des alarmes sur Amazon CloudWatch pour vous avertir lorsque les seuils sont atteints. La création d'alarmes et la configuration de notifications avec Amazon CloudWatch n'entrent pas dans le cadre de ce didacticiel. Pour plus d'informations, consultez la section [Utilisation des CloudWatch alarmes Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) dans le *guide de CloudWatch l'utilisateur Amazon*.
------
Le tutoriel est maintenant terminé. Vous avez créé un pool IPAM avec un bloc IPv4 CIDR public contigu fourni par Amazon, alloué des adresses IP élastiques à partir du pool et appris à surveiller les allocations de pool IPAM. Passez à la section suivante pour supprimer les ressources que vous avez créées dans ce tutoriel.
## Nettoyage
Suivez les étapes de cette section pour nettoyer les ressources que vous avez créées dans ce tutoriel.
**Étape 1 : dissocier une adresse IP Elastic**
Suivez les étapes [Dissocier une adresse IP Elastic](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-associating-different) dans le *Guide de l’utilisateur Amazon EC2* pour dissocier l’adresse IP Elastic.
**Étape 2 : affectation de l’adresse IP Elastic**
Suivez les étapes décrites dans la [section Libérer une adresse IP élastique](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing-eips-releasing.html) dans le *guide de l'utilisateur Amazon EC2* pour libérer une adresse IP élastique depuis le pool public IPv4 .
**Étape 3 : déprovisionnement du CIDR à partir du groupe IPAM**
Effectuez les étapes [Déprovisionnement CIDRs depuis un pool](depro-pool-cidr-ipam.md) pour déprovisionner le CIDR public appartenant à Amazon du groupe IPAM. Cette étape est obligatoire pour la suppression du groupe. Le IPv4 bloc contigu fourni par Amazon vous sera facturé jusqu'à ce que cette étape soit terminée.
**Étape 4 : supprimer le groupe IPAM**
Suivez les étapes décrites dans [Suppression d'un groupe](delete-pool-ipam.md) pour supprimer le groupe IPAM.
**Étape 5 : supprimer l’IPAM**
Suivez les étapes décrites dans [Suppression d'un IPAM](delete-ipam.md) pour supprimer l’IPAM.
Le nettoyage du tutoriel est terminé.