# Amazon VPC IP Address Manager 자습서
다음 자습서는 AWS CLI를 사용하여 일반적인 IPAM 작업을 수행하는 방법을 보여줍니다. AWS CLI를 가져오려면 [IPAM 액세스](access-ipam.md) 섹션을 참조하세요. 이 자습서에서 언급한 IPAM 개념에 대한 자세한 내용은 [IPAM 작동 방식](how-it-works-ipam.md) 섹션을 참조하세요.
**Topics**
+ [AWS CLI를 사용하여 IPAM 시작하기](getting-started-with-ipam-using-the-aws-cli.md)
+ [콘솔을 사용하여 IPAM 및 풀 생성](tutorials-get-started-console.md)
+ [AWS CLI를 사용하여 IPAM 및 풀 생성](tutorials-create-vpc-ipam.md)
+ [AWS CLI를 사용하여 IP 주소 기록 보기](tutorials-historical-insights.md)
+ [IPAM으로 ASN 가져오기](tutorials-byoasn.md)
+ [IPAM으로 IP 주소 가져오기](tutorials-byoip-ipam.md)
+ [IPAM으로 BYOIP IPv4 CIDR 전송](tutorials-byoip-ipam-transfer-ipv4.md)
+ [서브넷 IP 할당을 위한 VPC IP 주소 공간 계획](tutorials-subnet-planning.md)
+ [IPAM 풀에서 순차적 탄력적 IP 주소 할당](tutorials-eip-pool.md)
# AWS CLI를 사용하여 IPAM 시작하기
이 튜토리얼에서는 단일 AWS 계정을 사용하여 AWS CLI로 Amazon VPC IP Address Manager(IPAM)를 설정 및 사용하는 프로세스를 안내합니다. 이 튜토리얼을 마치면 IPAM을 생성하고, IP 주소 풀의 계층 구조를 생성하며, CIDR을 VPC에 할당하게 됩니다.
## 사전 조건
튜토리얼 시작 전에 확인해야 할 사항:
+ IPAM 리소스를 생성 및 관리할 수 있는 권한이 있는 AWS 계정.
+ 적절한 자격 증명으로 AWS CLI 설치 및 구성. AWS CLI 설치 관련 정보는 [최신 버전의 AWS CLI 설치 또는 업데이트](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)를 참조하세요. AWS CLI 구성 관련 정보는 [구성 기본 사항](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-quickstart.html)을 참조하세요.
+ IP 주소 지정 및 CIDR 표기법에 대한 기본적인 이해.
+ Amazon VPC 개념에 대한 기본적인 지식.
+ 튜토리얼 완료에는 약 30분이 소요됩니다.
## IPAM 생성
첫 번째 단계는 운영 리전이 있는 IPAM을 생성하는 것입니다. IPAM을 사용하면 AWS 워크로드의 IP 주소를 계획, 추적 및 모니터링할 수 있습니다.
us-east-1 및 us-west-2의 운영 리전이 포함된 IPAM 생성:
```
aws ec2 create-ipam \
--description "My IPAM" \
--operating-regions RegionName=us-east-1 RegionName=us-west-2
```
이 명령을 실행하면 IPAM이 생성되고 지정된 리전의 IP 주소를 관리할 수 있습니다. 운영 리전은 IPAM이 IP 주소 CIDR을 관리할 수 있는 AWS 리전입니다.
IPAM 생성 확인:
```
aws ec2 describe-ipams
```
후속 단계에서 필요하므로 출력의 IPAM ID를 확인합니다.
IPAM이 완전히 생성되고 사용 가능할 때까지 기다립니다(약 20초).
```
sleep 20
```
## IPAM 범위 ID 가져오기
IPAM을 생성하면 AWS에서 프라이빗 및 퍼블릭 범위를 자동으로 생성합니다. 이 튜토리얼에서는 프라이빗 범위를 사용합니다.
IPAM 세부 정보 검색 및 프라이빗 범위 ID 추출:
```
aws ec2 describe-ipams --ipam-id ipam-0abcd1234
```
`ipam-0abcd1234`를 실제 IPAM ID로 바꿉니다.
출력의 `PrivateDefaultScopeId` 필드에서 프라이빗 범위 ID를 찾고 기록합니다. 파일은 `ipam-scope-0abcd1234`와 같이 표시됩니다.
## 최상위 IPv4 풀 생성
이제 프라이빗 범위에서 최상위 풀을 생성합니다. 이 풀은 계층 구조에서 다른 모든 풀의 상위 역할을 합니다.
최상위 IPv4 풀 생성:
```
aws ec2 create-ipam-pool \
--ipam-scope-id ipam-scope-0abcd1234 \
--address-family ipv4 \
--description "Top-level pool"
```
`ipam-scope-0abcd1234`를 실제 프라이빗 범위 ID로 바꿉니다.
풀이 완전히 생성되고 사용 가능할 때까지 대기:
```
aws ec2 describe-ipam-pools --ipam-pool-ids ipam-pool-0abcd1234 --query 'IpamPools[0].State' --output text
```
`ipam-pool-0abcd1234`를 실제 최상위 풀 ID로 바꿉니다. 계속하기 전에 `create-complete` 상태가 되어야 합니다.
풀을 사용할 수 있게 되면 CIDR 블록 프로비저닝:
```
aws ec2 provision-ipam-pool-cidr \
--ipam-pool-id ipam-pool-0abcd1234 \
--cidr 10.0.0.0/8
```
CIDR이 완전히 프로비저닝될 때까지 대기:
```
aws ec2 get-ipam-pool-cidrs --ipam-pool-id ipam-pool-0abcd1234 --query "IpamPoolCidrs[?Cidr=='10.0.0.0/8'].State" --output text
```
계속하기 전에 `provisioned` 상태가 되어야 합니다.
## 리전 IPv4 풀 생성
다음으로 최상위 풀 내에 리전 풀을 생성합니다. 이 풀은 특정 AWS 리전에만 해당됩니다.
리전 IPv4 풀 생성:
```
aws ec2 create-ipam-pool \
--ipam-scope-id ipam-scope-0abcd1234 \
--source-ipam-pool-id ipam-pool-0abcd1234 \
--locale us-east-1 \
--address-family ipv4 \
--description "Regional pool in us-east-1"
```
`ipam-scope-0abcd1234`를 실제 프라이빗 범위 ID로 바꾸고, `ipam-pool-0abcd1234`를 최상위 풀 ID로 바꿉니다.
리전 풀이 완전히 생성되고 사용 가능할 때까지 대기:
```
aws ec2 describe-ipam-pools --ipam-pool-ids ipam-pool-1abcd1234 --query 'IpamPools[0].State' --output text
```
`ipam-pool-1abcd1234`를 실제 리전 풀 ID로 바꿉니다. 계속하기 전에 `create-complete` 상태가 되어야 합니다.
풀을 사용할 수 있게 되면 CIDR 블록 프로비저닝:
```
aws ec2 provision-ipam-pool-cidr \
--ipam-pool-id ipam-pool-1abcd1234 \
--cidr 10.0.0.0/16
```
CIDR이 완전히 프로비저닝될 때까지 대기:
```
aws ec2 get-ipam-pool-cidrs --ipam-pool-id ipam-pool-1abcd1234 --query "IpamPoolCidrs[?Cidr=='10.0.0.0/16'].State" --output text
```
계속하기 전에 `provisioned` 상태가 되어야 합니다.
## 개발 IPv4 풀 생성
이제 리전 풀 내에 개발 풀을 생성합니다. 이 풀은 개발 환경에 사용됩니다.
개발 IPv4 풀 생성:
```
aws ec2 create-ipam-pool \
--ipam-scope-id ipam-scope-0abcd1234 \
--source-ipam-pool-id ipam-pool-1abcd1234 \
--locale us-east-1 \
--address-family ipv4 \
--description "Development pool"
```
`ipam-scope-0abcd1234`를 실제 프라이빗 범위 ID로 바꾸고, `ipam-pool-1abcd1234`를 리전 풀 ID로 바꿉니다.
참고: 상위 풀의 로캘과 일치하도록 `--locale` 파라미터를 포함해야 합니다.
개발 풀이 완전히 생성되고 사용 가능할 때까지 대기:
```
aws ec2 describe-ipam-pools --ipam-pool-ids ipam-pool-2abcd1234 --query 'IpamPools[0].State' --output text
```
`ipam-pool-2abcd1234`를 실제 개발 풀 ID로 바꿉니다. 계속하기 전에 `create-complete` 상태가 되어야 합니다.
풀을 사용할 수 있게 되면 CIDR 블록 프로비저닝:
```
aws ec2 provision-ipam-pool-cidr \
--ipam-pool-id ipam-pool-2abcd1234 \
--cidr 10.0.0.0/24
```
CIDR이 완전히 프로비저닝될 때까지 대기:
```
aws ec2 get-ipam-pool-cidrs --ipam-pool-id ipam-pool-2abcd1234 --query "IpamPoolCidrs[?Cidr=='10.0.0.0/24'].State" --output text
```
계속하기 전에 `provisioned` 상태가 되어야 합니다.
## IPAM 풀 CIDR을 사용하는 VPC 생성
마지막으로 IPAM 풀의 CIDR을 사용하는 VPC를 생성합니다. IPAM을 사용하여 AWS 리소스에 IP 주소 공간을 어떻게 할당할 수 있는지 보여줍니다.
IPAM 풀 CIDR을 사용하는 VPC 생성:
```
aws ec2 create-vpc \
--ipv4-ipam-pool-id ipam-pool-2abcd1234 \
--ipv4-netmask-length 26 \
--tag-specifications 'ResourceType=vpc,Tags=[{Key=Name,Value=IPAM-VPC}]'
```
`ipam-pool-2abcd1234`를 실제 개발 풀 ID로 바꿉니다.
`--ipv4-netmask-length 26` 파라미터는 풀에서 /26 CIDR 블록(64개 IP 주소)을 할당하도록 지정합니다. 이 넷마스크 길이는 풀의 CIDR 블록(/24)보다 작도록 선택됩니다.
VPC 생성 확인:
```
aws ec2 describe-vpcs --filters "Name=tag:Name,Values=IPAM-VPC"
```
## IPAM 풀 할당 확인
CIDR이 IPAM 풀에서 할당되었는지 확인:
```
aws ec2 get-ipam-pool-allocations \
--ipam-pool-id ipam-pool-2abcd1234
```
`ipam-pool-2abcd1234`를 실제 개발 풀 ID로 바꿉니다.
이 명령을 실행하면 방금 생성한 VPC를 포함하여 지정된 IPAM 풀의 모든 할당이 표시됩니다.
## 문제 해결
다음은 IPAM을 사용할 때 발생할 수 있는 몇 가지 일반적인 문제입니다.
+ **권한 오류**: IAM 사용자 또는 역할에 IPAM 리소스를 생성 및 관리하는 데 필요한 권한이 있는지 확인하세요. `ec2:CreateIpam`, `ec2:CreateIpamPool` 및 기타 관련 권한이 필요할 수 있습니다.
+ **리소스 제한 초과**: 기본적으로 계정당 하나의 IPAM만 생성할 수 있습니다. 이미 IPAM이 있는 경우 새 IPAM을 생성하거나 기존 IPAM을 사용하기 전에 IPAM을 삭제해야 합니다.
+ **CIDR 할당 실패**: 풀에 CIDR을 프로비저닝할 때 프로비저닝하려는 CIDR이 다른 풀의 기존 할당과 겹치지 않아야 합니다.
+ **API 요청 시간 초과**: "RequestExpired" 오류가 발생하는 경우 네트워크 지연 시간 또는 시간 동기화 문제가 원인일 수 있습니다. 명령을 다시 시도하세요.
+ **잘못된 상태 오류**: "IncorrectState" 오류가 발생하면 올바른 상태가 아닌 리소스에서 작업을 수행하려고 하는 것이 원인일 수 있습니다. 계속하기 전에 리소스가 완전히 생성되거나 프로비저닝될 때까지 기다립니다.
+ **할당 크기 오류**: 할당 크기와 관련하여 "InvalidParameterValue" 오류가 발생하는 경우 요청 중인 넷마스크 길이가 풀 크기에 적합한지 확인합니다. 예를 들어 /24 풀에서 /25 CIDR을 할당할 수는 없습니다.
+ **종속성 위반**: 리소스를 정리할 때 "DependencyViolation" 오류가 발생할 수 있습니다. 리소스가 서로 종속되어 있기 때문입니다. 풀을 삭제하기 전에 생성 역순으로 리소스를 삭제하고 CIDR 프로비저닝을 해제해야 합니다.
## 리소스 정리
이 튜토리얼을 완료하면 불필요한 요금이 발생하지 않도록 생성한 리소스를 정리하세요.
1. VPC를 삭제합니다.
```
aws ec2 delete-vpc --vpc-id vpc-0abcd1234
```
1. 개발 풀에서 CIDR 프로비저닝 해제:
```
aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-2abcd1234 --cidr 10.0.0.0/24
```
1. 개발 풀 삭제:
```
aws ec2 delete-ipam-pool --ipam-pool-id ipam-pool-2abcd1234
```
1. 리전 풀에서 CIDR 프로비저닝 해제:
```
aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-1abcd1234 --cidr 10.0.0.0/16
```
1. 리전 풀 삭제:
```
aws ec2 delete-ipam-pool --ipam-pool-id ipam-pool-1abcd1234
```
1. 최상위 풀에서 CIDR 프로비저닝 해제:
```
aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-0abcd1234 --cidr 10.0.0.0/8
```
1. 최상위 풀 삭제:
```
aws ec2 delete-ipam-pool --ipam-pool-id ipam-pool-0abcd1234
```
1. IPAM 삭제:
```
aws ec2 delete-ipam --ipam-id ipam-0abcd1234
```
모든 ID를 실제 리소스 ID로 바꿉니다.
**참고**
다음 단계로 진행하기 전에 리소스가 완전히 삭제되도록 작업 간에 대기해야 할 수 있습니다. 종속성 위반이 발생하면 몇 초 정도 기다린 다음 다시 시도하세요.
## 다음 단계
이제 AWS CLI에서 IPAM을 생성하고 사용하는 방법을 학습했으니 고급 기능을 살펴보는 것이 좋습니다.
+ [IP 주소 프로비저닝 계획](planning-ipam.md) - IP 주소 공간을 효과적으로 계획하는 방법 학습
+ [리소스별 CIDR 사용량 모니터링](monitor-cidr-compliance-ipam.md) - IP 주소 사용량을 모니터링하는 방법 이해
+ [AWS RAM을 사용하여 IPAM 풀 공유](share-pool-ipam.md) - AWS 계정 간에 IPAM 풀을 공유하는 방법 학습
+ [AWS Organization에서 계정과 IPAM 통합](enable-integ-ipam.md) - 조직에서 IPAM을 사용하는 방법 학습
# 자습서: 콘솔을 사용하여 IPAM 및 풀 생성
이 자습서에서는 IPAM을 생성하고, AWS Organizations와 통합하고, IP 주소 풀을 생성하고, IPAM 풀에서 CIDR을 사용하여 VPC를 생성합니다.
이 자습서에서는 IPAM을 사용하여 다양한 개발 요구 사항에 따라 IP 주소 공간을 구성하는 방법을 보여줍니다. 이 자습서를 완료하면 사전 프로덕션 리소스를 위한 IP 주소 풀을 하나 갖게 됩니다. 그런 다음 라우팅 및 보안 요구 사항에 따라 프로덕션 리소스를 위한 풀 등의 다른 풀을 생성할 수 있습니다.
IPAM을 단일 사용자로 사용할 수 있지만 AWS Organizations와 통합하면 조직 내 계정 전체의 IP 주소를 관리할 수 있습니다. 이 자습서에서는 IPAM을 조직의 계정과 통합하는 방법을 다룹니다. [IPAM을 조직 외부 계정과 통합](enable-integ-ipam-outside-org.md) 방법은 다루지 않습니다.
**참고**
이 자습서에서는 특정 방식으로 IPAM 리소스의 이름을 지정하고, 특정 리전에서 IPAM 리소스를 생성하고, 풀에 특정 IP 주소 CIDR 범위를 사용하도록 지시합니다. 이는 IPAM에서 사용할 수 있는 선택 사항을 간소화하고 IPAM을 빠르게 시작할 수 있도록 하기 위한 것입니다. 이 자습서를 완료한 후에는 새 IPAM을 생성하고 다르게 구성할 수 있습니다.
**Topics**
+ [사전 조건](#prerequisites)
+ [AWS Organizations가 IPAM과 통합되는 방식](#how-aws-organizations-integrates-with-ipam)
+ [1단계: IPAM 관리자 위임](#1-delegate-an-ipam-administrator)
+ [2단계: IPAM 생성](#2-create-an-ipam)
+ [3단계: 최상위 IPAM 풀 생성](#3-create-a-toplevel-ipam-pool)
+ [4단계: 리전 IPAM 풀 생성](#4-create-regional-ipam-pools)
+ [5단계: 사전 프로덕션 개발 풀 생성](#5-create-a-preproduction-development-pool)
+ [6단계: IPAM 풀 공유](#6-share-the-ipam-pool)
+ [7단계: IPAM 풀에서 할당된 CIDR을 사용하여 VPC 생성](#7-create-a-vpc-with-a-cidr-allocated-from-an-ipam-pool)
+ [8단계: 정리](#8-cleanup)
## 사전 조건
시작하기 전에 하나 이상의 멤버 계정으로 AWS Organizations 계정을 설정해야 합니다. 방법 지침은 [AWS Organizations 사용 설명서](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html)의 *조직 생성 및 관리*를 참조하세요.
## AWS Organizations가 IPAM과 통합되는 방식
이 섹션에서는 이 자습서에서 사용하는 AWS Organizations 계정의 예를 보여줍니다. 이 자습서에서 IPAM과 통합할 때 사용하는 조직에는 세 가지 계정이 있습니다.
+ IPAM 콘솔에 로그인하고 IPAM 관리자를 위임하기 위한 관리 계정(다음 이미지에서는 **example-management-account**). 조직의 관리 계정을 IPAM 관리자로 사용할 수 없습니다.
+ IPAM 관리자 계정인 멤버 계정(다음 이미지에서는 *example-member-account-1*). IPAM 관리자 계정은 IPAM을 생성하고 이를 사용하여 조직 전체의 IP 주소 사용을 관리하고 모니터링하는 일을 담당합니다. 조직의 모든 멤버 계정을 IPAM 관리자로 위임할 수 있습니다.
+ 개발자 계정인 멤버 계정(다음 이미지에서는 *example-member-account-2*). 이 계정은 IPAM 풀에서 할당된 CIDR을 사용하여 VPC를 생성합니다.
![\[예제 관리 및 멤버 계정이 있는 AWS Organizations org의 예.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-10_4.png)
계정 외에도 개발자 계정으로 사용할 멤버 계정이 포함된 조직 구성 단위의 ID(앞의 이미지에서 **ou-fssg-q5brfv9c**)가 필요합니다. 이후 단계에서 IPAM 풀을 공유할 때 이 OU와 공유할 수 있도록 이 ID가 필요합니다.
**참고**
*관리* 계정과 *멤버* 계정 등의 AWS Organizations 계정 유형에 대한 자세한 내용은 [AWS Organizations 용어 및 개념](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)을 참조하세요.
## 1단계: IPAM 관리자 위임
이 단계에서는 AWS Organizations 멤버 계정을 IPAM 관리자로 위임합니다. IPAM 관리자를 위임하면 각 AWS Organizations 멤버 계정에 [서비스 연결 역할](iam-ipam-slr.md)이 자동으로 생성됩니다. IPAM은 각 멤버 계정에서 서비스 연결 역할을 수임하여 이러한 계정의 IP 주소 사용을 모니터링합니다. 그러면 조직 단위에 관계없이 리소스와 해당 CIDR을 검색할 수 있습니다.
필수 AWS Identity and Access Management(IAM) 권한이 없으면 이 단계를 완료할 수 없습니다. 자세한 내용은 [AWS Organization에서 계정과 IPAM 통합](enable-integ-ipam.md) 섹션을 참조하세요.
**IPAM 관리자 계정 위임**
1. AWS Organizations 관리 계정을 사용하여 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)에서 IPAM 콘솔을 엽니다.
1. AWS Management Console에서 IPAM에서 작업하려는 AWS 리전을 선택합니다.
1. 탐색 창에서 **조직 설정**을 선택합니다.
1. **위임**을 선택합니다. **위임** 옵션은 콘솔에 AWS Organizations 관리 계정으로 로그인한 경우에만 사용할 수 있습니다.
1. 조직 멤버 계정의 AWS 계정 ID를 입력합니다. IPAM 관리자는 관리 계정이 아닌 AWS Organizations 멤버 계정이어야 합니다.
![\[IPAM 관리자를 위임하는 IPAM 콘솔의 설정 편집 옵션.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-_U_2bIBCUfjFZXB4le6FUg.png)
1. **변경 사항 저장**을 선택합니다. **위임된 관리자** 정보는 멤버 계정과 관련된 세부 정보로 채워집니다.
## 2단계: IPAM 생성
이 단계에서는 IPAM을 생성합니다. IPAM을 생성하면 IPAM이 자동으로 IPAM에 대한 두 가지 범위, 즉 모든 프라이빗 공간을 위한 프라이빗 범위와 모든 퍼블릭 공간을 위한 퍼블릭 범위를 생성합니다. 풀 및 할당과 함께 범위는 IPAM의 핵심 구성 요소입니다. 자세한 내용은 [IPAM 작동 방식](how-it-works-ipam.md) 섹션을 참조하세요.
**IPAM 생성**
1. [이전 단계](#1-delegate-an-ipam-administrator)에서 IPAM 관리자로 위임된 AWS Organizations 멤버 계정을 사용하여 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)에서 IPAM 콘솔을 엽니다.
1. AWS 관리 콘솔에서 IPAM을 생성하려는 AWS 리전을 선택합니다. 기본 작업 리전에서 IPAM을 생성합니다.
1. 서비스 홈 페이지에서 **IPAM 생성(Create IPAM)**을 선택합니다.
1. **Amazon VPC IP 주소 관리자가 소스 계정의 데이터를 IPAM 위임 계정으로 복제하도록 허용(Allow Amazon VPC IP Address Manager to replicate data from source account(s) into the IPAM delegate account)**을 선택합니다. 이 옵션을 선택하지 않은 경우 IPAM을 생성할 수 없습니다.
![\[Amazon IP Address Manager가 소스 계정에서 IPAM 위임 계정으로 데이터를 복제하도록 허용 확인란에 대한 설명이 포함된 IPAM 페이지를 IPAM 콘솔에서 생성합니다.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-HxHJCv2B3DfNcq--wo_gGg.png)
1. **운영 리전**에서 이 IPAM이 리소스를 관리하고 검색할 수 있는 AWS 리전을 선택합니다. IPAM을 생성하는 AWS 리전은 자동으로 운영 리전 중 하나로 선택됩니다. 이 자습서에서는 IPAM의 홈 리전이 us-east-1이므로 추가 운영 리전으로 us-west-1과 us-west-2를 선택합니다. 운영 리전을 잊어버린 경우 나중에 IPAM 설정을 편집하고 리전을 추가하거나 편집할 수 있습니다.
![\[IPAM 콘솔의 IPAM 설정 섹션.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-D85nBxGA1n7iyDVmB7HOCw.png)
1. **IPAM 생성(Create IPAM)**을 선택합니다.
![\[IPAM을 성공적으로 생성한 후 IPAM 콘솔의 결과 페이지.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-FUAVxduwVP5FBYU2GLnlkQ.png)
## 3단계: 최상위 IPAM 풀 생성
이 자습서에서는 최상위 IPAM 풀부터 시작하여 풀 계층 구조를 생성합니다. 이후 단계에서는 리전 풀 중 하나에 한 쌍의 리전 풀과 사전 프로덕션 개발 풀을 생성합니다.
IPAM으로 구축할 수 있는 풀 계층 구조에 대한 자세한 내용은 [IPAM 풀 계획의 예](planning-examples-ipam.md) 섹션을 참조하세요.
**최상위 풀 생성**
1. IPAM 관리자 계정을 사용하여 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)에서 IPAM 콘솔을 엽니다.
1. 탐색 창에서 **Pools**를 선택합니다.
1. 프라이빗 범위를 선택합니다.
![\[IPAM 콘솔에서 프라이빗 범위 선택\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-2QXpOvOj0i1rotyKoLjeMQ_update.png)
1. **풀 생성(Create pool)**을 선택합니다.
1. **IPAM 범위**에서 프라이빗 범위를 선택한 상태로 둡니다.
1. (선택 사항) 풀에 대한 **이름 태그**와 설명(예: 'Global pool')을 추가합니다.
1. **소스**에서 **IPAM 범위**를 선택합니다. 최상위 풀이므로 소스 풀이 없습니다.
1. **주소 패밀리(Address family)**에서 **IPv4**를 선택합니다.
1. **리소스 계획**에서 **범위 내에서 IP 공간 계획**을 선택한 상태로 둡니다. 이 옵션을 사용하여 VPC 내 서브넷 IP 공간을 계획하는 방법에 대한 자세한 내용은 [자습서: 서브넷 IP 할당을 위한 VPC IP 주소 공간 계획](tutorials-subnet-planning.md)를 참조하세요.
1. **로캘(Locale)**의 경우 **없음(None)**을 선택합니다. 로캘은 이 IPAM 풀을 할당에 사용할 수 있도록 하려는 AWS 리전입니다. 이 자습서의 다음 섹션에서 생성할 리전 풀의 로캘을 설정합니다.
![\[IPAM 콘솔에서 풀 생성.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-daejldSm0ArWYGkedgKekQ.png)
1. 풀에 대해 프로비저닝할 CIDR을 선택합니다. 이 예제에서는 10.0.0.0/16을 프로비저닝합니다.
![\[IPAM 콘솔에서 풀에 대해 프로비저닝할 CIDR 정의.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-inrC8QzrnWgW6nmdPkk1rw.png)
1. **이 풀의 할당 규칙 설정 구성**을 비활성화된 상태로 둡니다. 이는 최상위 수준 풀이며, 이 풀에서 직접 VPC에 CIDR을 할당하지 않습니다. 대신 이 풀에서 생성하는 하위 풀에서 CIDR을 할당합니다.
![\[IPAM 콘솔에서 풀에 대한 할당 규칙 설정 선택.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-8j4A_Tr5hG95xWIFfi1wkw.png)
1. **풀 생성(Create pool)**을 선택합니다. 풀이 생성되고 CIDR이 **프로비저닝 보류 중** 상태입니다.
![\[풀을 생성한 후 IPAM 콘솔의 프로비저닝 보류 중 메시지.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-2_1.png)
1. 다음 단계로 이동하기 전에 **프로비저닝됨** 상태가 될 때까지 기다립니다.
![\[풀을 성공적으로 생성한 후 IPAM 콘솔의 프로비저닝됨 메시지.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-3_1.png)
최상위 수준 풀을 생성했으므로 이제 us-west-1과 us-west-2에 리전 풀을 생성합니다.
## 4단계: 리전 IPAM 풀 생성
이 섹션에서는 2개의 리전 풀을 사용하여 IP 주소를 구성하는 방법을 설명합니다. 이 자습서에서는 [예제 IPAM 풀 플랜](planning-examples-ipam.md) 중 하나를 따르고 조직의 멤버 계정에서 VPC에 CIDR을 할당하는 데 사용할 수 있는 2개의 리전 풀을 생성합니다.
**리전 풀 생성**
1. IPAM 관리자 계정을 사용하여 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)에서 IPAM 콘솔을 엽니다.
1. 탐색 창에서 **Pools**를 선택합니다.
1. 프라이빗 범위를 선택합니다.
![\[IPAM 콘솔에서 프라이빗 범위 선택\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-Jb3iudGe4fGJDkVVMqnCpA_update.png)
1. **풀 생성(Create pool)**을 선택합니다.
1. **IPAM 범위**에서 프라이빗 범위를 선택한 상태로 둡니다.
1. (선택 사항) 풀에 대한 **이름 태그**와 설명(예: **Regional pool us-west-1**)을 추가합니다.
![\[IPAM 콘솔에서 풀의 이름 추가.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-U9TfeMAvqPNqdM3o18oNCA.png)
1. **소스**에서 **IPAM 풀**을 선택하고 [3단계: 최상위 IPAM 풀 생성](#3-create-a-toplevel-ipam-pool)에서 생성한 최상위 풀(‘Global pool’)을 선택합니다. 그런 다음 **로캘**에서 **us-west-1**을 선택합니다.
![\[IPAM 콘솔에서 소스 풀 선택.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-Qg017oruyE3w2MEkQXr1EQ.png)
1. **리소스 계획**에서 **범위 내에서 IP 공간 계획**을 선택한 상태로 둡니다. 이 옵션을 사용하여 VPC 내 서브넷 IP 공간을 계획하는 방법에 대한 자세한 내용은 [자습서: 서브넷 IP 할당을 위한 VPC IP 주소 공간 계획](tutorials-subnet-planning.md)를 참조하세요.
1. **프로비저닝할 CIDR**에서 10.0.0.0/18을 입력합니다. 그러면 이 풀에 약 16,000개의 사용 가능한 IP 주소가 제공됩니다.
![\[IPAM 콘솔에서 풀에 대해 프로비저닝할 CIDR 선택.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-os9vwNonWgaIGDkbq3Pjbg.png)
1. **이 풀의 할당 규칙 설정 구성**을 비활성화된 상태로 둡니다. 이 풀에서 직접 VPC에 CIDR을 할당하지 않습니다. 대신 이 풀에서 생성하는 하위 풀에서 CIDR을 할당합니다.
![\[IPAM 콘솔의 이 풀의 할당 규칙 설정 구성 토글.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-8j4A_Tr5hG95xWIFfi1wkw.png)
1. **풀 생성(Create pool)**을 선택합니다.
1. **풀** 뷰로 돌아가 생성한 IPAM 풀의 계층 구조를 봅니다.
![\[IPAM 콘솔의 2개의 풀이 있는 풀 뷰.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-Ki7fsgUEn6miZE5Hg2TmrA_update.png)
1. 이 섹션의 단계를 반복하고 CIDR ** 10.0.64.0/18**이 프로비저닝된 **us-west-2** 로캘에 두 번째 리전 풀을 생성합니다. 해당 프로세스를 완료하면 계층 구조에 다음과 비슷한 3개의 풀이 생깁니다.
![\[IPAM 콘솔의 3개의 풀이 있는 풀 뷰.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-5_update.png)
## 5단계: 사전 프로덕션 개발 풀 생성
이 섹션의 단계에 따라 리전 풀 중 하나 내에 사전 프로덕션 리소스에 대한 개발 풀을 생성합니다.
**사전 프로덕션 개발 풀 생성**
1. 이전 섹션에서와 동일한 방식으로 IPAM 관리자 계정을 사용하여 **Pre-prod pool**이라는 풀을 생성합니다. 단, 이번에는 **Regional pool us-west-1**을 소스 풀로 사용합니다.
![\[IPAM 콘솔에서 풀 생성.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-BxJv7N7ierzIQDRiC4_R0Q.png)
1. 프로비저닝할 CIDR을 10.0.0.0/20으로 지정합니다. 그러면 이 풀에 약 4,000개의 IP 주소가 제공됩니다.
![\[IPAM 콘솔에서 풀에 대한 CIDR 선택.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-jn0QtJsRo5iF5R5oHp7Sqw.png)
1. **이 풀의 할당 규칙 설정 구성** 옵션을 전환합니다. 해결 방법:
1. **CIDR 관리** 아래의 **검색된 리소스 자동 가져오기**에서 기본값인 **허용 안 함** 옵션을 선택된 상태로 둡니다. 이 옵션을 사용하면 IPAM이 풀의 로캘에서 검색한 리소스 CIDR을 자동으로 가져올 수 있습니다. 이 옵션에 대한 자세한 설명은 이 자습서의 범위를 벗어나지만 [최상위 IPv4 풀 생성](create-top-ipam.md)에서 옵션에 대한 자세한 내용을 읽을 수 있습니다.
1. **넷마스크 규정 준수** 아래에서 최소, 기본 및 최대 넷마스크 길이로 **/24**를 선택합니다. 이 옵션에 대한 자세한 설명은 이 자습서의 범위를 벗어나지만 [최상위 IPv4 풀 생성](create-top-ipam.md)에서 옵션에 대한 자세한 내용을 읽을 수 있습니다. 중요한 점은 나중에 이 풀의 CIDR을 사용하여 생성하는 VPC가 여기에서 설정한 내용에 따라 /24로 제한된다는 것입니다.
1. **태그 규정 준수** 아래에서 **environment/pre-prod**를 입력합니다. 이 태그는 VPC가 풀에서 공간을 할당하는 데 필요합니다. 이것이 어떻게 작동하는지 나중에 보여드리겠습니다.
![\[IPAM 콘솔에서 풀을 생성할 때 모든 풀 설정의 뷰.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-D2Yr4efRG3X7MeME2urYJA.png)
1. **풀 생성(Create pool)**을 선택합니다.
1. 이제 풀 계층 구조에는 **Regional pool us-west-1** 아래에 추가 하위 풀이 포함됩니다.
![\[IPAM 콘솔의 4개의 풀이 있는 풀 뷰.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-DrNlvRjI9cFmNfq7Xa4x0w_update.png)
이제 IPAM 풀을 조직의 다른 멤버 계정과 공유하고 해당 계정이 풀에서 CIDR을 할당하도록 설정하여 VPC를 생성할 준비가 되었습니다.
## 6단계: IPAM 풀 공유
이 섹션의 단계에 따라 AWS Resource Access Manager(RAM)를 사용하여 사전 프로덕션 IPAM 풀을 공유합니다.
이 섹션은 2개의 하위 섹션으로 구성되어 있습니다.
+ [6.1단계. AWS RAM에서 리소스 공유 활성화](#61-enable-resource-sharing-in-aws-ram): 이 단계는 AWS Organizations 관리 계정으로 수행해야 합니다.
+ [6.2단계. AWS RAM을 사용하여 IPAM 풀 공유](#62-share-an-ipam-pool-using-aws-ram): 이 단계는 IPAM 관리자로 수행해야 합니다.
### 6.1단계. AWS RAM에서 리소스 공유 활성화
IPAM을 생성한 후에는 IP 주소 풀을 조직의 다른 계정과 공유할 수 있습니다. IPAM 풀을 공유하기 전에 이 단원의 단계를 완료하여 AWS RAM과 리소스 공유를 활성화합니다.
**리소스 공유 활성화**
1. AWS Organizations 관리 계정을 사용하여 [https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/)에서 AWS RAM 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **설정**을 선택하고 **공유 활성화 범위 - AWS Organizations**를 선택한 다음 **설정 저장**을 선택합니다.
![\[AWS RAM 콘솔에서 조직 공유 활성화.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-Jv8YJhg2J82EFdJrgsXA5w.png)
이제 IPAM 풀을 조직의 다른 멤버와 공유할 수 있습니다.
### 6.2단계. AWS RAM을 사용하여 IPAM 풀 공유
이 섹션에서는 사전 프로덕션 개발 풀을 다른 AWS Organizations 멤버 계정과 공유합니다. 필수 IAM 권한에 대한 정보를 포함하여 IPAM 풀 공유에 대한 전체 지침은 [AWS RAM을 사용하여 IPAM 풀 공유](share-pool-ipam.md) 섹션을 참조하세요.
**AWS RAM을 사용하여 IPAM 풀 공유**
1. IPAM 관리자 계정을 사용하여 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)에서 IPAM 콘솔을 엽니다.
1. 탐색 창에서 **Pools**를 선택합니다.
1. 프라이빗 범위를 선택하고 사전 프로덕션 IPAM 풀을 선택한 다음 **작업** > **세부 정보 보기**를 선택합니다.
1. **리소스 공유(Resource sharing)**에서 **리소스 공유 생성(Create resource share)**을 선택합니다. AWS RAM 콘솔이 열립니다. AWS RAM을 사용하여 풀을 공유합니다.
1. **리소스 공유 생성(Create a resource share)**을 선택합니다.
![\[IPAM 콘솔에서 리소스 공유 생성.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-6_1.png)
AWS RAM 콘솔이 열립니다.
1. AWS RAM 콘솔에서 **리소스 공유 생성**을 다시 선택합니다.
1. 공유 풀에 대한 **이름**을 추가합니다.
1. **리소스 유형 선택**에서 **IPAM 풀**을 선택한 다음 사전 프로덕션 개발 풀의 ARN을 선택합니다.
![\[AWS RAM 콘솔에서 리소스 공유 생성.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-El4fIIE4FoenE75KV43GtQ.png)
1. **다음**을 선택합니다.
1. 기본값인 **AWSRAMDefaultPermissionsIpamPool** 권한을 선택된 상태로 둡니다. 권한 옵션에 대한 세부 정보는 이 자습서의 범위를 벗어나지만 [AWS RAM을 사용하여 IPAM 풀 공유](share-pool-ipam.md)에서 이러한 옵션에 대해 자세히 알아볼 수 있습니다.
![\[AWS RAM 콘솔에서 리소스 공유에 대한 권한 연결.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-lNweqIyKpC9LFvxpwrkmiw.png)
1. **다음**을 선택합니다.
1. **보안 주체** 아래에서 **조직 내에서만 공유 허용**을 선택합니다. [AWS Organizations가 IPAM과 통합되는 방식](#how-aws-organizations-integrates-with-ipam)에 설명된 대로 AWS Organizations 조직 단위 ID를 입력한 다음 **추가**를 선택합니다.
![\[AWS RAM 콘솔에서 리소스 공유에 대한 액세스 권한 부여.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-dvLWZpvLDwh-grXeuUwPFQ.png)
1. **다음**을 선택합니다.
1. 리소스 공유 옵션 및 공유할 보안 주체를 검토하고 **생성**을 선택합니다.
이제 풀이 공유되었으므로 다음 단계로 이동하여 IPAM 풀에서 할당된 CIDR을 사용하여 VPC를 생성합니다.
## 7단계: IPAM 풀에서 할당된 CIDR을 사용하여 VPC 생성
이 섹션의 단계에 따라 사전 프로덕션 풀에서 할당된 CIDR을 사용하여 VPC를 생성합니다. 이 단계는 이전 섹션에서 IPAM 풀을 공유한 OU의 멤버 계정으로 완료해야 합니다([AWS Organizations가 IPAM과 통합되는 방식](#how-aws-organizations-integrates-with-ipam)에서는 ** example-member-account-2**). VPC를 생성하는 데 필요한 IAM 권한에 대한 자세한 내용은 Amazon VPC 사용 설명서**의 [Amazon VPC 정책 예](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-policy-examples.html)를 참조하세요.
**IPAM 풀에서 할당된 CIDR을 사용하여 VPC 생성**
1. 멤버 계정을 사용하여 개발자 계정으로 사용할 멤버 계정으로 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 VPC 콘솔을 엽니다.
1. **VPC 생성**을 선택합니다.
1. 해결 방법:
1. 이름(예: **Example VPC**)을 입력합니다.
1. **IPAM 할당 IPv4 CIDR 블록**을 선택합니다.
1. **IPv4 IPAM 풀** 아래에서 사전 프로덕션 풀의 ID를 선택합니다.
1. **넷마스크** 길이를 선택합니다. 넷마스크 길이를 선택합니다. 이 풀에 사용 가능한 넷마스크 길이를 /24로 제한했기 때문에([5단계: 사전 프로덕션 개발 풀 생성](#5-create-a-preproduction-development-pool)) 사용할 수 있는 넷마스크 옵션은 /24뿐입니다.
![\[Amazon VPC 콘솔에서 VPC 생성.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-jP9gQ6vF0cRtH2b-7CGNAA.png)
1. 시연을 위해 지금은 **태그** 아래에서 태그를 더 추가하지 마세요. 사전 프로덕션 풀을 생성할 때([5단계: 사전 프로덕션 개발 풀 생성](#5-create-a-preproduction-development-pool) 내) 이 풀의 CIDR로 생성된 모든 VPC에 환경/사전 프로덕션 태그가 있어야 한다는 할당 규칙을 추가했습니다. 필수 태그가 추가되지 않았다는 오류가 표시되는 것을 볼 수 있게 environment/pre-prod 태그를 꺼둡니다.
1. **VPC 생성**을 선택합니다.
1. 필수 태그가 추가되지 않았다는 오류 메시지가 나타납니다. 사전 프로덕션 풀을 생성할 때([5단계: 사전 프로덕션 개발 풀 생성](#5-create-a-preproduction-development-pool)) 할당 규칙을 설정했기 때문에 이 오류가 나타납니다. 할당 규칙에 따라 이 풀의 CIDR로 생성된 모든 VPC에는 environment/pre-prod 태그가 있어야 합니다.
![\[Amazon VPC 콘솔에서 VPC 오류 생성.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-wxP7WfFbl-2ThufLus_Usw.png)
1. 이제 **태그** 아래에서 **environment/pre-prod** 태그를 추가하고 **VPC 생성**을 다시 선택합니다.
![\[Amazon VPC 콘솔에서 VPC에 태그 추가.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-w8R8_7bmW-Bp-CPSImwmEA.png)
1. VPC가 성공적으로 생성되고 VPC가 사전 프로덕션 풀의 태그 규칙을 준수합니다.
![\[Amazon VPC 콘솔에서 VPC 생성 성공.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-D3roKYnuSRCdzlFfGT7-pg.png)
IPAM 콘솔의 **리소스** 창에서 IPAM 관리자는 VPC와 할당된 CIDR을 보고 관리할 수 있습니다. VPC가 **리소스** 창에 표시되는 데 시간이 좀 걸립니다.
## 8단계: 정리
이 자습서에서는 위임된 관리자로 IPAM을 생성하고, 여러 풀을 생성하고, 조직의 멤버 계정이 풀에서 VPC CIDR을 할당하도록 설정했습니다.
이번 섹션의 단계에 따라 이 자습서에서 생성한 리소스를 정리합니다.
**이 자습서에서 생성한 리소스 정리**
1. 예제 VPC를 생성한 멤버 계정을 사용하여 VPC를 삭제합니다. 자세한 지침은 **Amazon Virtual Private Cloud 사용 설명서의 [VPC 삭제](https://docs.aws.amazon.com/vpc/latest/userguide/delete-vpc.html)를 참조하세요.
1. IPAM 관리자 계정을 사용하여 AWS RAM 콘솔에서 예제 리소스 공유를 삭제합니다. 자세한 지침은 **AWS Resource Access Manager 사용 설명서의 [AWSAWS RAM에서 리소스 공유 삭제](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-delete.html)를 참조하세요.
1. IPAM 관리자 계정을 사용하여 RAM 콘솔에 로그인하고 [6.1단계. AWS RAM에서 리소스 공유 활성화](#61-enable-resource-sharing-in-aws-ram)에서 활성화하는 AWS Organizations와의 공유를 비활성화합니다.
1. IPAM 관리자 계정을 사용하여 IPAM 콘솔에서 IPAM을 선택한 다음 **작업** > **삭제**를 선택하여 예제 IPAM을 삭제합니다. 자세한 지침은 [IPAM 삭제](delete-ipam.md) 섹션을 참조하세요.
1. IPAM을 삭제하라는 메시지가 나타나면 **하위 항목 삭제**를 선택합니다. 그러면 IPAM을 삭제하기 전에 IPAM 내의 모든 범위와 풀이 삭제됩니다.
![\[IPAM 콘솔에서 IPAM 삭제.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/ipam/images/tutorials-get-started-console-wzlnq9726bqxf3M_F71QUQ.png)
1. **delete**를 입력하고 **삭제**를 선택합니다.
1. AWS Organizations 관리 계정을 사용하여 IPAM 콘솔에 로그인하고 **설정**을 선택한 다음 위임된 관리자 계정을 제거합니다.
1. (선택 사항) IPAM을 AWS Organizations와 통합하면 [IPAM은 각 멤버 계정에 서비스 연결 역할을 자동으로 생성합니다](iam-ipam-slr.md). 각 AWS Organizations 멤버 계정을 사용하여 IAM에 로그인하고 각 멤버 계정에서 **AWSServiceRoleForIPAM** 서비스 연결 역할을 삭제합니다.
1. 정리가 완료되었습니다.
# 자습서: AWS CLI를 사용하여 IPAM 및 풀 생성
이 자습서의 단계를 따라 AWS CLI를 사용하여 IPAM을 생성하고, IP 주소 풀을 생성하고, IPAM 풀에서 CIDR을 사용하여 VPC를 할당합니다.
다음은 이 섹션의 단계를 따르면 생성할 수 있는 풀 구조의 계층에 대한 예입니다.
+ AWS 리전 1 및 AWS 리전 2에서 작동하는 IPAM
+ 프라이빗 범위
+ 최상위 풀
+ AWS 리전 2의 리전 풀
+ 개발 풀
+ VPC 대한 할당
**참고**
이 섹션에서는 IPAM을 생성합니다. 기본적으로 IPAM 하나만 생성할 수 있습니다. 자세한 내용은 [IPAM의 할당량](quotas-ipam.md) 섹션을 참조하세요. IPAM 계정을 이미 위임하고 IPAM을 생성한 경우 1단계와 2단계를 건너뛸 수 있습니다.
**Topics**
+ [1단계: 조직에서 IPAM 사용 설정](#cli-tut-enable-org-ipam)
+ [2단계: IPAM 생성](#cli-tut-create-ipam)
+ [3단계: IPv4 주소 풀 생성](#cli-tut-create-top-ipam)
+ [4단계: 최상위 풀에 CIDR 프로비저닝](#cli-tut-provision-cidr-ipam)
+ [5단계. 최상위 풀에서 소싱된 CIDR을 사용하여 리전 풀 생성](#cli-tut-create-reg-ipam)
+ [6단계: 리전 풀에 CIDR 프로비저닝](#cli-tut-assign-cidr-reg-pool)
+ [7단계. 계정 간 IP 할당을 사용 설정하기 위한 RAM 공유 생성](#cli-tut-create-ram-share-ipam)
+ [8단계. VPC 생성](#cli-tut-create-vpc-ipam)
+ [9단계. 정리](#cli-tut-cleanup-ipam)
## 1단계: 조직에서 IPAM 사용 설정
이 단계는 선택 사항입니다. 조직에서 IPAM을 사용 설정하고 AWS CLI를 사용하여 위임된 IPAM을 구성하려면 이 단계를 완료하세요. IPAM 계정의 역할에 대한 자세한 내용은 [AWS Organization에서 계정과 IPAM 통합](enable-integ-ipam.md) 섹션을 참조하세요.
이 요청은 AWS Organizations 관리 계정에서 이루어져야 합니다. 다음 명령을 실행하는 경우 다음 작업을 허용하는 IAM 정책을 통해 역할을 사용하고 있는지 확인합니다.
+ `ec2:EnableIpamOrganizationAdminAccount`
+ `organizations:EnableAwsServiceAccess`
+ `organizations:RegisterDelegatedAdministrator`
+ `iam:CreateServiceLinkedRole`
```
aws ec2 enable-ipam-organization-admin-account --region us-east-1 --delegated-admin-account-id 11111111111
```
사용 설정이 성공했음을 나타내는 다음과 같은 출력이 표시되어야 합니다.
```
{
"Success": true
}
```
## 2단계: IPAM 생성
이 섹션의 단계에 따라 IPAM을 생성하고 생성된 범위에 대한 추가 정보를 확인합니다. 이후 단계에서 풀을 생성하고 해당 풀에 대한 IP 주소 범위를 프로비저닝할 때 이 IPAM을 사용합니다.
**참고**
운영 리전 옵션에 따라 IPAM 풀을 사용할 수 있는 AWS 리전을 확인합니다. 운영 리전에 대한 자세한 내용은 [IPAM 생성](create-ipam.md) 섹션을 참조하세요.
**AWS CLI를 사용하여 IPAM 생성**
1. 다음 명령을 실행하여 IPAM 인스턴스를 생성합니다.
```
aws ec2 create-ipam --description my-ipam --region us-east-1 --operating-regions RegionName=us-west-2
```
IPAM을 생성할 때 AWS는 자동으로 다음 작업을 수행합니다.
+ IPAM의 전역 고유 리소스 ID(`IpamId`)를 반환합니다.
+ 기본 퍼블릭 범위(`PublicDefaultScopeId`) 및 기본 프라이빗 범위(`PrivateDefaultScopeId`)를 만듭니다.
```
{
"Ipam": {
"OwnerId": "123456789012",
"IpamId": "ipam-0de83dba6694560a9",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-0de83dba6694560a9",
"PublicDefaultScopeId": "ipam-scope-02a24107598e982c5",
"PrivateDefaultScopeId": "ipam-scope-065e7dfe880df679c",
"ScopeCount": 2,
"Description": "my-ipam",
"OperatingRegions": [
{
"RegionName": "us-west-2"
},
{
"RegionName": "us-east-1"
}
],
"Tags": []
}
}
```
1. 다음 명령을 실행하여 범위 관련 추가 정보를 확인합니다. 퍼블릭 범위는 공용 인터넷을 통해 액세스할 IP 주소를 위한 것입니다. 프라이빗 범위는 공용 인터넷을 통해 액세스하지 않을 IP 주소를 위한 것입니다.
```
aws ec2 describe-ipam-scopes --region us-east-1
```
출력에 사용 가능한 범위가 표시됩니다. 다음 단계에서 프라이빗 범위 ID를 사용합니다.
```
{
"IpamScopes": [
{
"OwnerId": "123456789012",
"IpamScopeId": "ipam-scope-02a24107598e982c5",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-02a24107598e982c5",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-0de83dba6694560a9",
"IpamScopeType": "public",
"IsDefault": true,
"PoolCount": 0
},
{
"OwnerId": "123456789012",
"IpamScopeId": "ipam-scope-065e7dfe880df679c",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-065e7dfe880df679c",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-0de83dba6694560a9",
"IpamScopeType": "private",
"IsDefault": true,
"PoolCount": 0
}
]
}
```
## 3단계: IPv4 주소 풀 생성
이 섹션의 단계를 따르면 IPv4 주소 풀을 생성할 수 있습니다.
**중요**
최상위 풀의 `--locale` 옵션을 사용하지 않습니다. 리전 풀에서 나중에 로캘 옵션을 설정합니다. 로캘은 풀을 CIDR 할당에 사용할 수 있도록 하려는 AWS 리전입니다. 최상위 풀에서 로캘을 설정하지 않은 경우 로캘의 기본값은 `None`입니다. 풀에 `None`의 로캘이 있는 경우 모든 AWS 리전의 VPC 리소스에서는 풀을 사용할 수 없습니다. 공간을 예약하기 위해서는 풀에서 IP 주소 공간을 수동으로 할당할 수 있습니다.
**AWS CLI를 사용하여 모든 AWS 리소스에 대해 IPv4 주소 풀을 생성하려면**
1. 다음 명령을 실행하여 IPv4 주소 풀을 생성합니다. 이전 단계에서 생성한 IPAM의 프라이빗 범위 ID를 사용합니다.
```
aws ec2 create-ipam-pool --ipam-scope-id ipam-scope-065e7dfe880df679c --description "top-level-pool" --address-family ipv4
```
출력에 풀의 `create-in-progress` 상태가 표시됩니다.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0008f25d7187a08d9",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0008f25d7187a08d9",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-065e7dfe880df679c",
"IpamScopeType": "private",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-0de83dba6694560a9",
"Locale": "None",
"PoolDepth": 1,
"State": "create-in-progress",
"Description": "top-level-pool",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": []
}
}
```
1. 출력에 `create-complete`의 상태가 표시될 때까지 다음 명령을 실행합니다.
```
aws ec2 describe-ipam-pools
```
다음 예 출력에서는 현재 상태를 보여줍니다.
```
{
"IpamPools": [
{
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0008f25d7187a08d9",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0008f25d7187a08d9",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-065e7dfe880df679c",
"IpamScopeType": "private",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-0de83dba6694560a9",
"Locale": "None",
"PoolDepth": 1,
"State": "create-complete",
"Description": "top-level-pool",
"AutoImport": false,
"AddressFamily": "ipv4"
}
]
}
```
## 4단계: 최상위 풀에 CIDR 프로비저닝
이 섹션의 단계에 따라 CIDR을 최상위 풀에 프로비저닝한 다음, CIDR이 프로비저닝되었는지 확인합니다. 자세한 내용은 [풀에 CIDR 프로비저닝](prov-cidr-ipam.md) 섹션을 참조하세요.
**AWS CLI를 사용하여 CIDR 블록을 풀에 프로비저닝하려면**
1. 다음 명령을 실행하여 CIDR을 프로비저닝합니다.
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0008f25d7187a08d9 --cidr 10.0.0.0/8
```
출력에서 프로비저닝 상태를 확인할 수 있습니다.
```
{
"IpamPoolCidr": {
"Cidr": "10.0.0.0/8",
"State": "pending-provision"
}
}
```
1. 출력에 `provisioned`의 상태가 표시될 때까지 다음 명령을 실행합니다.
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0008f25d7187a08d9
```
다음 예 출력에서는 현재 상태를 보여줍니다.
```
{
"IpamPoolCidrs": [
{
"Cidr": "10.0.0.0/8",
"State": "provisioned"
}
]
}
```
## 5단계. 최상위 풀에서 소싱된 CIDR을 사용하여 리전 풀 생성
IPAM 풀을 생성하는 경우 풀은 기본적으로 IPAM의 AWS 리전에 속합니다. VPC를 생성하는 경우 VPC가 생성되는 풀은 VPC와 동일한 리전에 있어야 합니다. IPAM 리전 이외의 리전의 서비스에서 풀을 사용할 수 있도록 해당 풀을 생성하는 경우 `--locale` 옵션을 선택할 수 있습니다. 이 섹션의 단계를 따르면 다른 로캘에서 리전 풀을 생성할 수 있습니다.
**AWS CLI를 사용하여 이전 풀에서 소싱된 CIDR으로 풀 생성**
1. 다음 명령을 실행하여 풀을 만들고 이전 풀에서 알려진 사용 가능한 CIDR을 사용하여 공간을 삽입합니다.
```
aws ec2 create-ipam-pool --description "regional--pool" --region us-east-1 --ipam-scope-id ipam-scope-065e7dfe880df679c --source-ipam-pool-id
ipam-pool-0008f25d7187a08d9 --locale us-west-2 --address-family ipv4
```
출력에 생성한 풀의 ID가 표시됩니다. 다음 단계에서 이 ID를 사용합니다.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0da89c821626f1e4b",
"SourceIpamPoolId": "ipam-pool-0008f25d7187a08d9",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0da89c821626f1e4b",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-065e7dfe880df679c",
"IpamScopeType": "private",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-0de83dba6694560a9",
"Locale": "us-west-2",
"PoolDepth": 2,
"State": "create-in-progress",
"Description": "regional--pool",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": []
}
}
```
1. 출력에 `create-complete`의 상태가 표시될 때까지 다음 명령을 실행합니다.
```
aws ec2 describe-ipam-pools
```
출력에는 IPAM에 있는 풀이 표시됩니다. 이 자습서에서 최상위 수준 풀 및 리전 풀을 만들었으므로 두 풀이 모두 표시됩니다.
```
{
"IpamPools": [
{
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0008f25d7187a08d9",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0008f25d7187a08d9",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-065e7dfe880df679c",
"IpamScopeType": "private",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-0de83dba6694560a9",
"Locale": "None",
"PoolDepth": 1,
"State": "create-complete",
"Description": "top-level-pool",
"AutoImport": false,
"AddressFamily": "ipv4"
},
{
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0da89c821626f1e4b",
"SourceIpamPoolId": "ipam-pool-0008f25d7187a08d9",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0da89c821626f1e4b",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-065e7dfe880df679c",
"IpamScopeType": "private",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-0de83dba6694560a9",
"Locale": "us-west-2",
"PoolDepth": 2,
"State": "create-complete",
"Description": "regional--pool",
"AutoImport": false,
"AddressFamily": "ipv4"
}
]
}
```
## 6단계: 리전 풀에 CIDR 프로비저닝
이 섹션의 단계에 따라 CIDR 블록을 풀에 할당하고 해당 블록이 성공적으로 프로비저닝되었는지 확인합니다.
**AWS CLI를 사용하여 리전 풀에 CIDR 블록을 할당하려면**
1. 다음 명령을 실행하여 CIDR을 프로비저닝합니다.
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0da89c821626f1e4b --cidr 10.0.0.0/16
```
출력에 풀의 상태가 표시됩니다.
```
{
"IpamPoolCidr": {
"Cidr": "10.0.0.0/16",
"State": "pending-provision"
}
}
```
1. 출력에 `provisioned`의 상태가 표시될 때까지 다음 명령을 실행합니다.
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0da89c821626f1e4b
```
다음 예 출력에서는 현재 상태를 보여줍니다.
```
{
"IpamPoolCidrs": [
{
"Cidr": "10.0.0.0/16",
"State": "provisioned"
}
]
}
```
1. 최상위 풀을 쿼리하여 할당을 확인하려면 다음 명령을 실행합니다. 리전 풀은 최상위 풀 내의 할당으로 간주됩니다.
```
aws ec2 get-ipam-pool-allocations --region us-east-1 --ipam-pool-id ipam-pool-0008f25d7187a08d9
```
출력에 최상위 풀의 할당으로 리전 풀이 표시됩니다.
```
{
"IpamPoolAllocations": [
{
"Cidr": "10.0.0.0/16",
"IpamPoolAllocationId": "ipam-pool-alloc-fbd525f6c2bf4e77a75690fc2d93479a",
"ResourceId": "ipam-pool-0da89c821626f1e4b",
"ResourceType": "ipam-pool",
"ResourceOwner": "123456789012"
}
]
}
```
## 7단계. 계정 간 IP 할당을 사용 설정하기 위한 RAM 공유 생성
이 단계는 선택 사항입니다. [AWS Organization에서 계정과 IPAM 통합](enable-integ-ipam.md)을 완료한 경우에만 이 단계를 완료할 수 있습니다.
IPAM 풀 AWS RAM 공유를 생성하는 경우 계정 간 IP 할당을 사용 설정합니다. RAM 공유는 홈 AWS 리전에서만 사용할 수 있습니다. 이 공유는 풀의 로컬 리전이 아닌 IPAM과 동일한 리전에서 생성한다는 점에 유의하세요. IPAM 리소스에 대한 모든 관리 작업은 IPAM의 홈 리전을 통해 이루어집니다. 이 자습서의 예에서는 단일 풀에 대해 단일 공유를 만들지만 단일 공유에 여러 풀을 추가할 수도 있습니다. 입력해야 하는 옵션에 대한 설명을 포함하여 자세한 내용은 [AWS RAM을 사용하여 IPAM 풀 공유](share-pool-ipam.md) 섹션을 참조하세요.
다음 명령을 실행하여 리소스 공유를 생성합니다.
```
aws ram create-resource-share --region us-east-1 --name pool_share --resource-arns arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0dec9695bca83e606 --principals 123456
```
출력에 풀이 생성되었다고 표시됩니다.
```
{
"resourceShare": {
"resourceShareArn": "arn:aws:ram:us-west-2:123456789012:resource-share/3ab63985-99d9-1cd2-7d24-75e93EXAMPLE",
"name": "pool_share",
"owningAccountId": "123456789012",
"allowExternalPrincipals": false,
"status": "ACTIVE",
"creationTime": 1565295733.282,
"lastUpdatedTime": 1565295733.282
}
}
```
## 8단계. VPC 생성
다음 명령을 실행하여 VPC 생성하고 새로 생성된 IPAM의 풀에서 VPC로 CIDR 블록을 할당합니다.
```
aws ec2 create-vpc --region us-east-1 --ipv4-ipam-pool-id ipam-pool-04111dca0d960186e --cidr-block 10.0.0.0/24
```
출력에 VPC가 생성되었다고 표시됩니다.
```
{
"Vpc": {
"CidrBlock": "10.0.0.0/24",
"DhcpOptionsId": "dopt-19edf471",
"State": "pending",
"VpcId": "vpc-0983f3c454f3d8be5",
"OwnerId": "123456789012",
"InstanceTenancy": "default",
"Ipv6CidrBlockAssociationSet": [],
"CidrBlockAssociationSet": [
{
"AssociationId": "vpc-cidr-assoc-00b24cc1c2EXAMPLE",
"CidrBlock": "10.0.0.0/24",
"CidrBlockState": {
"State": "associated"
}
}
],
"IsDefault": false
}
}
```
## 9단계. 정리
이번 섹션의 단계를 따르면 이 자습서에서 생성한 IPAM 리소스를 삭제할 수 있습니다.
1. VPC를 삭제합니다.
```
aws ec2 delete-vpc --vpc-id vpc-0983f3c454f3d8be5
```
1. IPAM 풀 RAM 공유를 삭제합니다.
```
aws ram delete-resource-share --resource-share-arn arn:aws:ram:us-west-2:123456789012:resource-share/3ab63985-99d9-1cd2-7d24-75e93EXAMPLE
```
1. 리전 풀의 풀 CIDR을 프로비저닝 해제합니다.
```
aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-0da89c821626f1e4b --region us-east-1
```
1. 최상위 풀의 풀 CIDR을 프로비저닝 해제합니다.
```
aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-0008f25d7187a08d9 --region us-east-1
```
1. IPAM 삭제
```
aws ec2 delete-ipam --region us-east-1
```
# 자습서: AWS CLI를 사용하여 IP 주소 기록 보기
이 섹션의 시나리오에서는 AWS CLI를 사용하여 IP 주소 사용을 분석하고 감사하는 방법을 보여줍니다. AWS CLI 사용에 대한 일반적인 내용은 *AWS Command Line Interface 사용 설명서*의 [AWS CLI 사용](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-using.html)을 참조하세요.
**Topics**
+ [개요](#cli-tut-view-hist-ipam-overview)
+ [시나리오](#cli-tut-view-hist-ipam-analyze)
## 개요
IPAM은 IP 주소 모니터링 데이터를 최대 3년 동안 자동으로 유지합니다. 기록 데이터를 사용하여 네트워크 보안 및 라우팅 정책을 분석하고 감사할 수 있습니다. 다음 리소스 유형에 대한 기록 정보를 검색할 수 있습니다.
+ VPC
+ VPC 서브넷
+ 탄력적 IP 주소
+ 실행 중인 EC2 인스턴스
+ 인스턴스에 연결된 EC2 네트워크 인터페이스
**중요**
IPAM은 Amazon EC2 인스턴스 또는 인스턴스에 연결된 EC2 네트워크 인터페이스를 모니터링하지 않지만 IP 기록 검색 기능을 사용하여 EC2 인스턴스 및 네트워크 인터페이스 CIDR에서 기록 데이터를 검색할 수 있습니다.
**참고**
이 자습서의 명령은 IPAM을 소유하는 계정과 IPAM을 호스팅하는 AWS 리전을 사용하여 실행해야 합니다.
CIDR에 대한 변경 사항 레코드는 주기적 스냅샷에서 선택됩니다. 즉, 레코드가 나타나거나 업데이트되는 데 어느 정도 시간이 걸릴 수 있으며 SampledStartTime 및 SampledEndTime 값은 실제 발생 시간과 다를 수 있습니다.
## 시나리오
이 섹션의 시나리오에서는 AWS CLI를 사용하여 IP 주소 사용을 분석하고 감사하는 방법을 보여줍니다. 샘플링된 종료 시간 및 시작 시간과 같이 이 자습서에서 언급한 값에 대한 자세한 내용은 [IP 주소 기록 보기](view-history-cidr-ipam.md) 섹션을 참조하세요.
**시나리오 1: 2021년 12월 27일(UTC) 오전 1시에서 오후 9시 사이에 어느 리소스가 `10.2.1.155/32`와 연결되었나요?**
1. 다음 명령을 실행합니다.
```
aws ec2 get-ipam-address-history --region us-east-1 --cidr 10.2.1.155/32 --ipam-scope-id ipam-scope-05b579a1909c5fc7a --start-time 2021-12-20T01:00:00.000Z --end-time 2021-12-27T21:00:00.000Z
```
1. 분석 결과를 봅니다. 아래 예에서 CIDR은 일정 기간 동안 네트워크 인터페이스와 EC2 인스턴스에 할당되었습니다. 참고: **SampledEndTime** 값이 없으면 레코드가 여전히 활성 상태인 것입니다. 다음 출력에 표시된 값에 대한 자세한 내용은 [IP 주소 기록 보기](view-history-cidr-ipam.md) 섹션을 참조하세요.
```
{
"HistoryRecords": [
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "network-interface",
"ResourceId": "eni-0b4e53eb1733aba16",
"ResourceCidr": "10.2.1.155/32",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
},
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "instance",
"ResourceId": "i-064da1f79baed14f3",
"ResourceCidr": "10.2.1.155/32",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
}
]
}
```
네트워크 인터페이스가 연결된 인스턴스의 소유자 ID가 네트워크 인터페이스의 소유자 ID와 다른 경우(NAT 게이트웨이, VPC의 Lambda 네트워크 인터페이스 및 기타 AWS 서비스의 경우) `ResourceOwnerId`는 네트워크 인터페이스 소유자의 계정 ID가 아니라 `amazon-aws`입니다. 다음 예에서는 NAT 게이트웨이와 연결된 CIDR에 대한 레코드를 보여줍니다.
```
{
"HistoryRecords": [
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "network-interface",
"ResourceId": "eni-0b4e53eb1733aba16",
"ResourceCidr": "10.0.0.176/32",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
},
{
"ResourceOwnerId": "amazon-aws",
"ResourceRegion": "us-east-1",
"ResourceType": "instance",
"ResourceCidr": "10.0.0.176/32",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
}
]
}
```
**시나리오 2: 2021년 12월 1일부터 2021년 12월 27일(UTC)까지 어느 리소스가 `10.2.1.0/24`과 연결되었나요?**
1. 다음 명령을 실행합니다.
```
aws ec2 get-ipam-address-history --region us-east-1 --cidr 10.2.1.0/24 --ipam-scope-id ipam-scope-05b579a1909c5fc7a --start-time 2021-12-01T00:00:00.000Z --end-time 2021-12-27T23:59:59.000Z
```
1. 분석 결과를 봅니다. 아래 예에서 CIDR은 일정 기간 동안 서브넷과 VPC에 할당되었습니다. 참고: **SampledEndTime** 값이 없으면 레코드가 여전히 활성 상태인 것입니다. 다음 출력에 표시된 값에 대한 자세한 내용은 [IP 주소 기록 보기](view-history-cidr-ipam.md) 섹션을 참조하세요.
```
{
"HistoryRecords": [
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "subnet",
"ResourceId": "subnet-0864c82a42f5bffed",
"ResourceCidr": "10.2.1.0/24",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
},
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "vpc",
"ResourceId": "vpc-0f5ee7e1ba908a378",
"ResourceCidr": "10.2.1.0/24",
"ResourceComplianceStatus": "compliant",
"ResourceOverlapStatus": "nonoverlapping",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
}
]
}
```
**시나리오 3: 2021년 12월 1일부터 2021년 12월 27일(UTC)까지 어느 리소스가 `2605:9cc0:409::/56`과 연결되었나요?**
1. 다음 명령을 실행합니다. 여기서 --region은 IPAM 홈 리전입니다.
```
aws ec2 get-ipam-address-history --region us-east-1 --cidr 2605:9cc0:409::/56 --ipam-scope-id ipam-scope-07cb485c8b4a4d7cc --start-time 2021-12-01T01:00:00.000Z --end-time 2021-12-27T23:59:59.000Z
```
1. 분석 결과를 봅니다. 아래 예에서 CIDR은 IPAM 홈 리전 외부의 리전에서 일정 기간 동안 2개의 서로 다른 VPC에 할당되었습니다. 참고: **SampledEndTime** 값이 없으면 레코드가 여전히 활성 상태인 것입니다. 다음 출력에 표시된 값에 대한 자세한 내용은 [IP 주소 기록 보기](view-history-cidr-ipam.md) 섹션을 참조하세요.
```
{
"HistoryRecords": [
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-2",
"ResourceType": "vpc",
"ResourceId": "vpc-01d967bf3b923f72c",
"ResourceCidr": "2605:9cc0:409::/56",
"ResourceName": "First example VPC",
"ResourceComplianceStatus": "compliant",
"ResourceOverlapStatus": "nonoverlapping",
"VpcId": "vpc-01d967bf3b923f72c",
"SampledStartTime": "2021-12-23T20:02:00.701000+00:00",
"SampledEndTime": "2021-12-23T20:12:59.848000+00:00"
},
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-2",
"ResourceType": "vpc",
"ResourceId": "vpc-03e62c7eca81cb652",
"ResourceCidr": "2605:9cc0:409::/56",
"ResourceName": "Second example VPC",
"ResourceComplianceStatus": "compliant",
"ResourceOverlapStatus": "nonoverlapping",
"VpcId": "vpc-03e62c7eca81cb652",
"SampledStartTime": "2021-12-27T15:11:00.046000+00:00"
}
]
}
```
**시나리오 4: 지난 24시간 동안 어느 리소스가 `10.0.0.0/24`와 연결되었나요(현재 시간이 2021년 12월 27일 자정(UTC)이라고 가정)?**
1. 다음 명령을 실행합니다.
```
aws ec2 get-ipam-address-history --region us-east-1 --cidr 10.0.0.0/24 --ipam-scope-id ipam-scope-05b579a1909c5fc7a --start-time 2021-12-27T00:00:00.000Z
```
1. 분석 결과를 봅니다. 아래 예에서 CIDR은 일정 기간 동안 수많은 서브넷과 VPC에 할당되었습니다. 참고: **SampledEndTime** 값이 없으면 레코드가 여전히 활성 상태인 것입니다. 다음 출력에 표시된 값에 대한 자세한 내용은 [IP 주소 기록 보기](view-history-cidr-ipam.md) 섹션을 참조하세요.
```
{
"HistoryRecords": [
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-2",
"ResourceType": "subnet",
"ResourceId": "subnet-0d1b8f899725aa72d",
"ResourceCidr": "10.0.0.0/24",
"ResourceName": "Example name",
"VpcId": "vpc-042b8a44f64267d67",
"SampledStartTime": "2021-12-11T16:35:59.074000+00:00",
"SampledEndTime": "2021-12-28T15:34:00.017000+00:00"
},
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-2",
"ResourceType": "vpc",
"ResourceId": "vpc-09754dfd85911abec",
"ResourceCidr": "10.0.0.0/24",
"ResourceName": "Example name",
"ResourceComplianceStatus": "unmanaged",
"ResourceOverlapStatus": "overlapping",
"VpcId": "vpc-09754dfd85911abec",
"SampledStartTime": "2021-12-27T20:07:59.947000+00:00",
"SampledEndTime": "2021-12-28T15:34:00.017000+00:00"
},
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-west-2",
"ResourceType": "vpc",
"ResourceId": "vpc-0a8347f594bea5901",
"ResourceCidr": "10.0.0.0/24",
"ResourceName": "Example name",
"ResourceComplianceStatus": "unmanaged",
"ResourceOverlapStatus": "overlapping",
"VpcId": "vpc-0a8347f594bea5901",
"SampledStartTime": "2021-12-11T16:35:59.318000+00:00"
},
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "subnet",
"ResourceId": "subnet-0af7eadb0798e9148",
"ResourceCidr": "10.0.0.0/24",
"ResourceName": "Example name",
"VpcId": "vpc-03298ba16756a8736",
"SampledStartTime": "2021-12-14T21:07:22.357000+00:00"
}
]
}
```
**시나리오 5: 현재 어느 리소스가 `10.2.1.155/32`와 연결되었나요?**
1. 다음 명령을 실행합니다.
```
aws ec2 get-ipam-address-history --region us-east-1 --cidr 10.2.1.155/32 --ipam-scope-id ipam-scope-05b579a1909c5fc7a
```
1. 분석 결과를 봅니다. 아래 예에서 CIDR은 일정 기간 동안 네트워크 인터페이스와 EC2 인스턴스에 할당되었습니다. 참고: **SampledEndTime** 값이 없으면 레코드가 여전히 활성 상태인 것입니다. 다음 출력에 표시된 값에 대한 자세한 내용은 [IP 주소 기록 보기](view-history-cidr-ipam.md) 섹션을 참조하세요.
```
{
"HistoryRecords": [
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "network-interface",
"ResourceId": "eni-0b4e53eb1733aba16",
"ResourceCidr": "10.2.1.155/32",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
},
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "instance",
"ResourceId": "i-064da1f79baed14f3",
"ResourceCidr": "10.2.1.155/32",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
}
]
}
```
**시나리오 6: 현재 어느 리소스가 `10.2.1.0/24`와 연결되었나요?**
1. 다음 명령을 실행합니다.
```
aws ec2 get-ipam-address-history --region us-east-1 --cidr 10.2.1.0/24 --ipam-scope-id ipam-scope-05b579a1909c5fc7a
```
1. 분석 결과를 봅니다. 아래 예에서 CIDR은 일정 기간 동안 VPC와 서브넷에 할당되었습니다. `/24` CIDR 내의 모든 `/32 `가 아니라 이 정확한 `/24` CIDR과 일치하는 결과만 반환됩니다. 참고: **SampledEndTime** 값이 없으면 레코드가 여전히 활성 상태인 것입니다. 다음 출력에 표시된 값에 대한 자세한 내용은 [IP 주소 기록 보기](view-history-cidr-ipam.md) 섹션을 참조하세요.
```
{
"HistoryRecords": [
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "subnet",
"ResourceId": "subnet-0864c82a42f5bffed",
"ResourceCidr": "10.2.1.0/24",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
},
{
"ResourceOwnerId": "123456789012",
"ResourceRegion": "us-east-1",
"ResourceType": "vpc",
"ResourceId": "vpc-0f5ee7e1ba908a378",
"ResourceCidr": "10.2.1.0/24",
"ResourceComplianceStatus": "compliant",
"ResourceOverlapStatus": "nonoverlapping",
"VpcId": "vpc-0f5ee7e1ba908a378",
"SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
}
]
}
```
**시나리오 7: 현재 어느 리소스가 `54.0.0.9/32`와 연결되었나요?**
이 예에서 `54.0.0.9/32`는 IPAM과 통합된 AWS Organization의 일부가 아닌 탄력적 IP 주소에 할당됩니다.
1. 다음 명령을 실행합니다.
```
aws ec2 get-ipam-address-history --region us-east-1 --cidr 54.0.0.9/32 --ipam-scope-id ipam-scope-05b579a1909c5fc7a
```
1. 이 예에서 `54.0.0.9/32`는 IPAM과 통합된 AWS Organization의 일부가 아닌 탄력적 IP 주소에 할당되므로 레코드가 반환되지 않습니다.
```
{
"HistoryRecords": []
}
```
# 자습서: IPAM으로 ASN 가져오기
애플리케이션에서 파트너 또는 고객이 네트워크에 허용한 신뢰할 수 있는 IP 주소 및 Autonomous System Number(ASN)를 사용하는 경우 파트너나 고객이 허용 목록을 변경하지 않고도 AWS에서 이러한 애플리케이션을 실행할 수 있습니다.
Autonomous System Number(ASN)는 인터넷을 통해 네트워크 그룹을 식별하고 [Border Gateway Protocol](https://aws.amazon.com/what-is/border-gateway-protocol/)을 사용하여 동적으로 다른 네트워크와 라우팅 데이터를 교환할 수 있도록 하는 글로벌 고유 번호입니다. 예를 들어 인터넷 서비스 제공업체(ISP)는 ASN을 사용하여 네트워크 트래픽 소스를 식별합니다. 모든 조직이 자체 ASN을 구매하는 것은 아니지만, 구매하는 조직의 경우 ASN을 AWS로 가져올 수 있습니다.
기존 보유 자율 시스템 번호 가져오기(BYOASN)를 사용하면 AWS ASN 대신 자체 퍼블릭 ASN을 사용하여 AWS로 가져오는 IPv4 또는 IPv6 주소를 알릴 수 있습니다. BYOASN을 사용하면 IP 주소에서 발생하는 트래픽이 ASN 대신 ASN을 전달하므로 IP 주소 및 AWS ASN을 기반으로 나열된 트래픽을 허용하는 고객이나 파트너가 워크로드에 연결할 수 있습니다.
**중요**
IPAM 홈 리전의 IPAM 관리자 계정을 사용하여 이 자습서를 완료하세요.
이 자습서에서는 IPAM으로 가져오려는 퍼블릭 ASN을 소유하고 있으며 이미 BYOIP CIDR을 AWS로 가져와 퍼블릭 범위의 풀에 프로비저닝했다고 가정합니다. 언제든지 IPAM에 ASN을 가져올 수 있지만, 이를 사용하려면 AWS 계정에 가져온 CIDR과 연결해야 합니다. 이 자습서에서는 그것을 이미 완료했다고 가정합니다. 자세한 내용은 [자습서: IPAM으로 IP 주소 가져오기](tutorials-byoip-ipam.md) 단원을 참조하세요.
지체 없이 자체 ASN 또는 AWS ASN을 알리도록 변경할 수 있지만 한 시간에 한 번만 AWS ASN에서 자체 ASN으로 변경할 수 있습니다.
BYOIP CIDR이 현재 알려지고 있는 경우 ASN과 연계하기 위해 광고에서 BYOIP CIDR을 철회할 필요가 없습니다.
## ASN에 대한 온보딩 사전 조건
이 자습서를 완료하려면 다음이 필요합니다.
+ 퍼블릭 2바이트 또는 4바이트 ASN.
+ 이미 [자습서: IPAM으로 IP 주소 가져오기](tutorials-byoip-ipam.md)를 통해 AWS로 IP 주소 범위를 가져왔다면 IP 주소 CIDR 범위가 필요합니다. 프라이빗 키도 필요합니다. AWS로 IP 주소 CIDR 범위를 가져올 때 생성한 프라이빗 키를 사용하거나 *Amazon EC2 사용 설명서*의 [프라이빗 키 생성 및 X.509 인증서 생성](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/prepare-for-byoip.html#byoip-certificate)에 설명된 대로 새 프라이빗 키를 생성할 수 있습니다.
+ AWS에 [자습서: IPAM으로 IP 주소 가져오기](tutorials-byoip-ipam.md)(으)로 IPv4 또는 IPv6 주소 범위를 가져오는 경우 [X.509 인증서를 생성](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html#byoip-add-certificate)하고 [X.509 인증서를 RIR의 RDAP 레코드에 업로드](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html#byoip-add-certificate)합니다. 생성한 동일한 인증서를 ASN용 RIR에 있는 RDAP 레코드에 업로드 해야 합니다. 인코딩된 부분 앞과 뒤에 `-----BEGIN CERTIFICATE-----` 및 `-----END CERTIFICATE-----` 문자열을 포함해야 합니다. 이 모든 내용은 하나의 긴 줄에 있어야 합니다. RDAP를 업데이트하는 절차는 RIR에 따라 다릅니다.
+ ARIN의 경우 [계정 관리자 포털](https://account.arin.net/public/secure/dashboard)을 통해 “공개 주석” 섹션에 인증서를 추가하세요. 인증서는 “Network Information” 개체를 위해 쓰이며 “Modify ASN” 옵션을 사용하여 ASN을 표시합니다. 조직의 주석 섹션에 추가하지 않습니다.
+ RIPE의 경우 ASN을 나타내는 “aut-num” 개체에 새 “descr” 필드로 인증서를 추가합니다. 인증서는 “내 리소스” 섹션에서 찾을 수 있습니다.
[RIPE 데이터베이스 포털](https://apps.db.ripe.net/db-web-ui/myresources/overview) 참조. 조직의 주석 섹션이나 “aut-num” 개체의 “비고” 필드에 추가하지 마세요.
+ APNIC의 경우 이메일을 통해 인증서를 [helpdesk@apnic.net](mailto:helpdesk@apnic.net)로 전송하여 ASN의 “설명” 필드에 수동으로 추가합니다. ASN의 APNIC 공인 연락처를 사용하여 이메일을 전송합니다.
+ IP 주소 범위를 IPAM으로 가져올 때 ROA를 생성하여 IPAM으로 가져오는 IP 주소 공간을 제어하는지 확인합니다. 해당 ROA 외에도 IPAM으로 가져오는 ASN을 포함하는 RIR에 두 번째 ROA가 있어야 합니다. RIR에 ASN에 대한 이 두 번째 ROA가 없는 경우, RIR에서 [3. ROA 개체 생성](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/prepare-for-byoip.html#byoip-create-roa-object)을 완료합니다. 다른 단계는 무시합니다.
## 자습서 단계
AWS 콘솔 또는 AWS CLI를 사용하여 아래 단계를 완료하세요.
------
#### [ AWS Management Console ]
1. [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)에서 IPAM 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **IPAM**을 선택합니다.
1. IPAM을 선택합니다.
1. **BYOASN** 탭을 선택하고 **BYOASN 프로비저닝**을 선택합니다.
1. **ASN**을 입력합니다. 결과적으로 **메시지** 필드는 다음 단계에서 서명해야 할 메시지로 자동으로 채워집니다.
+ 메시지 형식은 다음과 같습니다. 여기서 ACCOUNT는 AWS 계정 번호이고, ASN은 IPAM으로 가져오는 ASN이며, YYYYMMDD는 메시지 만료 날짜(기본값은 다음 달 말일)입니다. 예시
```
text_message="1|aws|ACCOUNT|ASN|YYYYMMDD|SHA256|RSAPSS"
```
1. 원하는 경우 메시지를 복사하고 만료 날짜를 원하는 값으로 바꾸세요.
1. 프라이빗 키를 사용하여 메시지에 서명합니다. 예시
```
signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")
```
1. **서명**에 서명을 입력합니다.
1. (선택 사항) 다른 ASN을 프로비저닝하려면 **다른 ASN 프로비저닝**을 선택합니다. 최대 5개의 ASN을 프로비저닝할 수 있습니다. 이 할당량을 늘리려면 [IPAM의 할당량](quotas-ipam.md)를 참조하세요.
1. **프로비저닝**을 선택합니다.
1. **BYOASN** 탭에서 프로비저닝 프로세스를 확인합니다. **상태**가 *프로비저닝 보류 중*에서 *프로비저닝됨*으로 변경될 때까지 기다리세요. *프로비저닝 실패* 상태의 BYOASN은 7일 후에 자동으로 제거됩니다. ASN이 성공적으로 프로비저닝되면 이를 BYOIP CIDR에 연결할 수 있습니다.
1. 왼쪽 탐색 창에서 **풀**을 선택합니다.
1. 퍼블릭 범위를 선택합니다. 범위에 대한 자세한 내용은 [IPAM 작동 방식](how-it-works-ipam.md) 섹션을 참조하세요.
1. BYOIP CIDR이 프로비저닝된 리전 풀을 선택합니다. 풀에는 **서비스**가 **EC2**로 설정되어 있어야 하며 로케일이 선택되어 있어야 합니다.
1. **CIDR 탭**을 선택하고 BYOIP CIDR을 선택합니다.
1. **작업** > **BYOSAN 연결 관리**를 선택합니다.
1. **연결된 BYOASN**에서 AWS로 가져온 ASN을 선택합니다. ASN이 여러 개 있는 경우 여러 ASN을 BYOIP CIDR에 연결할 수 있습니다. IPAM에 가져올 수 있는 만큼 많은 ASN을 연결할 수 있습니다. 참고로 기본적으로 최대 5개의 ASN을 IPAM으로 가져올 수 있습니다. 자세한 내용은 [IPAM의 할당량](quotas-ipam.md) 단원을 참조하세요.
1. **연결**을 선택합니다.
1. ASN 연결이 완료될 때까지 기다립니다. ASN이 BYOIP CIDR에 성공적으로 연결되면 BYOIP CIDR을 다시 알릴 수 있습니다.
1. 풀 **CIDR** 탭을 선택합니다.
1. BYOIP CIDR을 선택하고 **작업(Actions)** > **알리기(Advertise)**를 선택합니다. 결과적으로 Amazon ASN 및 IPAM으로 가져온 모든 ASN 등 ASN 옵션이 표시됩니다.
1. IPAM으로 가져온 ASN을 선택하고 **CIDR 알리기**를 선택합니다. 결과적으로 BYOIP CIDR이 알려지고 **알림(Advertising)** 열의 값이 철회됨(Withdrawn)에서 알려짐(Advertised)으로 변경됩니다. **자율 시스템 번호** 열에는 CIDR과 연결된 ASN이 표시됩니다.
1. (선택 사항) ASN 연결을 Amazon ASN으로 다시 변경하려면 BYOIP CIDR을 선택하고 **작업** > **알리기**를 다시 선택합니다. 이번에는 Amazon ASN을 선택합니다. 언제든지 Amazon ASN으로 다시 스왑할 수 있지만 사용자 지정 ASN으로 1시간에 한 번만 변경할 수 있습니다.
튜토리얼이 완료되었습니다.
**정리**
1. BYOIP CIDR에서 AS을 분리
+ 알림에서 BYOIP CIDR을 철회하려면 퍼블릭 범위 풀에서 BYOIP CIDR을 선택하고 **작업** > **알림 철회**를 선택합니다.
+ CIDR에서 ASN을 분리하려면 **작업** > **BYOASN 연결 관리**를 선택합니다.
1. ASN 프로비저닝 해제
+ ASN을 프로비저닝 해제하려면 BYOASN 탭에서 ASN을 선택하고 **ASN 프로비저닝 해제**를 선택합니다. 결과적으로 ASN이 프로비저닝 해제됩니다. *프로비저닝 해제* 상태의 BYOASN은 7일 후에 자동으로 제거됩니다.
정리가 완료되었습니다.
------
#### [ Command line ]
1. ASN과 권한 부여 메시지를 포함하여 ASN을 프로비저닝합니다. 서명은 프라이빗 키로 서명된 메시지입니다.
```
aws ec2 provision-ipam-byoasn --ipam-id $ipam_id --asn 12345 --asn-authorization-context Message="$text_message",Signature="$signed_message"
```
1. 프로비저닝 프로세스를 추적할 수 있도록 ASN을 설명하세요. 요청이 성공하면 몇 분 후에 *ProvisionStatus*가 *프로비저닝됨*으로 설정된 것을 확인할 수 있습니다.
```
aws ec2 describe-ipam-byoasn
```
1. ASN을 BYOIP CIDR과 연결합니다. 알리려는 모든 사용자 지정 ASN은 먼저 CIDR에 연결되어야 합니다.
```
aws ec2 associate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n
```
1. 연결 프로세스를 추적하려면 CIDR을 설명하세요.
```
aws ec2 describe-byoip-cidrs --max-results 10
```
1. ASN을 통해 CIDR을 알립니다. CIDR이 이미 알려진 경우, 원본 ASN이 Amazon의 ASN에서 사용자의 ASN으로 교체됩니다.
```
aws ec2 advertise-byoip-cidr --asn 12345 --cidr xxx.xxx.xxx.xxx/n
```
1. ASN 상태가 *연결됨*에서 *알려짐*으로 변경되는지 확인하려면 CIDR을 설명하세요.
```
aws ec2 describe-byoip-cidrs --max-results 10
```
튜토리얼이 완료되었습니다.
**정리**
1. 다음 중 하나를 수행합니다.
+ ASN 알림만 철회하고 다시 CIDR 알림을 유지하면서 Amazon ASN을 다시 사용하려면 asn 파라미터에 대한 특수 AWS 값을 사용하여 advertise-byoip-cidr을 호출해야 합니다. 언제든지 Amazon ASN으로 다시 스왑할 수 있지만 사용자 지정 ASN으로 1시간에 한 번만 변경할 수 있습니다.
```
aws ec2 advertise-byoip-cidr --asn AWS --cidr xxx.xxx.xxx.xxx/n
```
+ CIDR과 ASN 알림을 동시에 철회하려면 withdraw-byoip-cidr을 호출할 수 있습니다.
```
aws ec2 withdraw-byoip-cidr --cidr xxx.xxx.xxx.xxx/n
```
1. ASN을 정리하려면 먼저 BYOIP CIDR에서 ASN을 분리해야 합니다.
```
aws ec2 disassociate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n
```
1. ASN이 연결된 모든 BYOIP CIDR에서 ASN의 연결이 해제되면 해당 ASN을 프로비저닝 해제할 수 있습니다.
```
aws ec2 deprovision-ipam-byoasn --ipam-id $ipam_id --asn 12345
```
1. 또한 모든 ASN 연결이 제거되면 BYOIP CIDR을 프로비저닝 해제할 수 있습니다.
```
aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-1234567890abcdef0 --cidr xxx.xxx.xxx.xxx/n
```
1. 프로비저닝 해제를 확인합니다.
```
aws ec2 get-ipam-pool-cidrs --ipam-pool-id ipam-pool-1234567890abcdef0
```
정리가 완료되었습니다.
------
# 자습서: IPAM으로 IP 주소 가져오기
이 섹션의 자습서에서는 퍼블릭 IP 주소 공간을 AWS로 가져오고 IPAM을 사용하여 공간을 관리하는 프로세스를 안내합니다.
IPAM을 사용하여 퍼블릭 IP 주소 공간을 관리하면 다음과 같은 이점이 있습니다.
+ **조직 전체에 걸쳐 퍼블릭 IP 주소 활용도 향상(Improves public IP addresses utilization across your organization)**: IPAM을 사용하여 AWS 계정 전체에 걸쳐 IP 주소 공간을 공유할 수 있습니다. IPAM을 사용하지 않으면 AWS Organizations 계정 전체에 걸쳐 퍼블릭 IP 공간을 공유할 수 없습니다.
+ **퍼블릭 IP 공간을 AWS로 가져오는 프로세스 단순화**: IPAM을 사용하여 퍼블릭 IP 주소 공간을 한 번 온보딩한 다음, IPAM을 사용하여 리전 전체에 걸쳐 EC2 인스턴스 및 [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-ip-pools.html)와 같은 리소스에 퍼블릭 IP를 배포할 수 있습니다. IPAM이 없으면 각 AWS 리전의 퍼블릭 IP를 온보딩해야 합니다.
**Topics**
+ [도메인 제어 확인](tutorials-byoip-ipam-domain-verification-methods.md)
+ [AWS 관리 콘솔과 AWS CLI를 모두 사용하여 IPAM으로 고유 IP 가져오기](tutorials-byoip-ipam-console-intro.md)
+ [AWS CLI만 사용하여 IPAM으로 고유 IP CIDR 가져오기](tutorials-byoip-ipam-cli-only-intro.md)
+ [IPAM을 사용하여 CloudFront로 자체 IP 가져오기](tutorials-byoip-cloudfront.md)
# 도메인 제어 확인
IP 주소 범위를 AWS로 가져오려면 먼저 이 섹션에 설명된 옵션 중 하나를 사용하여 IP 주소 공간을 제어하는지 확인해야 합니다. 나중에 IP 주소 범위를 AWS로 가져오면 AWS가 IP 주소 범위를 제어할 수 있는지 확인합니다. 이 검증을 통해 고객이 다른 사람의 IP 범위를 사용할 수 없도록 하여 라우팅 및 보안 문제를 방지할 수 있습니다.
범위를 제어하는지 확인하는 데 사용할 수 있는 두 가지 방법이 있습니다.
+ **X.509 인증서**: IP 주소 범위가 RDAP를 지원하는 인터넷 레지스트리(예: ARIN, RIPE, APNIC)에 등록된 경우 X.509 인증서로 도메인 제어를 확인할 수 있습니다.
+ **DNS TXT 레코드**: 인터넷 레지스트리가 RDAP를 지원하는지 여부에 관계없이 확인 토큰과 DNS TXT 레코드를 사용하여 도메인의 소유권을 확인할 수 있습니다.
**Topics**
+ [X.509 인증서로 도메인 확인](#tutorials-byoip-ipam-domain-verification-cert)
+ [DNS TXT 레코드로 도메인 확인](#tutorials-byoip-ipam-domain-verification-dns-txt)
## X.509 인증서로 도메인 확인
이 섹션에서는 IP 주소 범위를 IPAM으로 가져오기 전에 X.509 인증서로 도메인을 확인하는 방법에 대해 설명합니다.
**X.509 인증서로 도메인을 확인하려면**
1. *Amazon EC2 사용 설명서*에서 [Amazon EC2의 BYOIP에 대한 사전 조건](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/prepare-for-byoip.html)의 세 단계를 완료합니다.
**참고**
ROA를 생성할 때 IPv4 CIDR의 경우 IP 주소 접두사의 최대 길이를 `/24`로 설정해야 합니다. IPv6 CIDR의 경우 알릴 수 있는 풀에 해당 CIDR을 추가하면 IP 주소 접두사의 최대 길이는 `/48`여야 합니다. 이렇게 하면 퍼블릭 IP 주소를 AWS 리전 전체에 걸쳐 충분히 유연하게 분할할 수 있습니다. IPAM은 사용자가 설정한 최대 길이를 적용합니다. 최대 길이는 이 라우팅에 허용되는 가장 작은 접두사 길이 알림입니다. 예를 들어 `/20` CIDR 블록을 AWS로 가져오는 경우 최대 길이를 `/24`로 설정하여 원하는 대로 더 큰 블록(예: `/21`, `/22` 또는 `/24`)을 분할하고, 더 작은 CIDR 블록을 모든 리전에 배포할 수 있습니다. 최대 길이를 `/23`으로 설정하는 경우 더 큰 블록의 `/24`를 분할하여 알릴 수 없게 됩니다. 또한, `/24`는 가장 작은 IPv4 블록이며 `/48`은 리전에서 인터넷으로 알릴 수 있는 가장 작은 IPv6 블록입니다.
1. *Amazon EC2 사용자 가이드*에 있는 [AWS의 공개적으로 알릴 수 있는 주소 범위 프로비저닝](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html#byoip-provision)에서 1단계와 2단계만 완료하고 **주소 범위 프로비저닝(3단계)은 아직 완료하지 마세요**. `text_message` 및 `signed_message`를 저장합니다. 이 정보는 이 절차의 뒷부분에서 필요합니다.
이 단계를 완료했으면 [AWS 관리 콘솔과 AWS CLI를 모두 사용하여 IPAM으로 고유 IP 가져오기](tutorials-byoip-ipam-console-intro.md) 또는 [AWS CLI만 사용하여 IPAM으로 고유 IP CIDR 가져오기](tutorials-byoip-ipam-cli-only-intro.md)을(를) 계속 진행합니다.
## DNS TXT 레코드로 도메인 확인
IP 주소 범위를 IPAM으로 가져오기 전에 DNS TXT 레코드로 도메인을 확인하려면 이 섹션의 단계를 완료합니다.
DNS TXT 레코드를 사용하여 퍼블릭 IP 주소 범위를 제어하고 있는지 확인할 수 있습니다. DNS TXT 레코드는 도메인 이름에 대한 정보가 포함된 DNS 레코드의 한 유형입니다. 이 기능을 사용하면 RDAP(Registration Data Access Protocol) 레코드 기반 검증을 지원하는 레지스트리(예: ARIN, RIPE 및 APNIC)뿐만 아니라 모든 인터넷 레지스트리(예: JPNIC, LACNIC, AFRINIC)에 등록된 IP 주소를 가져올 수 있습니다.
**중요**
계속하려면 프리 티어 또는 고급 티어에서 이미 IPAM을 생성한 상태여야 합니다. IPAM이 없으면 먼저 [IPAM 생성](create-ipam.md)을(를) 완료합니다.
**Topics**
+ [1단계: ROA가 없는 경우 ROA 생성](#tutorials-byoip-ipam-domain-verification-dns-txt-roa)
+ [2단계. 확인 토큰 생성](#tutorials-byoip-ipam-domain-verification-dns-txt-token)
+ [3단계. DNS 영역 및 TXT 레코드를 설정합니다.](#tutorials-byoip-ipam-domain-verification-dns-txt-dns)
### 1단계: ROA가 없는 경우 ROA 생성
알리려는 IP 주소 범위에 대해 리전 인터넷 레지스트리(RIR)에 ROA(Route Origin Authorization)가 있어야 합니다. RIR에 ROA가 없는 경우 [3을 완료합니다. *Amazon EC2 사용 설명서*를 참조하여 RIR에 ROA 객체를 생성](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html#byoip-create-roa-object)합니다. 다른 단계는 무시합니다.
가져올 수 있는 가장 구체적인 IPv4 주소 범위는 /24입니다. 가져올 수 있는 가장 구체적인 IPv6 주소 범위는 공개적으로 알려지는 CIDR의 경우 /48이고, 공개적으로 알려지지 않는 CIDR의 경우 /60입니다.
### 2단계. 확인 토큰 생성
확인 토큰은 외부 리소스에 대한 제어를 증명하는 데 사용할 수 있는 AWS에서 생성한 임의의 값입니다. 예를 들어, 확인 토큰을 사용하여 IP 주소 범위를 AWS(BYOIP)로 가져올 때 퍼블릭 IP 주소 범위를 제어하는지 검증할 수 있습니다.
이 섹션의 단계를 완료하여 이 자습서의 뒷부분에서 IP 주소 범위를 IPAM으로 가져오는 데 필요한 확인 토큰을 생성합니다. AWS 콘솔 또는 AWS CLI에 대한 아래 지침을 사용합니다.
------
#### [ AWS Management Console ]
**확인 토큰을 생성하려면**
1. [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)에서 IPAM 콘솔을 엽니다.
1. AWS 관리 콘솔에서 IPAM을 생성한 AWS 리전을 선택합니다.
1. 왼쪽 탐색 창에서 **IPAM**을 선택합니다.
1. IPAM을 선택한 다음 **확인 토큰** 탭을 선택합니다.
1. **확인 토큰 생성**을 선택합니다.
1. 토큰을 생성한 후에는 이 브라우저 탭을 열어 둡니다. 다음 단계에서는 **토큰 값**, **토큰 이름**, 이후 단계에서는 **토큰 ID**가 필요합니다.
다음 사항에 유의하세요.
+ 확인 토큰을 생성하면 72시간 이내에 IPAM에서 프로비저닝한 여러 BYOIP CIDR에 토큰을 재사용할 수 있습니다. 72시간 후에 더 많은 CIDR을 프로비저닝하려면 새 토큰이 필요합니다.
+ 최대 100개의 토큰을 생성할 수 있습니다. 한도에 도달하면 만료된 토큰을 삭제합니다.
------
#### [ Command line ]
+ [create-ipam-external-resource-verification-token](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-ipam-external-resource-verification-token.html)을 사용하여 DNS 구성에 사용할 확인 토큰을 생성하도록 IPAM에 요청합니다.
```
aws ec2 create-ipam-external-resource-verification-token --ipam-id ipam-id
```
그러면 IpamExternalResourceVerificationTokenId와 `TokenName` 및 `TokenValue` 값을 가진 토큰 그리고 토큰의 만료 시간(`NotAfter`)이 함께 반환됩니다.
```
{
"IpamExternalResourceVerificationToken": {
"IpamExternalResourceVerificationTokenId": "ipam-ext-res-ver-token-0309ce7f67a768cf0",
"IpamId": "ipam-0f9e8725ac3ae5754",
"TokenValue": "a34597c3-5317-4238-9ce7-50da5b6e6dc8",
"TokenName": "86950620",
"NotAfter": "2024-05-19T14:28:15.927000+00:00",
"Status": "valid",
"Tags": [],
"State": "create-in-progress" }
}
```
다음 사항에 유의하세요.
+ 확인 토큰을 생성하면 72시간 이내에 IPAM에서 프로비저닝한 여러 BYOIP CIDR에 토큰을 재사용할 수 있습니다. 72시간 후에 더 많은 CIDR을 프로비저닝하려면 새 토큰이 필요합니다.
+ [describe-ipam-external-resource-verification-tokens](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-ipam-external-resource-verification-tokens.html)를 사용하여 토큰을 확인할 수 있습니다.
+ 최대 100개의 토큰을 생성할 수 있습니다. 한도에 도달하면 [delete-ipam-external-resource-verification-token](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/delete-ipam-external-resource-verification-token.html)을 사용하여 만료된 토큰을 삭제할 수 있습니다.
------
### 3단계. DNS 영역 및 TXT 레코드를 설정합니다.
DNS 영역과 TXT 레코드를 설정하려면 이 단원의 단계를 완료합니다. Route53을 DNS로 사용하지 않는 경우 DNS 공급자가 제공한 설명서에 따라 DNS 영역을 설정하고 TXT 레코드를 추가합니다.
Route53을 사용하는 경우 다음 사항에 유의합니다.
+ AWS 콘솔에서 역방향 조회 영역을 생성하려면 *Amazon Route 53 개발자 안내서*의 [퍼블릭 호스팅 영역 생성](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/CreatingHostedZone.html)을 참조하거나 AWS CLI 명령 [create-hosted-zone](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-hosted-zone.html)을 사용합니다.
+ AWS 콘솔의 역방향 조회 영역에서 레코드를 생성하려면 *Amazon Route 53 개발자 안내서*의 [Amazon Route 53 콘솔을 사용하여 레코드 생성](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html)을 참조하거나 AWS CLI 명령 [change-resource-record-sets](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/change-resource-record-sets.html)를 사용합니다.
+ 호스팅 영역 생성을 완료한 후에는 RIR의 호스팅 영역을 Route53에서 제공하는 이름 서버(예: [LACNIC](https://www.lacnic.net/1017/2/lacnic/reverse-dns-resolution) 또는 [APNIC](https://www.apnic.net/manage-ip/manage-resources/reverse-dns/))에 위임합니다.
다른 DNS 공급자를 사용하든 Route53을 사용하든 관계없이 TXT 레코드를 설정할 때는 다음 사항에 유의합니다.
+ 레코드 이름은 토큰 이름이어야 합니다.
+ 레코드 유형은 TXT여야 합니다.
+ ResourceRecord 값은 토큰 값이어야 합니다.
예시
+ **이름**: `86950620.113.0.203.in-addr.arpa`
+ **유형**: `TXT`
+ **ResourceRecords 값**: `a34597c3-5317-4238-9ce7-50da5b6e6dc8`
위치:
+ `86950620`은 확인 토큰 이름입니다.
+ `113.0.203.in-addr.arpa`는 역방향 조회 영역 이름입니다.
+ `TXT`는 레코드 유형입니다.
+ `a34597c3-5317-4238-9ce7-50da5b6e6dc8`은 확인 토큰 값입니다.
**참고**
BYOIP를 사용하여 IPAM으로 가져올 접두사의 크기에 따라 DNS에 하나 이상의 인증 레코드를 생성해야 합니다. 이러한 인증 레코드는 레코드 유형이 TXT이므로 접두사 자체 또는 상위 접두사의 역방향 영역에 배치해야 합니다.
IPv4의 경우 인증 레코드는 접두사를 구성하는 옥텟 경계에 있는 범위에 맞춰 정렬되어야 합니다.
**예시**
이미 옥텟 경계에 정렬되어 있는 198.18.123.0/24의 경우, 다음 주소에서 단일 인증 레코드를 생성해야 합니다.
`token-name.123.18.198.in-addr.arpa. IN TXT “token-value”`
자체적으로 옥텟 경계와 정렬되지 않는 198.18.12.0/22의 경우, 4개의 인증 레코드를 생성해야 합니다. 이러한 레코드는 옥텟 경계에 정렬된 서브넷 198.18.12.0/24, 198.18.13.0/24, 198.18.14.0/24, 198.18.15.0/24를 포함해야 합니다. 해당 DNS 항목은 다음과 같아야 합니다.
`token-name.12.18.198.in-addr.arpa. IN TXT “token-value”`
`token-name.13.18.198.in-addr.arpa. IN TXT “token-value”`
`token-name.14.18.198.in-addr.arpa. IN TXT “token-value”`
`token-name.15.18.198.in-addr.arpa. IN TXT “token-value”`
이미 옥텟 경계에 정렬된 198.18.0.0/16의 경우 단일 인증 레코드를 생성해야 합니다.
`token-name.18.198.in-addr.arpa. IN TXT “token-value”`
IPv6의 경우 인증 레코드는 접두사를 구성하는 니블 경계의 범위에 맞게 정렬되어야 합니다. 유효한 니블 값은 예를 들어 32, 36, 40, 44, 48, 52, 56, 60입니다.
**예시**
이미 니블 경계에 정렬되어 있는 2001:0db8::/40의 경우 단일 인증 레코드를 생성해야 합니다.
`token-name.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”`
자체적으로 니블 경계에 정렬되지 않는 2001:0db8:80::/42의 경우 4개의 인증 레코드를 생성해야 합니다. 이러한 레코드는 니블 경계에 정렬된 서브넷 2001:db8:80::/44, 2001:db8:90::/44, 2001:db8:a0::/44, 2001:db8:b0::/44를 포함해야 합니다. 해당 DNS 항목은 다음과 같아야 합니다.
`token-name.8.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”`
`token-name.9.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”`
`token-name.a.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”`
`token-name.b.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”`
자체적으로 니블 경계를 넘지 않는 2001:db8:0:1000::/54의 알려지지 않는 범위의 경우 4개의 인증 레코드를 생성해야 합니다. 이러한 레코드는 니블 경계에 정렬된 서브넷 2001:db8:0:1000::/56, 2001:db8:0:1100::/56, 2001:db8:0:1200::/56, 2001:db 8:0:1300::/56을 포함해야 합니다. 해당 DNS 항목은 다음과 같아야 합니다.
`token-name.0.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”`
`token-name.1.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”`
`token-name.2.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”`
`token-name.3.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”`
*토큰 이름*과 "ip6.arpa" 문자열 사이의 16진수가 올바른지 확인하려면 숫자에 4를 곱합니다. 결과는 접두사 길이와 일치해야 합니다. 예를 들어 /56 접두사의 경우 16진수 14자리여야 합니다.
이 단계를 완료했으면 [AWS 관리 콘솔과 AWS CLI를 모두 사용하여 IPAM으로 고유 IP 가져오기](tutorials-byoip-ipam-console-intro.md) 또는 [AWS CLI만 사용하여 IPAM으로 고유 IP CIDR 가져오기](tutorials-byoip-ipam-cli-only-intro.md)을(를) 계속 진행합니다.
# AWS 관리 콘솔과 AWS CLI를 모두 사용하여 IPAM으로 고유 IP 가져오기
IPAM으로 고유 IP 주소 가져오기(BYOIP)를 통해 AWS에서 조직의 기존 IPv4 및 IPv6 주소 범위를 사용할 수 있습니다. 그러면 고유 IP 주소 공간에서 온프레미스 및 클라우드 환경을 통합하여 일관된 브랜딩을 유지 관리하고, 네트워크 성능을 개선하고, 보안을 강화하고, 관리를 간소화할 수 있습니다.
다음 단계에 따라 AWS 관리 콘솔과 AWS CLI를 모두 사용하여 IPv4 또는 IPv6 CIDR을 IPAM으로 가져오세요.
**참고**
시작하기 전에 먼저 [도메인 제어를 확인](tutorials-byoip-ipam-domain-verification-methods.md)해야 합니다.
사용하여 AWS로 IPv4 주소 범위를 가져오면 첫 번째 주소(네트워크 주소)와 마지막 주소(브로드캐스트 주소)를 포함하여 범위 내의 IP 주소를 모두 사용할 수 있습니다.
**Topics**
+ [AWS 관리 콘솔과 AWS CLI를 모두 사용하여 IPAM으로 고유 IPv4 CIDR 가져오기](tutorials-byoip-ipam-console-ipv4.md)
+ [AWS 관리 콘솔을 모두 사용하여 IPAM으로 자체 IPv6 CIDR 가져오기](tutorials-byoip-ipam-console-ipv6.md)
# AWS 관리 콘솔과 AWS CLI를 모두 사용하여 IPAM으로 고유 IPv4 CIDR 가져오기
다음 단계에 따라 IPv4 CIDR을 IPAM으로 가져오고 AWS 관리 콘솔과 AWS CLI를 모두 사용하여 탄력적 IP 주소(EIP)를 할당합니다.
**중요**
이 자습서에서는 다음 섹션의 단계를 이미 수행한 것으로 가정합니다.
[AWS Organization에서 계정과 IPAM 통합](enable-integ-ipam.md).
[IPAM 생성](create-ipam.md).
이 자습서의 각 단계는 다음 3개의 AWS Organizations 계정 중 하나로 수행해야 합니다.
관리 계정.
[AWS Organization에서 계정과 IPAM 통합](enable-integ-ipam.md)에서 IPAM 관리자로 구성된 멤버 계정. 이 자습서에서는 이 계정을 IPAM 계정이라고 합니다.
IPAM 풀에서 CIDR을 할당할 조직의 멤버 계정입니다. 이 자습서에서는 이 계정을 멤버 계정이라고 합니다.
**Topics**
+ [1단계: AWS CLI 명명 프로파일 및 IAM 역할 생성](#tutorials-create-profiles)
+ [2단계: 최상위 IPAM 풀 생성](#tutorials-byoip-ipam-ipv4-console-create-top)
+ [3단계. 최상위 풀 내에 리전 풀 생성](#tutorials-byoip-ipam-ipv4-console-create-reg)
+ [4단계: CIDR 알리기](#tutorials-byoip-ipam-ipv4-console-adv)
+ [5단계. 리전 풀 공유](#tutorials-byoip-ipam-ipv4-console-share-reg)
+ [6단계: 풀에서 탄력적 IP 주소 할당](#tutorials-byoip-ipam-ipv4-console-all-eip)
+ [7단계: EC2 인스턴스에 탄력적 IP 주소 연결](#tutorials-byoip-ipam-ipv4-console-assoc-eip)
+ [8단계: 정리](#tutorials-byoip-ipam-ipv4-console-cleanup)
+ [6단계의 대안](#tutorials-byoip-ipam-ipv4-alt)
## 1단계: AWS CLI 명명 프로파일 및 IAM 역할 생성
단일 AWS 사용자로 이 자습서를 완료하려면 AWS CLI 명명 프로파일을 사용하여 IAM 역할 간에 전환할 수 있습니다. [명명 프로파일](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-using-profiles)은 AWS CLI와(과) 함께 `--profile` 옵션을 사용할 때 참조하는 설정 및 보안 인증 정보의 모음입니다. AWS 계정에 대한 IAM 역할 및 명명된 프로파일 생성 방법에 대한 자세한 내용은 [AWS CLI에서 IAM 역할 사용](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html)을 참조하세요.
이 자습서에서 사용할 세 AWS 계정 각각에 대해 역할 하나와 명명 프로필 하나를 만듭니다:
+ AWS Organizations 관리 계정에 대한 `management-account`라는 프로파일
+ IPAM 관리자로 구성된 AWS Organizations 멤버 계정의 `ipam-account`라는 프로파일
+ IPAM 풀에서 CIDR을 할당할 조직의 AWS Organizations 멤버 계정에 대한 `member-account`라는 프로파일
IAM 역할 및 명명 프로파일을 생성한 후 이 페이지로 돌아와서 다음 단계로 이동합니다. 이 자습서의 나머지 부분에서 샘플 AWS CLI CLI 명령이 명명된 프로파일 중 하나와 함께 `--profile` 옵션을 사용하여 명령을 실행해야 하는 계정을 나타냅니다.
## 2단계: 최상위 IPAM 풀 생성
이 섹션의 단계에 따라 최상위 IPAM 풀을 생성하세요.
이 단계는 IPAM 계정으로 수행해야 합니다.
**풀을 생성하려면**
1. [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)에서 IPAM 콘솔을 엽니다.
1. 탐색 창에서 **Pools**를 선택합니다.
1. 기본적으로 풀을 생성하는 경우 기본 프라이빗 범위가 선택됩니다. 퍼블릭 범위를 선택합니다. 범위에 대한 자세한 내용은 [IPAM 작동 방식](how-it-works-ipam.md) 섹션을 참조하세요.
1. **풀 생성(Create pool)**을 선택합니다.
1. (선택 사항) 풀에 대한 **이름 태그(Name tag)** 및 **설명(Description)**을 추가합니다.
1. **소스**에서 **IPAM 범위**를 선택합니다.
1. **주소 패밀리(Address family)**에서 **IPv4**를 선택합니다.
1. **리소스 계획**에서 **범위 내에서 IP 공간 계획**을 선택한 상태로 둡니다. 이 옵션을 사용하여 VPC 내 서브넷 IP 공간을 계획하는 방법에 대한 자세한 내용은 [자습서: 서브넷 IP 할당을 위한 VPC IP 주소 공간 계획](tutorials-subnet-planning.md)를 참조하세요.
1. **로캘(Locale)**에서 **없음(None)**을 선택합니다.
BYOIP와 IPAM을 통합하려면 BYOIP CIDR에 사용할 모든 풀에 로캘이 설정되어야 합니다. 최상위 IPAM 풀 내의 리전 풀을 통해 최상위 IPAM 풀을 생성하고 리전 풀의 탄력적 IP 주소에 공간을 할당하기 때문에 최상위 풀이 아닌 리전 풀에 로캘을 설정합니다. 이후 단계에서 리전 풀을 생성하는 경우 리전 풀에 로캘을 추가합니다.
**참고**
단일 풀만 생성하고 해당 풀 내에 리전 풀이 있는 최상위 풀을 생성하지 않는 경우 풀을 할당에 사용할 수 있도록 이 풀에 대한 로캘을 선택할 수 있습니다.
1. **퍼블릭 IP 소스**에서 **BYOIP**를 선택합니다.
1. **프로비저닝할 CIDR**에서 다음 중 하나를 수행합니다.
+ [X.509 인증서로 도메인 제어를 확인](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-cert)한 경우 해당 단계에서 생성한 CIDR 및 BYOIP 메시지와 인증서 서명을 포함해야 공개 공간을 제어하는지 확인할 수 있습니다.
+ [DNS TXT 레코드로 도메인 제어를 확인](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-dns-txt)한 경우 해당 단계에서 생성한 CIDR 및 IPAM 확인 토큰을 포함해야 공개 공간을 제어하는지 확인할 수 있습니다.
최상위 풀 내의 풀에 IPv4 CIDR을 프로비저닝하는 경우 프로비저닝할 수 있는 최소 IPv4 CIDR은 `/24`이며, 더 구체적인 CIDR(예: `/25`)은 허용되지 않습니다.
**중요**
대부분의 프로비저닝은 2시간 내에 완료되지만 공개적으로 알려진 범위에 대한 프로비저닝 프로세스를 완료하려면 최대 1주가 걸릴 수 있습니다.
1. **이 풀의 할당 규칙 설정 구성**을 선택 취소된 상태로 둡니다.
1. (선택 사항) 풀에 대한 **태그(Tags)**를 선택합니다.
1. **풀 생성(Create pool)**을 선택합니다.
계속하기 전에 이 CIDR이 프로비저닝되었는지 확인합니다. 풀 세부 정보 페이지의 **CIDR(CIDRs)** 탭에서 프로비저닝 상태를 볼 수 있습니다.
## 3단계. 최상위 풀 내에 리전 풀 생성
최상위 풀 내에 리전 풀을 생성합니다. BYOIP와 IPAM을 통합하려면 BYOIP CIDR에 사용할 모든 풀에 로캘이 설정되어야 합니다. 이 단계에서 리전 풀을 생성하는 경우 리전 풀에 로캘을 추가합니다. `Locale`은 IPAM을 생성할 때 구성한 운영 리전 중 하나의 일부여야 합니다. 예를 들어 로캘이 *us-east-1*인 경우 IPAM의 운영 리전은 *us-east-1*이어야 합니다. 로캘이 *us-east-1-scl-1*(로컬 영역에 사용되는 네트워크 경계 그룹)인 경우 IPAM의 운영 리전은 *us-east-1*이어야 합니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
**최상위 풀 내에 리전 풀을 생성하려면**
1. [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)에서 IPAM 콘솔을 엽니다.
1. 탐색 창에서 **Pools**를 선택합니다.
1. 기본적으로 풀을 생성하는 경우 기본 프라이빗 범위가 선택됩니다. 기본 개인 범위를 사용하지 않으려는 경우 콘텐츠 창 상단의 드롭다운 메뉴에서 사용할 범위를 선택합니다. 범위에 대한 자세한 내용은 [IPAM 작동 방식](how-it-works-ipam.md) 섹션을 참조하세요.
1. **풀 생성(Create pool)**을 선택합니다.
1. (선택 사항) 풀에 대한 **이름 태그(Name tag)** 및 **설명(Description)**을 추가합니다.
1. **소스**에서 이전 섹션에서 생성한 최상위 풀을 선택합니다.
1. **리소스 계획**에서 **범위 내에서 IP 공간 계획**을 선택한 상태로 둡니다. 이 옵션을 사용하여 VPC 내 서브넷 IP 공간을 계획하는 방법에 대한 자세한 내용은 [자습서: 서브넷 IP 할당을 위한 VPC IP 주소 공간 계획](tutorials-subnet-planning.md)를 참조하세요.
1. **로캘(Locale)**에서 풀에 대한 로캘을 선택합니다. 이 자습서에서는 `us-east-2`를 리전 풀의 로캘로 사용합니다. 사용할 수 있는 옵션은 IPAM을 생성할 때 선택한 운영 리전에서 비롯된 것입니다.
풀의 로캘은 다음 중 하나여야 합니다.
+ 이 IPAM 풀을 할당에 사용할 수 있도록 하려는 AWS 리전입니다.
+ 이 IPAM 풀을 할당에 사용할 수 있도록 하려는 AWS 로컬 영역([지원되는 로컬 영역](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html#byoip-zone-avail))에 대한 네트워크 경계 그룹입니다. 이 옵션은 퍼블릭 범위의 IPAM IPv4 풀에만 사용할 수 있습니다.
+ [AWS 전용 로컬 영역](https://aws.amazon.com/dedicatedlocalzones/)입니다. AWS 전용 로컬 영역 내에 풀을 생성하려면 선택기 입력에 AWS 전용 로컬 영역을 입력합니다.
+ CloudFront 위치와 같은 모든 AWS 리전에서 전역적으로 IP 주소를 사용하려는 경우 `Global`. `Global` 로캘은 퍼블릭 IPv4 풀에만 사용할 수 있습니다.
예를 들어 VPC의 리전과 로캘을 공유하는 IPAM 풀의 VPC에 대한 CIDR만 할당할 수 있습니다. 풀에 대한 로캘을 선택한 경우에는 수정할 수 없습니다. 중단으로 인해 IPAM의 홈 리전을 사용할 수 없고 풀의 로캘이 IPAM의 홈 리전과 다른 경우에도 여전히 풀을 사용하여 IP 주소를 할당할 수 있습니다.
로캘을 선택하면 풀 및 풀에서 할당되는 리소스 간에 교차 리전 종속성이 없어집니다.
1. **서비스(Service)**에서 **EC2(EIP/VPC)**를 선택합니다. 선택한 서비스에 따라 CIDR이 알릴 AWS 서비스가 결정됩니다. 현재, 유일한 옵션은 **EC2(EIP/VPC)**입니다. 즉, 이 풀에서 할당된 CIDR은 Amazon EC2 서비스(탄력적 IP 주소용) 및 Amazon VPC 서비스(VPC에 연결된 CIDR용)에 대해 알릴 수 있음을 의미합니다.
1. **프로비저닝할 CIDR(CIDRs to provision)**에서 풀에 프로비저닝할 CIDR을 선택합니다.
**참고**
최상위 풀 내의 리전 풀에 CIDR을 프로비저닝하는 경우 프로비저닝할 수 있는 가장 구체적인 IPv4 CIDR은 `/24`이며, 더 구체적인 CIDR(예: `/25`)은 허용되지 않습니다. 리전 풀을 만든 후에는 동일한 리전 풀 내에 더 작은 풀(예: `/25`)을 만들 수 있습니다. 리전 풀 또는 리전 풀 내의 풀을 공유하는 경우 이러한 풀은 동일한 리전 풀에 설정된 로캘에서만 사용할 수 있습니다.
1. **이 풀의 할당 규칙 설정 구성**을 활성화합니다. 최상위 풀을 생성할 때와 동일한 할당 규칙 옵션이 여기에 적용됩니다. 풀을 생성할 때 사용할 수 있는 옵션에 대한 설명은 [최상위 IPv4 풀 생성](create-top-ipam.md) 섹션을 참조하세요. 리전 풀에 대한 할당 규칙은 최상위 풀에서 상속되지 않습니다. 여기에 규칙을 적용하지 않으면 풀에 대한 설정된 할당 규칙이 없어집니다.
1. (선택 사항) 풀에 대한 **태그(Tags)**를 선택합니다.
1. 풀 구성을 마쳤으면 **풀 생성(Create pool)**을 선택합니다.
계속하기 전에 이 CIDR이 프로비저닝되었는지 확인합니다. 풀 세부 정보 페이지의 **CIDR(CIDRs)** 탭에서 프로비저닝 상태를 볼 수 있습니다.
## 4단계: CIDR 알리기
이 섹션의 단계는 IPAM 계정에서 수행해야 합니다. 탄력적 IP 주소(EIP)를 인스턴스 또는 Elastic Load Balancer와 연결하면 **서비스 EC2(EIP/VPC)**가 구성된 풀에 있는 AWS로 가져온 CIDR 알림을 시작할 수 있습니다. 이 자습서에서는 리전 풀이 해당됩니다. 기본적으로 CIDR은 알리지 않으므로 인터넷을 통해 공개적으로 액세스할 수 없습니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
**참고**
알림 상태에 따라 탄력적 IP 주소 할당 기능이 제한되지는 않습니다. BYOIPv4 CIDR 알림이 없더라도 IPAM 풀에서 EIP를 생성할 수 있습니다.
**CIDR 알리기**
1. [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)에서 IPAM 콘솔을 엽니다.
1. 탐색 창에서 **Pools**를 선택합니다.
1. 기본적으로 풀을 생성하는 경우 기본 프라이빗 범위가 선택됩니다. 퍼블릭 범위를 선택합니다. 범위에 대한 자세한 내용은 [IPAM 작동 방식](how-it-works-ipam.md) 섹션을 참조하세요.
1. 이 자습서에서 생성한 리전 풀을 선택합니다.
1. **CIDR** 탭을 선택합니다.
1. BYOIP CIDR을 선택하고 **작업(Actions)** > **알리기(Advertise)**를 선택합니다.
1. **CIDR 알리기(Advertise CIDR)**를 선택합니다.
결과적으로 BYOIP CIDR이 알려지고 **알림(Advertising)** 열의 값이 **철회됨(Withdrawn)**에서 **알려짐(Advertised)**으로 변경됩니다.
## 5단계. 리전 풀 공유
이 섹션의 단계에 따라 AWS Resource Access Manager(RAM)를 사용하여 IPAM 풀을 공유합니다.
### AWS RAM에서 리소스 공유 활성화
IPAM을 생성한 후에는 리전 풀을 조직의 다른 계정과 공유할 수 있습니다. IPAM 풀을 공유하기 전에 이 단원의 단계를 완료하여 AWS RAM과 리소스 공유를 활성화합니다. AWS CLI를 사용하여 리소스 공유를 사용 설정하는 경우 `--profile management-account` 옵션을 사용합니다.
**리소스 공유 활성화**
1. AWS Organizations 관리 계정을 사용하여 [https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/)에서 AWS RAM 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **설정**을 선택하고 **공유 활성화 범위 - AWS Organizations**를 선택한 다음 **설정 저장**을 선택합니다.
이제 IPAM 풀을 조직의 다른 멤버와 공유할 수 있습니다.
### AWS RAM을 사용하여 IPAM 풀 공유
이 섹션에서는 리전 풀을 다른 AWS Organizations 멤버 계정과 공유합니다. 필수 IAM 권한에 대한 정보를 포함하여 IPAM 풀 공유에 대한 전체 지침은 [AWS RAM을 사용하여 IPAM 풀 공유](share-pool-ipam.md) 섹션을 참조하세요. AWS CLI를 사용하여 리소스 공유를 사용 설정하는 경우 `--profile ipam-account` 옵션을 사용합니다.
**AWS RAM을 사용하여 IPAM 풀 공유**
1. IPAM 관리자 계정을 사용하여 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)에서 IPAM 콘솔을 엽니다.
1. 탐색 창에서 **Pools**를 선택합니다.
1. 프라이빗 범위를 선택하고, IPAM 풀을 선택하고, **작업** > **세부 정보 보기**를 선택합니다.
1. **리소스 공유(Resource sharing)**에서 **리소스 공유 생성(Create resource share)**을 선택합니다. AWS RAM 콘솔이 열립니다. AWS RAM을 사용하여 풀을 공유합니다.
1. **리소스 공유 생성(Create a resource share)**을 선택합니다.
1. AWS RAM 콘솔에서 **리소스 공유 생성**을 다시 선택합니다.
1. 공유 풀에 대한 **이름**을 추가합니다.
1. **리소스 유형 선택**에서 **IPAM 풀**을 선택한 다음에 공유하려는 풀의 ARN을 선택합니다.
1. **다음**을 선택합니다.
1. **AWSRAMPermissionIpamPoolByoipCidrImport** 권한을 선택합니다. 권한 옵션에 대한 세부 정보는 이 자습서의 범위를 벗어나지만 [AWS RAM을 사용하여 IPAM 풀 공유](share-pool-ipam.md)에서 이러한 옵션에 대해 자세히 알아볼 수 있습니다.
1. **다음**을 선택합니다.
1. **보안 주체** > **보안 주체 유형 선택**에서 **AWS 계정**을 선택하고 IP 주소 범위를 IPAM으로 가져올 계정의 계정 ID를 입력한 다음 **추가**를 선택합니다.
1. **다음**을 선택합니다.
1. 리소스 공유 옵션 및 공유할 보안 주체를 검토하고 **생성**을 선택합니다.
1. **member-account** 계정이 IPAM 풀에서 IP 주소 CIDRS를 할당할 수 있도록 하려면 `AWSRAMDefaultPermissionsIpamPool`로 두 번째 리소스 공유를 생성합니다. `--resource-arns`의 값은 이전 섹션에서 생성한 IPAM 풀의 ARN입니다. `--principals` 값은 **member-account**의 계정 ID입니다. `--permission-arns`의 값은 `AWSRAMDefaultPermissionsIpamPool` 권한의 ARN입니다.
## 6단계: 풀에서 탄력적 IP 주소 할당
이 섹션의 단계를 완료하여 풀에서 탄력적 IP 주소를 할당합니다. 참고로, 퍼블릭 IPv4 풀을 사용하여 탄력적 IP 주소를 할당하는 경우 이 섹션의 단계 대신에 [6단계의 대안](#tutorials-byoip-ipam-ipv4-alt)의 대체 단계를 사용할 수 있습니다.
**중요**
ec2:AllocateAddress를 직접적으로 호출할 권한이 없음과 관련된 오류가 표시되는 경우 사용자와 공유된 IPAM 풀에 현재 할당된 관리형 권한을 업데이트해야 합니다. 리소스 공유를 생성한 사람에게 연락하여 관리형 권한 `AWSRAMPermissionIpamResourceDiscovery`를 기본 버전으로 업데이트해 달라고 요청하세요. 자세한 내용은 *AWS RAM 사용 설명서*의 [리소스 공유 업데이트](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-update.html)를 참조하세요.
------
#### [ AWS Management Console ]
**Amazon EC2 사용 설명서의 [탄력적 IP 주소 할당](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-allocating) 단계에 따라 주소를 할당하되 다음을 참고하세요.
+ 이 단계는 멤버 계정으로 수행해야 합니다.
+ EC2 콘솔에 있는 AWS 리전이 지역 풀을 생성할 때 선택한 로캘 옵션과 일치하는지 확인합니다.
+ 주소 풀을 선택할 때 **IPv4 IPAM 풀을 사용하여 할당**하는 옵션을 선택하고 생성한 리전 풀을 선택합니다.
------
#### [ Command line ]
[allocate-address](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/allocate-address.html) 명령을 사용하여 풀에서 주소를 할당합니다. 사용하는 `--region`이 2단계에서 풀을 생성할 때 선택한 `-locale` 옵션과 일치해야 합니다. 2단계에서 생성한 IPAM 풀의 ID를 `--ipam-pool-id`에 포함합니다. 선택 사항으로, `--address` 옵션을 사용하여 IPAM 풀의 특정 `/32`를 선택할 수도 있습니다.
```
aws ec2 allocate-address --region us-east-1 --ipam-pool-id ipam-pool-07ccc86aa41bef7ce
```
응답 예제:
```
{
"PublicIp": "18.97.0.41",
"AllocationId": "eipalloc-056cdd6019c0f4b46",
"PublicIpv4Pool": "ipam-pool-07ccc86aa41bef7ce",
"NetworkBorderGroup": "us-east-1",
"Domain": "vpc"
}
```
자세한 내용은 **Amazon EC2 사용 설명서의 [탄력적 IP 주소 할당](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-allocating)을 참조하세요.
------
## 7단계: EC2 인스턴스에 탄력적 IP 주소 연결
이 섹션의 단계를 완료하여 EC2 인스턴스에 탄력적 IP 주소를 연결합니다.
------
#### [ AWS Management Console ]
**Amazon EC2 사용 설명서에 있는 [탄력적 IP 주소 연결](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-associating)의 단계에 따라 IPAM 풀에서 탄력적 IP 주소를 할당하되 다음을 참고하세요. AWS Management Console 옵션을 사용하는 경우 탄력적 IP 주소를 연결하는 AWS 리전은 리전 풀을 생성할 때 선택한 로캘 옵션과 일치해야 합니다.
이 단계는 멤버 계정으로 수행해야 합니다.
------
#### [ Command line ]
이 단계는 멤버 계정으로 수행해야 합니다. `--profile member-account` 옵션을 사용합니다.
[associate-address](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/allocate-address.html) 명령으로 인스턴스에 탄력적 IP 주소를 연결합니다. 탄력적 IP 주소를 연결하는 `--region`은 리전 풀을 생성할 때 선택한 `--locale` 옵션과 일치해야 합니다.
```
aws ec2 associate-address --region us-east-1 --instance-id i-07459a6fca5b35823 --public-ip 18.97.0.41
```
응답 예제:
```
{
"AssociationId": "eipassoc-06aa85073d3936e0e"
}
```
자세한 내용은 **Amazon EC2 사용 설명서의 [인스턴스 또는 네트워크 인터페이스에 탄력적 IP 주소 연결](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-associating)를 참조하세요.
------
## 8단계: 정리
이번 섹션의 단계를 따르면 이 자습서에서 프로비저닝하고 생성한 리소스를 정리할 수 있습니다.
**1단계: 앎림에서 CIDR 철회**
이 단계는 IPAM 계정으로 수행해야 합니다.
1. [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)에서 IPAM 콘솔을 엽니다.
1. 탐색 창에서 **Pools**를 선택합니다.
1. 기본적으로 풀을 생성하는 경우 기본 프라이빗 범위가 선택됩니다. 퍼블릭 범위를 선택합니다.
1. 이 자습서에서 생성한 리전 풀을 선택합니다.
1. **CIDR** 탭을 선택합니다.
1. BYOIP CIDR을 선택하고 **작업(Actions)** > **알림에서 철회(Withdraw from advertising)**를 선택합니다.
1. **CIDR 철회(Withdraw CIDR)**를 선택합니다.
결과적으로 BYOIP CIDR이 더 이상 알려지지 않고 **알림(Advertising)** 열의 값이 **알려짐(Advertised)**에서 **철회됨(Withdrawn)**으로 변경됩니다.
**2단계: 탄력적 IP 주소 연결 해제**
이 단계는 멤버 계정으로 수행해야 합니다. AWS CLI를 사용하는 경우 `--profile member-account` 옵션을 사용합니다.
+ **Amazon EC2 사용 설명서의 [탄력적 IP 주소 연결 해제](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-associating-different) 단계에 따라 EIP를 연결 해제하세요. AWS 관리 콘솔에서 EC2를 열 때 EIP를 연결 해제하는 AWS 리전은 BYOIP CIDR에 사용할 풀을 생성할 때 선택한 `Locale` 옵션과 일치해야 합니다. 이 자습서에서는 해당 풀이 리전 풀입니다.
**3단계: 탄력적 IP 주소 해제**
이 단계는 멤버 계정으로 수행해야 합니다. AWS CLI를 사용하는 경우 `--profile member-account` 옵션을 사용합니다.
+ **Amazon EC2 사용 설명서의 [탄력적 IP 주소 릴리스](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-releasing) 단계에 따라 퍼블릭 IPv4 풀에서 탄력적 IP 주소(EIP)를 릴리스하세요. AWS 관리 콘솔에서 EC2를 열 때 EIP를 할당하는 AWS 리전은 BYOIP CIDR에 사용할 풀을 생성할 때 선택한 `Locale` 옵션과 일치해야 합니다.
**4단계: RAM 공유 삭제 및 AWS Organizations와 RAM 통합 비활성화**
이 단계는 각각 IPAM 계정과 관리 계정으로 수행해야 합니다. AWS CLI를 사용하여 RAM 공유를 삭제하고 RAM 통합을 사용 중지하는 경우 ` --profile ipam-account` 및 ` --profile management-account` 옵션을 사용합니다.
+ *AWS RAM 사용 설명서*의 [AWS RAM의 리소스 공유 삭제](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-delete.html) 및 [AWS Organizations와의 리소스 공유 비활성화](https://docs.aws.amazon.com/ram/latest/userguide/security-disable-sharing-with-orgs.html)의 단계를 순서대로 완료하여 RAM 공유를 삭제하고 AWS Organizations와의 RAM 통합을 사용 중지합니다.
**5단계: 리전 풀 및 최상위 풀에서 CIDR 프로비저닝 해제**
이 단계는 IPAM 계정으로 수행해야 합니다. AWS CLI를 사용하여 풀을 공유하는 경우 `--profile ipam-account` 옵션을 사용합니다.
+ [풀에서 CIDR 프로비저닝 해제](depro-pool-cidr-ipam.md)의 단계에 따라 리전 풀과 최상위 풀에서 순서대로 CIDR을 프로비저닝 해제하세요.
**6단계: 리전 풀 및 최상위 풀 삭제**
이 단계는 IPAM 계정으로 수행해야 합니다. AWS CLI를 사용하여 풀을 공유하는 경우 `--profile ipam-account` 옵션을 사용합니다.
+ [풀 삭제](delete-pool-ipam.md)의 단계에 따라 리전 풀과 최상위 풀을 순서대로 삭제하세요.
## 6단계의 대안
퍼블릭 IPv4 풀을 사용하여 탄력적 IP 주소를 할당하는 경우 [6단계: 풀에서 탄력적 IP 주소 할당](#tutorials-byoip-ipam-ipv4-console-all-eip)의 단계 대신에 이 섹션의 단계를 사용할 수 있습니다.
**Topics**
+ [1단계: 퍼블릭 IPv4 풀 생성](#tutorials-byoip-ipam-ipv4-console-alt-pool)
+ [2단계: 퍼블릭 IPv4 CIDR를 퍼블릭 IPv4 풀에 프로비저닝](#tutorials-byoip-ipam-ipv4-console-alt-cidr)
+ [3단계: IPv4 풀에서 탄력적 IP 주소 할당](#tutorials-byoip-ipam-ipv4-console-alt-eip)
+ [6단계의 대안 정리](#tutorials-byoip-ipam-ipv4-console-alt-cleanup)
### 1단계: 퍼블릭 IPv4 풀 생성
이 단계는 탄력적 IP 주소를 프로비저닝할 멤버 계정으로 수행해야 합니다.
**참고**
이 단계는 AWS CLI를 사용하여 멤버 계정으로 수행해야 합니다.
퍼블릭 IPv4 풀 및 IPAM 풀은 AWS의 고유한 리소스에 의해 관리됩니다. 퍼블릭 IPv4 풀은 공개 소유의 CIDR을 탄력적 IP 주소로 변환할 수 있는 단일 계정 리소스입니다. IPAM 풀을 사용하여 퍼블릭 공간을 퍼블릭 IPv4 풀에 할당할 수 있습니다.
**AWS CLI를 사용하여 퍼블릭 IPv4 풀 생성**
+ 다음 명령을 실행하여 CIDR을 프로비저닝합니다. 이 섹션에서 명령을 실행하는 경우 `--region`의 값은 BYOIP CIDR에 사용할 풀을 생성할 때 선택한 `Locale` 옵션과 일치해야 합니다.
```
aws ec2 create-public-ipv4-pool --region us-east-2 --profile member-account
```
출력에 퍼블릭 IPv4 풀 ID가 표시됩니다. 다음 단계에서 이 ID를 사용합니다.
```
{
"PoolId": "ipv4pool-ec2-09037ce61cf068f9a"
}
```
### 2단계: 퍼블릭 IPv4 CIDR를 퍼블릭 IPv4 풀에 프로비저닝
퍼블릭 IPv4 CIDR을 퍼블릭 IPv4 풀에 프로비저닝합니다. `--region`의 값은 BYOIP CIDR에 사용할 풀을 생성할 때 선택한 `Locale` 값과 일치해야 합니다. `--netmask-length`는 퍼블릭 풀로 가져오려는 IPAM 풀의 공간 크기입니다. 이 값은 IPAM 풀의 넷마스크 길이보다 크기 않아야 합니다. 정의할 수 있는 가장 덜 구체적인 `--netmask-length`는 `24`입니다.
**참고**
AWS Organization 전체에서 공유하기 위해 IPAM에 `/24` CIDR 범위를 가져오는 경우 이 자습서에 표시된 것처럼 전체 `/24` CIDR을 프로비저닝(`-- netmask-length 24` 사용)하는 대신 여러 IPAM 풀에 `/27`과 같은 더 작은 접두사를 프로비저닝(`-- netmask-length 27` 사용)할 수 있습니다.
이 단계는 AWS CLI를 사용하여 멤버 계정으로 수행해야 합니다.
**AWS CLI를 사용하여 퍼블릭 IPv4 풀 생성**
1. 다음 명령을 실행하여 CIDR을 프로비저닝합니다.
```
aws ec2 provision-public-ipv4-pool-cidr --region us-east-2 --ipam-pool-id ipam-pool-04d8e2d9670eeab21 --pool-id ipv4pool-ec2-09037ce61cf068f9a --netmask-length 24 --profile member-account
```
출력에 프로비저닝된 CIDR이 표시됩니다.
```
{
"PoolId": "ipv4pool-ec2-09037ce61cf068f9a",
"PoolAddressRange": {
"FirstAddress": "130.137.245.0",
"LastAddress": "130.137.245.255",
"AddressCount": 256,
"AvailableAddressCount": 256
}
}
```
1. 다음 명령을 실행하여 퍼블릭 IPv4 풀에 프로비저닝된 CIDR을 확인합니다.
```
aws ec2 describe-public-ipv4-pools --region us-east-2 --max-results 10 --profile member-account
```
출력에 프로비저닝된 CIDR이 표시됩니다. 기본적으로 CIDR은 알리지 않으므로 인터넷을 통해 공개적으로 액세스할 수 없습니다. 이 자습서의 마지막 단계에서 이 CIDR을 알리도록 설정할 수 있습니다.
```
{
"PublicIpv4Pools": [
{
"PoolId": "ipv4pool-ec2-09037ce61cf068f9a",
"Description": "",
"PoolAddressRanges": [
{
"FirstAddress": "130.137.245.0",
"LastAddress": "130.137.245.255",
"AddressCount": 256,
"AvailableAddressCount": 255
}
],
"TotalAddressCount": 256,
"TotalAvailableAddressCount": 255,
"NetworkBorderGroup": "us-east-2",
"Tags": []
}
]
}
```
퍼블릭 IPv4 풀을 생성한 후 IPAM 리전 풀에 할당된 퍼블릭 IPv4 풀을 보려면 IPAM 콘솔을 열고 **할당(Allocations)** 또는 **리소스(Resources)** 아래의 리전 풀에서 할당을 확인합니다.
### 3단계: IPv4 풀에서 탄력적 IP 주소 할당
**Amazon EC2 사용 설명서의 [탄력적 IP 주소 할당](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-allocating) 단계를 완료하여 퍼블릭 IPv4 풀에서 EIP를 할당합니다. AWS 관리 콘솔에서 EC2를 열 때 EIP를 할당하는 AWS 리전은 BYOIP CIDR에 사용할 풀을 생성할 때 선택한 `Locale` 옵션과 일치해야 합니다.
이 단계는 멤버 계정으로 수행해야 합니다. AWS CLI를 사용하는 경우 `--profile member-account` 옵션을 사용합니다.
이 세 단계를 완료했으면 [7단계: EC2 인스턴스에 탄력적 IP 주소 연결](#tutorials-byoip-ipam-ipv4-console-assoc-eip) 자습서로 돌아가서 자습서를 완료할 때까지 계속합니다.
### 6단계의 대안 정리
이러한 단계를 완료하여 9단계의 대안으로 생성한 퍼블릭 IPv4 풀을 정리합니다. [8단계: 정리](#tutorials-byoip-ipam-ipv4-console-cleanup)의 표준 정리 프로세스 동안 탄력적 IP 주소 해제 후 이러한 단계를 완료해야 합니다.
**1단계: 퍼블릭 IPv4 풀에서 퍼블릭 IPv4 CIDR 프로비저닝 해제**
**중요**
이 단계는 AWS CLI를 사용하여 멤버 계정으로 수행해야 합니다.
1. BYOIP CIDR을 확인합니다.
```
aws ec2 describe-public-ipv4-pools --region us-east-2 --profile member-account
```
출력에 BYOIP CIDR의 IP 주소가 표시됩니다.
```
{
"PublicIpv4Pools": [
{
"PoolId": "ipv4pool-ec2-09037ce61cf068f9a",
"Description": "",
"PoolAddressRanges": [
{
"FirstAddress": "130.137.245.0",
"LastAddress": "130.137.245.255",
"AddressCount": 256,
"AvailableAddressCount": 256
}
],
"TotalAddressCount": 256,
"TotalAvailableAddressCount": 256,
"NetworkBorderGroup": "us-east-2",
"Tags": []
}
]
}
```
1. 다음 명령을 실행하여 퍼블릭 IPv4 풀에서 CIDR을 해제합니다.
```
aws ec2 deprovision-public-ipv4-pool-cidr --region us-east-2 --pool-id ipv4pool-ec2-09037ce61cf068f9a --cidr 130.137.245.0/24 --profile member-account
```
1. BYOIP CIDR을 다시 확인하고 프로비저닝된 주소가 더 이상 없는지 확인합니다. 이 섹션의 명령을 실행하는 경우 `--region`의 값은 IPAM 리전과 일치해야 합니다.
```
aws ec2 describe-public-ipv4-pools --region us-east-2 --profile member-account
```
출력에 퍼블릭 IPv4 풀의 IP 주소 수가 표시됩니다.
```
{
"PublicIpv4Pools": [
{
"PoolId": "ipv4pool-ec2-09037ce61cf068f9a",
"Description": "",
"PoolAddressRanges": [],
"TotalAddressCount": 0,
"TotalAvailableAddressCount": 0,
"NetworkBorderGroup": "us-east-2",
"Tags": []
}
]
}
```
**참고**
IPAM이 퍼블릭 IPv4 풀 할당이 제거되었음을 발견하는 데 어느 정도 시간이 걸릴 수 있습니다. IPAM에서 할당이 제거됐는지 확인할 때까지 IPAM 풀 CIDR을 정리하고 프로비저닝 해제할 수 없습니다.
**2단계: 퍼블릭 IPv4 풀 삭제**
이 단계는 멤버 계정으로 수행해야 합니다.
+ 다음 명령을 실행하여 CIDR의 퍼블릭 IPv4 풀을 삭제합니다. 이 섹션에서 명령을 실행하는 경우 `--region`의 값은 BYOIP CIDR에 사용할 풀을 생성할 때 선택한 `Locale` 옵션과 일치해야 합니다. 이 자습서에서는 해당 풀이 리전 풀입니다. 이 단계는 AWS CLI를 사용하여 수행해야 합니다.
```
aws ec2 delete-public-ipv4-pool --region us-east-2 --pool-id ipv4pool-ec2-09037ce61cf068f9a --profile member-account
```
출력에서 반환 값이 **true**임을 확인할 수 있습니다.
```
{
"ReturnValue": true
}
```
풀을 삭제한 후 IPAM에서 관리하지 않는 할당을 보려면 IPAM 콘솔을 열고 **할당(Allocations)**에서 리전 풀의 세부 정보를 확인합니다.
# AWS 관리 콘솔을 모두 사용하여 IPAM으로 자체 IPv6 CIDR 가져오기
이 자습서의 단계에 따라 IPv6 CIDR을 IPAM으로 가져오고 AWS Management 콘솔 및 AWS CLI를 사용하여 CIDR과 함께 VPC를 할당하세요.
인터넷을 통해 IPv6 주소를 알릴 필요가 없는 경우, 프라이빗 GUA IPv6 주소를 IPAM에 프로비저닝할 수 있습니다. 자세한 내용은 [프라이빗 IPv6 GUA CIDR 프로비저닝 활성화](enable-prov-ipv6-gua.md) 섹션을 참조하세요.
**중요**
이 자습서에서는 다음 섹션의 단계를 이미 수행한 것으로 가정합니다.
[AWS Organization에서 계정과 IPAM 통합](enable-integ-ipam.md).
[IPAM 생성](create-ipam.md).
이 자습서의 각 단계는 다음 3개의 AWS Organizations 계정 중 하나로 수행해야 합니다.
관리 계정.
[AWS Organization에서 계정과 IPAM 통합](enable-integ-ipam.md)에서 IPAM 관리자로 구성된 멤버 계정. 이 자습서에서는 이 계정을 IPAM 계정이라고 합니다.
IPAM 풀에서 CIDR을 할당할 조직의 멤버 계정입니다. 이 자습서에서는 이 계정을 멤버 계정이라고 합니다.
**Topics**
+ [1단계: 최상위 IPAM 풀 생성](#tutorials-byoip-ipam-ipv6-console-1)
+ [2단계. 최상위 풀 내에 리전 풀 생성](#tutorials-byoip-ipam-ipv6-console-2)
+ [3단계. 리전 풀 공유](#tutorials-byoip-ipam-ipv4-console-4-deux)
+ [4단계: VPC 생성](#tutorials-byoip-ipam-ipv6-console-4)
+ [5단계: CIDR 알리기](#tutorials-byoip-ipam-ipv6-console-5)
+ [6단계: 정리](#tutorials-byoip-ipam-ipv6-console-cleanup)
## 1단계: 최상위 IPAM 풀 생성
최상위 IPAM 풀 내의 리전 풀을 통해 최상위 IPAM 풀을 생성하고 리전 풀의 리소스에 공간을 할당하기 때문에 최상위 풀이 아닌 리전 풀에 로캘을 설정합니다. 이후 단계에서 리전 풀을 생성하는 경우 리전 풀에 로캘을 추가합니다. BYOIP와 IPAM을 통합하려면 BYOIP CIDR에 사용할 모든 풀에 로캘이 설정되어야 합니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
**풀을 생성하려면**
1. [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)에서 IPAM 콘솔을 엽니다.
1. 탐색 창에서 **Pools**를 선택합니다.
1. 기본적으로 풀을 생성하는 경우 기본 프라이빗 범위가 선택됩니다. 퍼블릭 범위를 선택합니다. 범위에 대한 자세한 내용은 [IPAM 작동 방식](how-it-works-ipam.md) 섹션을 참조하세요.
1. **풀 생성(Create pool)**을 선택합니다.
1. (선택 사항) 풀에 대한 **이름 태그(Name tag)** 및 **설명(Description)**을 추가합니다.
1. **소스**에서 **IPAM 범위**를 선택합니다.
1. **주소 패밀리(Address family)**에서 **IPv6**를 선택합니다.
1. **리소스 계획**에서 **범위 내에서 IP 공간 계획**을 선택한 상태로 둡니다. 이 옵션을 사용하여 VPC 내 서브넷 IP 공간을 계획하는 방법에 대한 자세한 내용은 [자습서: 서브넷 IP 할당을 위한 VPC IP 주소 공간 계획](tutorials-subnet-planning.md)를 참조하세요.
1. **로캘(Locale)**에서 **없음(None)**을 선택합니다. 리전 풀에서 로캘을 설정합니다.
로캘은 이 IPAM 풀을 할당에 사용할 수 있도록 하려는 AWS 리전입니다. 예를 들어 VPC의 리전과 로캘을 공유하는 IPAM 풀의 VPC에 대한 CIDR만 할당할 수 있습니다. 풀에 대한 로캘을 선택한 경우에는 수정할 수 없습니다. 중단으로 인해 IPAM의 홈 리전을 사용할 수 없고 풀의 로캘이 IPAM의 홈 리전과 다른 경우에도 여전히 풀을 사용하여 IP 주소를 할당할 수 있습니다.
**참고**
단일 풀만 생성하고 해당 풀 내에 리전 풀이 있는 최상위 풀을 생성하지 않는 경우 풀을 할당에 사용할 수 있도록 이 풀에 대한 로캘을 선택할 수 있습니다.
1. **퍼블릭 IP 소스**에는 기본적으로 **BYOIP**가 선택되어 있습니다.
1. **프로비저닝할 CIDR**에서 다음 중 하나를 수행합니다.
+ [X.509 인증서로 도메인 제어를 확인](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-cert)한 경우 해당 단계에서 생성한 CIDR 및 BYOIP 메시지와 인증서 서명을 포함해야 공개 공간을 제어하는지 확인할 수 있습니다.
+ [DNS TXT 레코드로 도메인 제어를 확인](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-dns-txt)한 경우 해당 단계에서 생성한 CIDR 및 IPAM 확인 토큰을 포함해야 공개 공간을 제어하는지 확인할 수 있습니다.
최상위 풀 내의 풀에 IPv6 CIDR를 프로비저닝할 때 가져올 수 있는 가장 구체적인 IPv6 주소 범위는 공개적으로 알려진 CIDR의 경우 /48이고 공개적으로 알려지지 않은 CIDR의 경우 /60입니다.
**중요**
대부분의 프로비저닝은 2시간 내에 완료되지만 공개적으로 알려진 범위에 대한 프로비저닝 프로세스를 완료하려면 최대 1주가 걸릴 수 있습니다.
1. **이 풀의 할당 규칙 설정 구성**을 선택 취소된 상태로 둡니다.
1. (선택 사항) 풀에 대한 **태그(Tags)**를 선택합니다.
1. **풀 생성(Create pool)**을 선택합니다.
계속하기 전에 이 CIDR이 프로비저닝되었는지 확인합니다. 풀 세부 정보 페이지의 **CIDR(CIDRs)** 탭에서 프로비저닝 상태를 볼 수 있습니다.
## 2단계. 최상위 풀 내에 리전 풀 생성
최상위 풀 내에 리전 풀을 생성합니다. 로캘은 풀에 필요하며 IPAM을 생성할 때 구성한 운영 리전 중 하나여야 합니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
**최상위 풀 내에 리전 풀을 생성하려면**
1. [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)에서 IPAM 콘솔을 엽니다.
1. 탐색 창에서 **Pools**를 선택합니다.
1. 기본적으로 풀을 생성하는 경우 기본 프라이빗 범위가 선택됩니다. 기본 개인 범위를 사용하지 않으려는 경우 콘텐츠 창 상단의 드롭다운 메뉴에서 사용할 범위를 선택합니다. 범위에 대한 자세한 내용은 [IPAM 작동 방식](how-it-works-ipam.md) 섹션을 참조하세요.
1. **풀 생성(Create pool)**을 선택합니다.
1. (선택 사항) 풀에 대한 **이름 태그(Name tag)** 및 설명(Description)을 추가합니다.
1. **소스**에서 이전 섹션에서 생성한 최상위 풀을 선택합니다.
1. **리소스 계획**에서 **범위 내에서 IP 공간 계획**을 선택한 상태로 둡니다. 이 옵션을 사용하여 VPC 내 서브넷 IP 공간을 계획하는 방법에 대한 자세한 내용은 [자습서: 서브넷 IP 할당을 위한 VPC IP 주소 공간 계획](tutorials-subnet-planning.md)를 참조하세요.
1. 풀의 로캘을 선택합니다. 로캘을 선택하면 풀 및 풀에서 할당되는 리소스 간에 교차 리전 종속성이 없어집니다. 사용할 수 있는 옵션은 IPAM을 생성할 때 선택한 운영 리전에서 비롯된 것입니다. 이 자습서에서는 `us-east-2`를 리전 풀의 로캘로 사용합니다.
로캘은 이 IPAM 풀을 할당에 사용할 수 있도록 하려는 AWS 리전입니다. 예를 들어 VPC의 리전과 로캘을 공유하는 IPAM 풀의 VPC에 대한 CIDR만 할당할 수 있습니다. 풀에 대한 로캘을 선택한 경우에는 수정할 수 없습니다. 중단으로 인해 IPAM의 홈 리전을 사용할 수 없고 풀의 로캘이 IPAM의 홈 리전과 다른 경우에도 여전히 풀을 사용하여 IP 주소를 할당할 수 있습니다.
1. **서비스(Service)**에서 **EC2(EIP/VPC)**를 선택합니다. 선택한 서비스에 따라 CIDR이 알릴 AWS 서비스가 결정됩니다. 현재, 유일한 옵션은 **EC2 (EIP/VPC)**입니다. 즉, 이 풀에서 할당된 CIDR은 Amazon EC2 서비스 및 Amazon VPC 서비스(VPC에 연결된 CIDR용)에 대해 알릴 수 있음을 의미합니다.
1. **프로비저닝할 CIDR(CIDRs to provision)**에서 풀에 프로비저닝할 CIDR을 선택합니다. 최상위 풀 내의 풀에 IPv6 CIDR를 프로비저닝할 때 가져올 수 있는 가장 구체적인 IPv6 주소 범위는 공개적으로 알려진 CIDR의 경우 /48이고 공개적으로 알려지지 않은 CIDR의 경우 /60입니다.
1. **이 풀의 할당 규칙 설정 구성**을 활성화하고 풀에 대한 선택적 할당 규칙을 선택합니다.
+ **검색된 리소스 자동으로 가져오기(Automatically import discovered resources)**: 이 옵션은 **로캘(Locale)**이 **없음(None)**으로 설정된 경우 사용할 수 없습니다. 이 옵션을 선택하면 IPAM은 이 풀의 CIDR 범위 내에 있는 리소스를 지속적으로 찾아서 자동으로 IPAM에 할당으로 가져옵니다. 다음 사항에 유의하세요.
+ 가져오기가 성공하려면 이러한 리소스에 할당될 CIDR이 아직 다른 리소스에 할당되지 않아야 합니다.
+ IPAM은 풀의 할당 규칙 관련 규정 준수 여부에 관계없이 CIDR을 가져오므로 리소스를 가져온 다음 비준수로 표시될 수 있습니다.
+ IPAM이 겹치는 여러 CIDR을 검색하는 경우 IPAM은 가장 큰 CIDR만 가져옵니다.
+ IPAM이 일치하는 CIDR이 있는 여러 개의 CIDR을 검색하는 경우 IPAM은 그중 하나만 임의로 가져옵니다.
+ **최소 넷마스크 길이(Minimum netmask length)**: 준수할 이 IPAM 풀의 CIDR 할당에 필요한 최소 넷마스크 길이 및 풀에서 할당할 수 있는 최대 크기의 CIDR 블록입니다. 최소 넷마스크 길이는 최대 넷마스크 길이보다 작아야 합니다. IPv4 주소에 사용할 수 있는 넷마스크 길이는 `0`\$1`32`입니다. IPv6 주소에 사용할 수 있는 넷마스크 길이는 `0`\$1`128`입니다.
+ **기본 넷마스크 길이(Default netmask length)**: 이 풀에 추가된 할당의 기본 넷마스크 길이입니다.
+ **최대 넷마스크 길이(Maximum netmask length)**: 이 풀의 CIDR 할당에 필요한 최대 넷마스크 길이입니다. 이 값은 풀에서 할당할 수 있는 가장 작은 크기의 CIDR 블록을 지정합니다. 이 값이 최소 **/48**인지 확인합니다.
+ **태그 지정 요구 사항(Tagging requirements)**: 리소스가 풀에서 공간을 할당하는 데 필요한 태그입니다. 리소스가 공간을 할당한 후 태그를 변경하거나 할당 태그 지정 규칙이 풀에서 변경된 경우 리소스를 비준수로 표시할 수 있습니다.
+ **로캘(Locale)**: 이 풀의 CIDR을 사용하는 리소스에 필요한 로캘입니다. 자동으로 가져온 리소스에 이 로캘이 없는 경우 비준수로 표시됩니다. 풀로 자동으로 가져오지 않은 리소스는 이 로캘에 있지 않으면 풀에서 공간을 할당할 수 없습니다.
1. (선택 사항) 풀에 대한 **태그(Tags)**를 선택합니다.
1. 풀 구성을 마쳤으면 **풀 생성(Create pool)**을 선택합니다.
계속하기 전에 이 CIDR이 프로비저닝되었는지 확인합니다. 풀 세부 정보 페이지의 **CIDR(CIDRs)** 탭에서 프로비저닝 상태를 볼 수 있습니다.
## 3단계. 리전 풀 공유
이 섹션의 단계에 따라 AWS Resource Access Manager(RAM)를 사용하여 IPAM 풀을 공유합니다.
### AWS RAM에서 리소스 공유 활성화
IPAM을 생성한 후에는 리전 풀을 조직의 다른 계정과 공유할 수 있습니다. IPAM 풀을 공유하기 전에 이 단원의 단계를 완료하여 AWS RAM과 리소스 공유를 활성화합니다. AWS CLI를 사용하여 리소스 공유를 사용 설정하는 경우 `--profile management-account` 옵션을 사용합니다.
**리소스 공유 활성화**
1. AWS Organizations 관리 계정을 사용하여 [https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/)에서 AWS RAM 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **설정**을 선택하고 **공유 활성화 범위 - AWS Organizations**를 선택한 다음 **설정 저장**을 선택합니다.
이제 IPAM 풀을 조직의 다른 멤버와 공유할 수 있습니다.
### AWS RAM을 사용하여 IPAM 풀 공유
이 섹션에서는 리전 풀을 다른 AWS Organizations 멤버 계정과 공유합니다. 필수 IAM 권한에 대한 정보를 포함하여 IPAM 풀 공유에 대한 전체 지침은 [AWS RAM을 사용하여 IPAM 풀 공유](share-pool-ipam.md) 섹션을 참조하세요. AWS CLI를 사용하여 리소스 공유를 사용 설정하는 경우 `--profile ipam-account` 옵션을 사용합니다.
**AWS RAM을 사용하여 IPAM 풀 공유**
1. IPAM 관리자 계정을 사용하여 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)에서 IPAM 콘솔을 엽니다.
1. 탐색 창에서 **Pools**를 선택합니다.
1. 프라이빗 범위를 선택하고, IPAM 풀을 선택하고, **작업** > **세부 정보 보기**를 선택합니다.
1. **리소스 공유(Resource sharing)**에서 **리소스 공유 생성(Create resource share)**을 선택합니다. AWS RAM 콘솔이 열립니다. AWS RAM을 사용하여 풀을 공유합니다.
1. **리소스 공유 생성(Create a resource share)**을 선택합니다.
1. AWS RAM 콘솔에서 **리소스 공유 생성**을 다시 선택합니다.
1. 공유 풀에 대한 **이름**을 추가합니다.
1. **리소스 유형 선택**에서 **IPAM 풀**을 선택한 다음에 공유하려는 풀의 ARN을 선택합니다.
1. **다음**을 선택합니다.
1. **AWSRAMPermissionIpamPoolByoipCidrImport** 권한을 선택합니다. 권한 옵션에 대한 세부 정보는 이 자습서의 범위를 벗어나지만 [AWS RAM을 사용하여 IPAM 풀 공유](share-pool-ipam.md)에서 이러한 옵션에 대해 자세히 알아볼 수 있습니다.
1. **다음**을 선택합니다.
1. **보안 주체** > **보안 주체 유형 선택**에서 **AWS 계정**을 선택하고 IP 주소 범위를 IPAM으로 가져올 계정의 계정 ID를 입력한 다음 **추가**를 선택합니다.
1. **다음**을 선택합니다.
1. 리소스 공유 옵션 및 공유할 보안 주체를 검토하고 **생성**을 선택합니다.
1. **member-account** 계정이 IPAM 풀에서 IP 주소 CIDRS를 할당할 수 있도록 하려면 `AWSRAMDefaultPermissionsIpamPool`로 두 번째 리소스 공유를 생성합니다. `--resource-arns`의 값은 이전 섹션에서 생성한 IPAM 풀의 ARN입니다. `--principals` 값은 **member-account**의 계정 ID입니다. `--permission-arns`의 값은 `AWSRAMDefaultPermissionsIpamPool` 권한의 ARN입니다.
## 4단계: VPC 생성
*Amazon VPC 사용 설명서*의 [VPC 생성](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) 단계를 수행하세요.
이 단계는 멤버 계정으로 수행해야 합니다.
**참고**
AWS 관리 콘솔에서 VPC를 열 때 VPC를 생성하는 AWS 리전은 BYOIP CIDR에 사용할 풀을 생성할 때 선택한 `Locale` 옵션과 일치해야 합니다.
VPC 대한 CIDR을 선택하는 단계를 완료하면 IPAM 풀의 CIDR을 사용할 수 있는 옵션이 제공됩니다. 이 자습서에서 생성한 리전 풀을 선택합니다.
VPC를 생성할 때 AWS는 IPAM 풀의 CIDR을 VPC에 할당합니다. IPAM 콘솔의 콘텐츠 창에서 풀을 선택하고 풀의 **할당(Allocations)** 탭을 보면 IPAM에서 할당을 확인할 수 있습니다.
## 5단계: CIDR 알리기
이 섹션의 단계는 IPAM 계정에서 수행해야 합니다. VPC를 생성하면 **서비스 EC2(EIP/VPC)(Service EC2 (EIP/VPC)))**가 구성된 풀에 있는 AWS로 가져온 CIDR 알림을 시작할 수 있습니다. 이 자습서에서는 리전 풀이 해당됩니다. 기본적으로 CIDR은 알리지 않으므로 인터넷을 통해 공개적으로 액세스할 수 없습니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
**CIDR 알리기**
1. [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)에서 IPAM 콘솔을 엽니다.
1. 탐색 창에서 **Pools**를 선택합니다.
1. 기본적으로 풀을 생성하는 경우 기본 프라이빗 범위가 선택됩니다. 퍼블릭 범위를 선택합니다. 범위에 대한 자세한 내용은 [IPAM 작동 방식](how-it-works-ipam.md) 섹션을 참조하세요.
1. 이 자습서에서 생성한 리전 풀을 선택합니다.
1. **CIDR** 탭을 선택합니다.
1. BYOIP CIDR을 선택하고 **작업(Actions)** > **알리기(Advertise)**를 선택합니다.
1. **CIDR 알리기(Advertise CIDR)**를 선택합니다.
결과적으로 BYOIP CIDR이 알려지고 **알림(Advertising)** 열의 값이 **철회됨(Withdrawn)**에서 **알려짐(Advertised)**으로 변경됩니다.
## 6단계: 정리
이번 섹션의 단계를 따르면 이 자습서에서 프로비저닝하고 생성한 리소스를 정리할 수 있습니다.
**1단계: 앎림에서 CIDR 철회**
이 단계는 IPAM 계정으로 수행해야 합니다.
1. [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)에서 IPAM 콘솔을 엽니다.
1. 탐색 창에서 **Pools**를 선택합니다.
1. 기본적으로 풀을 생성하는 경우 기본 프라이빗 범위가 선택됩니다. 퍼블릭 범위를 선택합니다.
1. 이 자습서에서 생성한 리전 풀을 선택합니다.
1. **CIDR** 탭을 선택합니다.
1. BYOIP CIDR을 선택하고 **작업(Actions)** > **알림에서 철회(Withdraw from advertising)**를 선택합니다.
1. **CIDR 철회(Withdraw CIDR)**를 선택합니다.
결과적으로 BYOIP CIDR이 더 이상 알려지지 않고 **알림(Advertising)** 열의 값이 **알려짐(Advertised)**에서 **철회됨(Withdrawn)**으로 변경됩니다.
**2단계: VPC 삭제**
이 단계는 멤버 계정으로 수행해야 합니다.
+ *Amazon VPC 사용 설명서*의 [VPC 삭제](https://docs.aws.amazon.com/vpc/latest/userguide/delete-vpc.html) 단계를 수행해 VPC를 삭제하세요. AWS 관리 콘솔에서 VPC를 열 때 AWS 리전의 VPC 삭제 위치는 BYOIP CIDR에 사용할 풀을 생성할 때 선택한 `Locale` 옵션과 일치해야 합니다. 이 자습서에서는 해당 풀이 리전 풀입니다.
VPC를 삭제하면 IPAM이 리소스가 삭제되었음을 발견하고 VPC에 할당된 CIDR을 할당 해제하는 데 시간이 걸립니다. 풀 세부 정보 **할당(Allocations)** 탭에서 IPAM이 풀에서 할당을 제거했음을 확인할 때까지 정리의 다음 단계를 계속할 수 없습니다.
**3단계: RAM 공유 삭제 및 AWS Organizations와의 RAM 통합 사용 중지**
이 단계는 각각 IPAM 계정과 관리 계정으로 수행해야 합니다.
+ *AWS RAM 사용 설명서*의 [AWS RAM의 리소스 공유 삭제](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-delete.html) 및 [AWS Organizations와의 리소스 공유 비활성화](https://docs.aws.amazon.com/ram/latest/userguide/security-disable-sharing-with-orgs.html)의 단계를 순서대로 완료하여 RAM 공유를 삭제하고 AWS Organizations와의 RAM 통합을 사용 중지합니다.
**4단계: 리전 풀 및 최상위 풀에서 CIDR 프로비저닝 해제**
이 단계는 IPAM 계정으로 수행해야 합니다.
+ [풀에서 CIDR 프로비저닝 해제](depro-pool-cidr-ipam.md)의 단계에 따라 리전 풀과 최상위 풀에서 순서대로 CIDR을 프로비저닝 해제하세요.
**5단계: 리전 풀 및 최상위 풀 삭제**
이 단계는 IPAM 계정으로 수행해야 합니다.
+ [풀 삭제](delete-pool-ipam.md)의 단계에 따라 리전 풀과 최상위 풀을 순서대로 삭제하세요.
# AWS CLI만 사용하여 IPAM으로 고유 IP CIDR 가져오기
IPAM으로 고유 IP 주소 가져오기(BYOIP)를 통해 AWS에서 조직의 기존 IPv4 및 IPv6 주소 범위를 사용할 수 있습니다. 그러면 고유 IP 주소 공간에서 온프레미스 및 클라우드 환경을 통합하여 일관된 브랜딩을 유지 관리하고, 네트워크 성능을 개선하고, 보안을 강화하고, 관리를 간소화할 수 있습니다.
다음 단계에 따라 AWS CLI만 사용하여 IPv4 또는 IPv6 CIDR을 IPAM으로 가져옵니다.
**참고**
시작하기 전에 먼저 [도메인 제어를 확인](tutorials-byoip-ipam-domain-verification-methods.md)해야 합니다.
사용하여 AWS로 IPv4 주소 범위를 가져오면 첫 번째 주소(네트워크 주소)와 마지막 주소(브로드캐스트 주소)를 포함하여 범위 내의 IP 주소를 모두 사용할 수 있습니다.
**Topics**
+ [AWS CLI만 사용하여 IPAM으로 고유 퍼블릭 IPv4 CIDR 가져오기](tutorials-byoip-ipam-ipv4.md)
+ [AWS CLI만 사용하여 IPAM으로 고유 IPv6 CIDR 가져오기](tutorials-byoip-ipam-ipv6.md)
# AWS CLI만 사용하여 IPAM으로 고유 퍼블릭 IPv4 CIDR 가져오기
다음 단계에 따라 IPv4 CIDR을 IPAM으로 가져오고 AWS CLI만 사용하여 CIDR과 함께 탄력적 IP 주소(EIP)를 할당하세요.
**중요**
이 자습서에서는 다음 섹션의 단계를 이미 수행한 것으로 가정합니다.
[AWS Organization에서 계정과 IPAM 통합](enable-integ-ipam.md).
[IPAM 생성](create-ipam.md).
이 자습서의 각 단계는 다음 3개의 AWS Organizations 계정 중 하나로 수행해야 합니다.
관리 계정.
[AWS Organization에서 계정과 IPAM 통합](enable-integ-ipam.md)에서 IPAM 관리자로 구성된 멤버 계정. 이 자습서에서는 이 계정을 IPAM 계정이라고 합니다.
IPAM 풀에서 CIDR을 할당할 조직의 멤버 계정입니다. 이 자습서에서는 이 계정을 멤버 계정이라고 합니다.
**Topics**
+ [1단계: AWS CLI 명명 프로파일 및 IAM 역할 생성](#tutorials-create-profiles)
+ [2단계: IPAM 생성](#tutorials-byoip-ipam-ipv4-2)
+ [3단계: 최상위 IPAM 풀 생성](#tutorials-byoip-ipam-ipv4-3)
+ [4단계: 최상위 풀에 CIDR 프로비저닝](#tutorials-byoip-ipam-ipv4-4)
+ [5단계: 최상위 풀 내에 리전 풀 생성](#tutorials-byoip-ipam-ipv4-5)
+ [6단계: 리전 풀에 CIDR 프로비저닝](#tutorials-byoip-ipam-ipv4-6)
+ [7단계: CIDR 알리기](#tutorials-byoip-ipam-ipv4-11)
+ [8단계: 리전 풀 공유](#tutorials-byoip-ipam-ipv4-console-4-deux)
+ [9단계: 풀에서 탄력적 IP 주소 할당](#tutorials-byoip-ipam-ipv4-console-cli-all-eip)
+ [10단계: EC2 인스턴스에 탄력적 IP 주소 연결](#tutorials-byoip-ipam-ipv4-console-cli-assoc-eip)
+ [11단계: 정리](#tutorials-byoip-ipam-ipv4-cli-cleanup)
+ [9단계의 대안](#tutorials-byoip-ipam-ipv4-cli-alt)
## 1단계: AWS CLI 명명 프로파일 및 IAM 역할 생성
단일 AWS 사용자로 이 자습서를 완료하려면 AWS CLI 명명 프로파일을 사용하여 IAM 역할 간에 전환할 수 있습니다. [명명 프로파일](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-using-profiles)은 AWS CLI와(과) 함께 `--profile` 옵션을 사용할 때 참조하는 설정 및 보안 인증 정보의 모음입니다. AWS 계정에 대한 IAM 역할 및 명명된 프로파일 생성 방법에 대한 자세한 내용은 [AWS CLI에서 IAM 역할 사용](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html)을 참조하세요.
이 자습서에서 사용할 세 AWS 계정 각각에 대해 역할 하나와 명명 프로필 하나를 만듭니다:
+ AWS Organizations 관리 계정에 대한 `management-account`라는 프로파일
+ IPAM 관리자로 구성된 AWS Organizations 멤버 계정의 `ipam-account`라는 프로파일
+ IPAM 풀에서 CIDR을 할당할 조직의 AWS Organizations 멤버 계정에 대한 `member-account`라는 프로파일
IAM 역할 및 명명 프로파일을 생성한 후 이 페이지로 돌아와서 다음 단계로 이동합니다. 이 자습서의 나머지 부분에서 샘플 AWS CLI CLI 명령이 명명된 프로파일 중 하나와 함께 `--profile` 옵션을 사용하여 명령을 실행해야 하는 계정을 나타냅니다.
## 2단계: IPAM 생성
이 단계는 선택 사항입니다. `us-east-1`과 `us-west-2`의 운영 리전에서 생성된 IPAM이 이미 있는 경우 이 단계를 건너뛸 수 있습니다. IPAM을 생성하고 `us-east-1`과 `us-west-2`의 운영 리전을 지정합니다. IPAM 풀을 생성하는 경우 로캘 옵션을 사용할 수 있도록 운영 리전을 선택해야 합니다. BYOIP와 IPAM을 통합하려면 BYOIP CIDR에 사용할 모든 풀에 로캘이 설정되어야 합니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
다음 명령을 실행합니다.
```
aws ec2 create-ipam --description my-ipam --region us-east-1 --operating-regions RegionName=us-west-2 --profile ipam-account
```
출력에 생성한 IPAM이 표시됩니다. `PublicDefaultScopeId`의 값을 기록해 둡니다. 다음 단계에서 퍼블릭 범위 ID가 필요합니다. BYOIP CIDR은 퍼블릭 범위가 의미하는 것인 퍼블릭 IP 주소이기 때문에 퍼블릭 범위를 사용하고 있습니다.
```
{
"Ipam": {
"OwnerId": "123456789012",
"IpamId": "ipam-090e48e75758de279",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"PublicDefaultScopeId": "ipam-scope-0087d83896280b594",
"PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",
"ScopeCount": 2,
"Description": "my-ipam",
"OperatingRegions": [
{
"RegionName": "us-east-1"
},
{
"RegionName": "us-west-2"
}
],
"Tags": []
}
}
```
## 3단계: 최상위 IPAM 풀 생성
이 섹션의 단계에 따라 최상위 IPAM 풀을 생성하세요.
이 단계는 IPAM 계정으로 수행해야 합니다.
**AWS CLI를 사용하여 모든 AWS 리소스에 대한 IPv4 주소 풀 생성**
1. 다음 명령을 실행하여 IPAM 풀을 생성합니다. 이전 단계에서 생성한 IPAM의 퍼블릭 범위 ID를 사용합니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
```
aws ec2 create-ipam-pool --region us-east-1 --ipam-scope-id ipam-scope-0087d83896280b594 --description "top-level-IPv4-pool" --address-family ipv4 --profile ipam-account
```
출력에 풀 생성이 진행 중임을 나타내는 `create-in-progress`가 표시됩니다.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "None",
"PoolDepth": 1,
"State": "create-in-progress",
"Description": "top-level-pool",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": []
}
}
```
1. 출력에 `create-complete`의 상태가 표시될 때까지 다음 명령을 실행합니다.
```
aws ec2 describe-ipam-pools --region us-east-1 --profile ipam-account
```
다음 예 출력에서는 풀의 상태를 보여줍니다.
```
{
"IpamPools": [
{
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "None",
"PoolDepth": 1,
"State": "create-complete",
"Description": "top-level-IPV4-pool",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": []
}
]
}
```
## 4단계: 최상위 풀에 CIDR 프로비저닝
최상위 풀에 CIDR을 프로비저닝합니다. 최상위 풀 내의 풀에 IPv4 CIDR을 프로비저닝하는 경우 프로비저닝할 수 있는 최소 IPv4 CIDR은 `/24`이며, 더 구체적인 CIDR(예: `/25`)은 허용되지 않습니다.
**참고**
[X.509 인증서로 도메인 제어를 확인](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-cert)한 경우 해당 단계에서 생성한 CIDR 및 BYOIP 메시지와 인증서 서명을 포함해야 공개 공간을 제어하는지 확인할 수 있습니다.
[DNS TXT 레코드로 도메인 제어를 확인](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-dns-txt)한 경우 해당 단계에서 생성한 CIDR 및 IPAM 확인 토큰을 포함해야 공개 공간을 제어하는지 확인할 수 있습니다.
BYOIP CIDR을 최상위 풀에 프로비저닝하는 경우 도메인을 확인하기만 하면 됩니다 최상위 풀 내에 있는 리전 풀의 경우 도메인 소유권 확인 옵션을 생략할 수 있습니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
**중요**
BYOIP CIDR을 최상위 풀에 프로비저닝하는 경우 도메인을 확인하기만 하면 됩니다 최상위 풀 내에 있는 리전 풀의 경우 도메인 제어 옵션을 생략할 수 있습니다. 일단 BYOIP를 IPAM에 온보드하면 리전 및 계정에서 BYOIP를 나눌 때 소유권 확인을 수행할 필요가 없습니다.
**AWS CLI를 사용하여 CIDR 블록을 풀에 프로비저닝하기**
1. 인증서 정보로 CIDR을 프로비저닝하려면 다음 명령 예시를 사용합니다. 예시에서 필요에 따라 값을 대체하는 것 외에도 `Message` 및 `Signature` 값을 [X.509 인증서로 도메인 확인](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-cert)에서 얻은 `text_message` 및 `signed_message` 값으로 대체해야 합니다.
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --cidr 130.137.245.0/24 --verification-method remarks-x509 --cidr-authorization-context Message="1|aws|470889052444|130.137.245.0/24|20250101|SHA256|RSAPSS",Signature="W3gdQ9PZHLjPmrnGM~cvGx~KCIsMaU0P7ENO7VRnfSuf9NuJU5RUveQzus~QmF~Nx42j3z7d65uyZZiDRX7KMdW4KadaLiClyRXN6ps9ArwiUWSp9yHM~U-hApR89Kt6GxRYOdRaNx8yt-uoZWzxct2yIhWngy-du9pnEHBOX6WhoGYjWszPw0iV4cmaAX9DuMs8ASR83K127VvcBcRXElT5URr3gWEB1CQe3rmuyQk~gAdbXiDN-94-oS9AZlafBbrFxRjFWRCTJhc7Cg3ASbRO-VWNci-C~bWAPczbX3wPQSjtWGV3k1bGuD26ohUc02o8oJZQyYXRpgqcWGVJdQ__" --profile ipam-account
```
확인 토큰 정보로 CIDR을 프로비저닝하려면 다음 명령 예시를 사용합니다. 예시에서 필요에 따라 값을 대체하는 것 외에도 `ipam-ext-res-ver-token-0309ce7f67a768cf0` 값을 [DNS TXT 레코드로 도메인 확인](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-dns-txt)에서 얻은 `IpamExternalResourceVerificationTokenId` 값으로 대체해야 합니다.
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --cidr 130.137.245.0/24 --verification-method dns-token --ipam-external-resource-verification-token-id ipam-ext-res-ver-token-0309ce7f67a768cf0 --profile ipam-account
```
출력에 프로비저닝이 보류 중인 CIDR이 표시됩니다.
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "pending-provision"
}
}
```
1. 계속하기 전에 이 CIDR이 프로비저닝되었는지 확인합니다.
**중요**
대부분의 프로비저닝은 2시간 내에 완료되지만 공개적으로 알려진 범위에 대한 프로비저닝 프로세스를 완료하려면 최대 1주가 걸릴 수 있습니다.
출력에 `provisioned`의 상태가 표시될 때까지 다음 명령을 실행합니다.
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --profile ipam-account
```
다음 예 출력에서는 상태를 보여줍니다.
```
{
"IpamPoolCidrs": [
{
"Cidr": "130.137.245.0/24",
"State": "provisioned"
}
]
}
```
## 5단계: 최상위 풀 내에 리전 풀 생성
최상위 풀 내에 리전 풀을 생성합니다.
풀의 로캘은 다음 중 하나여야 합니다.
+ 이 IPAM 풀을 할당에 사용할 수 있도록 하려는 AWS 리전입니다.
+ 이 IPAM 풀을 할당에 사용할 수 있도록 하려는 AWS 로컬 영역([지원되는 로컬 영역](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html#byoip-zone-avail))에 대한 네트워크 경계 그룹입니다. 이 옵션은 퍼블릭 범위의 IPAM IPv4 풀에만 사용할 수 있습니다.
+ [AWS 전용 로컬 영역](https://aws.amazon.com/dedicatedlocalzones/)입니다. AWS 전용 로컬 영역 내에 풀을 생성하려면 선택기 입력에 AWS 전용 로컬 영역을 입력합니다.
+ CloudFront 위치와 같은 모든 AWS 리전에서 전역적으로 IP 주소를 사용하려는 경우 `Global`. `Global` 로캘은 퍼블릭 IPv4 풀에만 사용할 수 있습니다.
예를 들어 VPC의 리전과 로캘을 공유하는 IPAM 풀의 VPC에 대한 CIDR만 할당할 수 있습니다. 풀에 대한 로캘을 선택한 경우에는 수정할 수 없습니다. 중단으로 인해 IPAM의 홈 리전을 사용할 수 없고 풀의 로캘이 IPAM의 홈 리전과 다른 경우에도 여전히 풀을 사용하여 IP 주소를 할당할 수 있습니다.
이 섹션에서 명령을 실행하는 경우 `--region`의 값에는 BYOIP CIDR에 사용할 풀을 생성할 때 입력한 `--locale` 옵션이 포함되어야 합니다. 예를 들어 로캘이 *us-east-1*인 BYOIP 풀을 생성한 경우 `--region`은 *us-east-1*이어야 합니다. 로캘이 *us-east-1-scl-1*(로컬 영역에 사용되는 네트워크 경계 그룹)인 BYOIP 풀을 생성한 경우 `--region`은 *us-east-1*이어야 합니다. 해당 리전이 *us-east-1-scl-1* 로캘을 관리하기 때문입니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
로캘을 선택하면 풀 및 풀에서 할당되는 리소스 간에 교차 리전 종속성이 없어집니다. 사용할 수 있는 옵션은 IPAM을 생성할 때 선택한 운영 리전에서 비롯된 것입니다. 이 자습서에서는 `us-west-2`를 리전 풀의 로캘로 사용합니다.
**중요**
풀을 생성하는 경우 `--aws-service ec2`을(를) 포함해야 합니다. 선택한 서비스에 따라 CIDR이 알릴 AWS 서비스가 결정됩니다. 현재, 유일한 옵션은 `ec2`입니다. 즉, 이 풀에서 할당된 CIDR은 Amazon EC2 서비스(탄력적 IP 주소용) 및 Amazon VPC 서비스(VPC에 연결된 CIDR용)에 대해 알릴 수 있음을 의미합니다.
**AWS CLI를 사용하여 리전 풀을 생성하려면**
1. 다음 명령을 실행하여 풀을 생성합니다.
```
aws ec2 create-ipam-pool --description "Regional-IPv4-pool" --region us-east-1 --ipam-scope-id ipam-scope-0087d83896280b594 --source-ipam-pool-id ipam-pool-0a03d430ca3f5c035 --locale us-west-2 --address-family ipv4 --aws-service ec2 --profile ipam-account
```
출력에 풀을 생성하는 IPAM이 표시됩니다.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0d8f3646b61ca5987",
"SourceIpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0d8f3646b61ca5987",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-west-2",
"PoolDepth": 2,
"State": "create-in-progress",
"Description": "Regional--pool",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": [],
"ServiceType": "ec2"
}
}
```
1. 출력에 `create-complete`의 상태가 표시될 때까지 다음 명령을 실행합니다.
```
aws ec2 describe-ipam-pools --region us-east-1 --profile ipam-account
```
출력에는 IPAM에 있는 풀이 표시됩니다. 이 자습서에서 최상위 수준 풀 및 리전 풀을 만들었으므로 두 풀이 모두 표시됩니다.
## 6단계: 리전 풀에 CIDR 프로비저닝
리전 풀에 CIDR 블록을 프로비저닝합니다.
**참고**
최상위 풀 내의 리전 풀에 CIDR을 프로비저닝하는 경우 프로비저닝할 수 있는 가장 구체적인 IPv4 CIDR은 `/24`이며, 더 구체적인 CIDR(예: `/25`)은 허용되지 않습니다. 리전 풀을 만든 후에는 동일한 리전 풀 내에 더 작은 풀(예: `/25`)을 만들 수 있습니다. 리전 풀 또는 리전 풀 내의 풀을 공유하는 경우 이러한 풀은 동일한 리전 풀에 설정된 로캘에서만 사용할 수 있습니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
**AWS CLI를 사용하여 리전 풀에 CIDR 블록 할당**
1. 다음 명령을 실행하여 CIDR을 프로비저닝합니다.
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --cidr 130.137.245.0/24 --profile ipam-account
```
출력에 프로비저닝이 보류 중인 CIDR이 표시됩니다.
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "pending-provision"
}
}
```
1. 출력에 `provisioned`의 상태가 표시될 때까지 다음 명령을 실행합니다.
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
다음 예 출력에서는 현재 상태를 보여줍니다.
```
{
"IpamPoolCidrs": [
{
"Cidr": "130.137.245.0/24",
"State": "provisioned"
}
]
}
```
## 7단계: CIDR 알리기
이 섹션의 단계는 IPAM 계정에서 수행해야 합니다. 인스턴스 또는 Elastic Load Balancer와 탄력적 IP 주소(EIP)를 연결하면 `--aws-service ec2` 정의한 풀에 있는 AWS로 가져온 CIDR 알림을 시작할 수 있습니다. 이 자습서에서는 리전 풀이 해당됩니다. 기본적으로 CIDR은 알리지 않으므로 인터넷을 통해 공개적으로 액세스할 수 없습니다. 이 섹션에서 명령을 실행하는 경우 `--region`의 값은 BYOIP CIDR에 사용할 풀을 생성할 때 입력한 `--locale` 옵션과 일치해야 합니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
**참고**
알림 상태에 따라 탄력적 IP 주소 할당 기능이 제한되지는 않습니다. BYOIPv4 CIDR 알림이 없더라도 IPAM 풀에서 EIP를 생성할 수 있습니다.
**AWS CLI를 사용하여 CIDR 알림 시작**
+ 다음 명령을 실행하여 CIDR을 알립니다.
```
aws ec2 advertise-byoip-cidr --region us-west-2 --cidr 130.137.245.0/24 --profile ipam-account
```
출력에 CIDR을 알리는 것이 표시됩니다.
```
{
"ByoipCidr": {
"Cidr": "130.137.245.0/24",
"State": "advertised"
}
}
```
## 8단계: 리전 풀 공유
이 섹션의 단계에 따라 AWS Resource Access Manager(RAM)를 사용하여 IPAM 풀을 공유합니다.
### AWS RAM에서 리소스 공유 활성화
IPAM을 생성한 후에는 리전 풀을 조직의 다른 계정과 공유할 수 있습니다. IPAM 풀을 공유하기 전에 이 단원의 단계를 완료하여 AWS RAM과 리소스 공유를 활성화합니다. AWS CLI를 사용하여 리소스 공유를 사용 설정하는 경우 `--profile management-account` 옵션을 사용합니다.
**리소스 공유 활성화**
1. AWS Organizations 관리 계정을 사용하여 [https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/)에서 AWS RAM 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **설정**을 선택하고 **공유 활성화 범위 - AWS Organizations**를 선택한 다음 **설정 저장**을 선택합니다.
이제 IPAM 풀을 조직의 다른 멤버와 공유할 수 있습니다.
### AWS RAM을 사용하여 IPAM 풀 공유
이 섹션에서는 리전 풀을 다른 AWS Organizations 멤버 계정과 공유합니다. 필수 IAM 권한에 대한 정보를 포함하여 IPAM 풀 공유에 대한 전체 지침은 [AWS RAM을 사용하여 IPAM 풀 공유](share-pool-ipam.md) 섹션을 참조하세요. AWS CLI를 사용하여 리소스 공유를 사용 설정하는 경우 `--profile ipam-account` 옵션을 사용합니다.
**AWS RAM을 사용하여 IPAM 풀 공유**
1. IPAM 관리자 계정을 사용하여 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)에서 IPAM 콘솔을 엽니다.
1. 탐색 창에서 **Pools**를 선택합니다.
1. 프라이빗 범위를 선택하고, IPAM 풀을 선택하고, **작업** > **세부 정보 보기**를 선택합니다.
1. **리소스 공유(Resource sharing)**에서 **리소스 공유 생성(Create resource share)**을 선택합니다. AWS RAM 콘솔이 열립니다. AWS RAM을 사용하여 풀을 공유합니다.
1. **리소스 공유 생성(Create a resource share)**을 선택합니다.
1. AWS RAM 콘솔에서 **리소스 공유 생성**을 다시 선택합니다.
1. 공유 풀에 대한 **이름**을 추가합니다.
1. **리소스 유형 선택**에서 **IPAM 풀**을 선택한 다음에 공유하려는 풀의 ARN을 선택합니다.
1. **다음**을 선택합니다.
1. **AWSRAMPermissionIpamPoolByoipCidrImport** 권한을 선택합니다. 권한 옵션에 대한 세부 정보는 이 자습서의 범위를 벗어나지만 [AWS RAM을 사용하여 IPAM 풀 공유](share-pool-ipam.md)에서 이러한 옵션에 대해 자세히 알아볼 수 있습니다.
1. **다음**을 선택합니다.
1. **보안 주체** > **보안 주체 유형 선택**에서 **AWS 계정**을 선택하고 IP 주소 범위를 IPAM으로 가져올 계정의 계정 ID를 입력한 다음 **추가**를 선택합니다.
1. **다음**을 선택합니다.
1. 리소스 공유 옵션 및 공유할 보안 주체를 검토하고 **생성**을 선택합니다.
1. **member-account** 계정이 IPAM 풀에서 IP 주소 CIDRS를 할당할 수 있도록 하려면 `AWSRAMDefaultPermissionsIpamPool`로 두 번째 리소스 공유를 생성합니다. `--resource-arns`의 값은 이전 섹션에서 생성한 IPAM 풀의 ARN입니다. `--principals` 값은 **member-account**의 계정 ID입니다. `--permission-arns`의 값은 `AWSRAMDefaultPermissionsIpamPool` 권한의 ARN입니다.
## 9단계: 풀에서 탄력적 IP 주소 할당
이 섹션의 단계를 완료하여 풀에서 탄력적 IP 주소를 할당합니다. 참고로, 퍼블릭 IPv4 풀을 사용하여 탄력적 IP 주소를 할당하는 경우 이 섹션의 단계 대신에 [9단계의 대안](#tutorials-byoip-ipam-ipv4-cli-alt)의 대체 단계를 사용할 수 있습니다.
**중요**
ec2:AllocateAddress를 직접적으로 호출할 권한이 없음과 관련된 오류가 표시되는 경우 사용자와 공유된 IPAM 풀에 현재 할당된 관리형 권한을 업데이트해야 합니다. 리소스 공유를 생성한 사람에게 연락하여 관리형 권한 `AWSRAMPermissionIpamResourceDiscovery`를 기본 버전으로 업데이트해 달라고 요청하세요. 자세한 내용은 *AWS RAM 사용 설명서*의 [리소스 공유 업데이트](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-update.html)를 참조하세요.
------
#### [ AWS Management Console ]
**Amazon EC2 사용 설명서의 [탄력적 IP 주소 할당](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-allocating) 단계에 따라 주소를 할당하되 다음을 참고하세요.
+ 이 단계는 멤버 계정으로 수행해야 합니다.
+ EC2 콘솔에 있는 AWS 리전이 지역 풀을 생성할 때 선택한 로캘 옵션과 일치하는지 확인합니다.
+ 주소 풀을 선택할 때 **IPv4 IPAM 풀을 사용하여 할당**하는 옵션을 선택하고 생성한 리전 풀을 선택합니다.
------
#### [ Command line ]
[allocate-address](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/allocate-address.html) 명령을 사용하여 풀에서 주소를 할당합니다. 사용하는 `--region`이 2단계에서 풀을 생성할 때 선택한 `-locale` 옵션과 일치해야 합니다. 2단계에서 생성한 IPAM 풀의 ID를 `--ipam-pool-id`에 포함합니다. 선택 사항으로, `--address` 옵션을 사용하여 IPAM 풀의 특정 `/32`를 선택할 수도 있습니다.
```
aws ec2 allocate-address --region us-east-1 --ipam-pool-id ipam-pool-07ccc86aa41bef7ce
```
응답 예제:
```
{
"PublicIp": "18.97.0.41",
"AllocationId": "eipalloc-056cdd6019c0f4b46",
"PublicIpv4Pool": "ipam-pool-07ccc86aa41bef7ce",
"NetworkBorderGroup": "us-east-1",
"Domain": "vpc"
}
```
자세한 내용은 **Amazon EC2 사용 설명서의 [탄력적 IP 주소 할당](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-allocating)을 참조하세요.
------
## 10단계: EC2 인스턴스에 탄력적 IP 주소 연결
이 섹션의 단계를 완료하여 EC2 인스턴스에 탄력적 IP 주소를 연결합니다.
------
#### [ AWS Management Console ]
**Amazon EC2 사용 설명서에 있는 [탄력적 IP 주소 연결](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-associating)의 단계에 따라 IPAM 풀에서 탄력적 IP 주소를 할당하되 다음을 참고하세요. AWS Management Console 옵션을 사용하는 경우 탄력적 IP 주소를 연결하는 AWS 리전은 리전 풀을 생성할 때 선택한 로캘 옵션과 일치해야 합니다.
이 단계는 멤버 계정으로 수행해야 합니다.
------
#### [ Command line ]
이 단계는 멤버 계정으로 수행해야 합니다. `--profile member-account` 옵션을 사용합니다.
[associate-address](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/allocate-address.html) 명령으로 인스턴스에 탄력적 IP 주소를 연결합니다. 탄력적 IP 주소를 연결하는 `--region`은 리전 풀을 생성할 때 선택한 `--locale` 옵션과 일치해야 합니다.
```
aws ec2 associate-address --region us-east-1 --instance-id i-07459a6fca5b35823 --public-ip 18.97.0.41
```
응답 예제:
```
{
"AssociationId": "eipassoc-06aa85073d3936e0e"
}
```
자세한 내용은 **Amazon EC2 사용 설명서의 [인스턴스 또는 네트워크 인터페이스에 탄력적 IP 주소 연결](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-associating)를 참조하세요.
------
## 11단계: 정리
이번 섹션의 단계를 따르면 이 자습서에서 프로비저닝하고 생성한 리소스를 정리할 수 있습니다. 이 섹션에서 명령을 실행하는 경우 `--region`의 값에는 BYOIP CIDR에 사용할 풀을 생성할 때 입력한 `--locale` 옵션이 포함되어야 합니다.
**AWS CLI를 사용하여 정리**
1. IPAM에서 관리되는 EIP 할당을 봅니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
출력에 IPAM의 할당이 표시됩니다.
```
{
"IpamPoolAllocations": [
{
"Cidr": "130.137.245.0/24",
"IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc45",
"ResourceId": "ipv4pool-ec2-0019eed22a684e0b2",
"ResourceType": "ec2-public-ipv4-pool",
"ResourceOwner": "123456789012"
}
]
}
```
1. IPv4 CIDR 알림을 중지합니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
```
aws ec2 withdraw-byoip-cidr --region us-west-2 --cidr 130.137.245.0/24 --profile ipam-account
```
출력에 CIDR 상태가 **알림**에서 **프로비저닝**으로 변경되었다고 표시됩니다.
```
{
"ByoipCidr": {
"Cidr": "130.137.245.0/24",
"State": "provisioned"
}
}
```
1. 탄력적 IP 주소를 해제합니다.
이 단계는 멤버 계정으로 수행해야 합니다.
```
aws ec2 release-address --region us-west-2 --allocation-id eipalloc-0db3405026756dbf6 --profile member-account
```
이 명령을 실행하면 어떤 출력도 표시되지 않습니다.
1. IPAM에서 더 이상 관리되지 않는 EIP 할당을 확인합니다. IPAM이 탄력적 IP 주소가 제거되었음을 확인하는 데 약간의 시간이 걸릴 수 있습니다. IPAM에서 할당이 제거됐는지 확인할 때까지 IPAM 풀 CIDR을 정리하고 프로비저닝 해제할 수 없습니다. 이 섹션에서 명령을 실행하는 경우 `--region`의 값에는 BYOIP CIDR에 사용할 풀을 생성할 때 입력한 `--locale` 옵션이 포함되어야 합니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
출력에 IPAM의 할당이 표시됩니다.
```
{
"IpamPoolAllocations": []
}
```
1. 리전 풀 CIDR을 프로비저닝 해제합니다. 이 단계의 명령을 실행하는 경우 `--region`의 값은 IPAM 리전과 일치해야 합니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
```
aws ec2 deprovision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --cidr 130.137.245.0/24 --profile ipam-account
```
출력에 프로비저닝 해제가 보류 중인 CIDR이 표시됩니다.
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "pending-deprovision"
}
}
```
프로비저닝 해제를 완료하려면 시간이 걸립니다. 프로비저닝 해제 상태를 확인합니다.
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
**프로비저닝 해제**가 표시될 때까지 기다렸다가 다음 단계를 계속 진행합니다.
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "deprovisioned"
}
}
```
1. RAM 공유를 삭제하고 AWS Organizations와의 RAM 통합을 사용 중지합니다. *AWS RAM 사용 설명서*의 [AWS RAM의 리소스 공유 삭제](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-delete.html) 및 [AWS Organizations와의 리소스 공유 비활성화](https://docs.aws.amazon.com/ram/latest/userguide/security-disable-sharing-with-orgs.html)의 단계를 순서대로 완료하여 RAM 공유를 삭제하고 AWS Organizations와의 RAM 통합을 사용 중지합니다.
이 단계는 각각 IPAM 계정과 관리 계정으로 수행해야 합니다. AWS CLI를 사용하여 RAM 공유를 삭제하고 RAM 통합을 사용 중지하는 경우 ` --profile ipam-account` 및 ` --profile management-account` 옵션을 사용합니다.
1. 리전 풀을 삭제합니다. 이 단계의 명령을 실행하는 경우 `--region`의 값은 IPAM 리전과 일치해야 합니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
```
aws ec2 delete-ipam-pool --region us-east-1 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
출력에서 삭제 상태를 확인할 수 있습니다.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0d8f3646b61ca5987",
"SourceIpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0d8f3646b61ca5987",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-east-1",
"PoolDepth": 2,
"State": "delete-in-progress",
"Description": "reg-ipv4-pool",
"AutoImport": false,
"Advertisable": true,
"AddressFamily": "ipv4"
}
}
```
1. 최상위 풀 CIDR을 프로비저닝 해제합니다. 이 단계의 명령을 실행하는 경우 `--region`의 값은 IPAM 리전과 일치해야 합니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
```
aws ec2 deprovision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --cidr 130.137.245.0/24 --profile ipam-account
```
출력에 프로비저닝 해제가 보류 중인 CIDR이 표시됩니다.
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "pending-deprovision"
}
}
```
프로비저닝 해제를 완료하려면 시간이 걸립니다. 다음 명령을 실행하여 프로비저닝 해제 상태를 확인합니다.
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --profile ipam-account
```
**프로비저닝 해제**가 표시될 때까지 기다렸다가 다음 단계를 계속 진행합니다.
```
{
"IpamPoolCidr": {
"Cidr": "130.137.245.0/24",
"State": "deprovisioned"
}
}
```
1. 최상위 풀을 삭제합니다. 이 단계의 명령을 실행하는 경우 `--region`의 값은 IPAM 리전과 일치해야 합니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
```
aws ec2 delete-ipam-pool --region us-east-1 --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --profile ipam-account
```
출력에서 삭제 상태를 확인할 수 있습니다.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-east-1",
"PoolDepth": 2,
"State": "delete-in-progress",
"Description": "top-level-pool",
"AutoImport": false,
"Advertisable": true,
"AddressFamily": "ipv4"
}
}
```
1. IPAM을 삭제합니다. 이 단계의 명령을 실행하는 경우 `--region`의 값은 IPAM 리전과 일치해야 합니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
```
aws ec2 delete-ipam --region us-east-1 --ipam-id ipam-090e48e75758de279 --profile ipam-account
```
출력에 IPAM 응답이 표시됩니다. 즉, IPAM이 삭제되었습니다.
```
{
"Ipam": {
"OwnerId": "123456789012",
"IpamId": "ipam-090e48e75758de279",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"PublicDefaultScopeId": "ipam-scope-0087d83896280b594",
"PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",
"ScopeCount": 2,
"OperatingRegions": [
{
"RegionName": "us-east-1"
},
{
"RegionName": "us-west-2"
}
],
}
}
```
## 9단계의 대안
퍼블릭 IPv4 풀을 사용하여 탄력적 IP 주소를 할당하는 경우 [9단계: 풀에서 탄력적 IP 주소 할당](#tutorials-byoip-ipam-ipv4-console-cli-all-eip)의 단계 대신에 이 섹션의 단계를 사용할 수 있습니다.
**Topics**
+ [1단계: 퍼블릭 IPv4 풀 생성](#tutorials-byoip-ipam-ipv4-9)
+ [2단계: 퍼블릭 IPv4 CIDR를 퍼블릭 IPv4 풀에 프로비저닝](#tutorials-byoip-ipam-ipv4-9)
+ [3단계: 퍼블릭 IPv4 풀에서 탄력적 IP 주소 생성](#tutorials-byoip-ipam-ipv4-10)
+ [9단계의 대안 정리](#tutorials-byoip-ipam-ipv4-cli-alt-cleanup)
### 1단계: 퍼블릭 IPv4 풀 생성
이 단계는 일반적으로 탄력적 IP 주소를 프로비저닝하려는 다른 AWS 계정으로 수행합니다(예: 멤버 계정).
**중요**
퍼블릭 IPv4 풀 및 IPAM 풀은 AWS의 고유한 리소스에 의해 관리됩니다. 퍼블릭 IPv4 풀은 공개 소유의 CIDR을 탄력적 IP 주소로 변환할 수 있는 단일 계정 리소스입니다. IPAM 풀을 사용하여 퍼블릭 공간을 퍼블릭 IPv4 풀에 할당할 수 있습니다.
**AWS CLI를 사용하여 퍼블릭 IPv4 풀 생성**
+ 다음 명령을 실행하여 CIDR을 프로비저닝합니다. 이 섹션에서 명령을 실행하는 경우 `--region`의 값은 BYOIP CIDR에 사용할 풀을 생성할 때 입력한 `--locale` 옵션과 일치해야 합니다.
```
aws ec2 create-public-ipv4-pool --region us-west-2 --profile member-account
```
출력에 퍼블릭 IPv4 풀 ID가 표시됩니다. 다음 단계에서 이 ID를 사용합니다.
```
{
"PoolId": "ipv4pool-ec2-0019eed22a684e0b2"
}
```
### 2단계: 퍼블릭 IPv4 CIDR를 퍼블릭 IPv4 풀에 프로비저닝
퍼블릭 IPv4 CIDR을 퍼블릭 IPv4 풀에 프로비저닝합니다. `--region`의 값은 BYOIP CIDR에 사용할 풀을 생성할 때 입력한 `--locale` 값과 일치해야 합니다. 정의할 수 있는 가장 덜 구체적인 `--netmask-length`는 `24`입니다.
이 단계는 멤버 계정으로 수행해야 합니다.
**AWS CLI를 사용하여 퍼블릭 IPv4 풀 생성**
1. 다음 명령을 실행하여 CIDR을 프로비저닝합니다.
```
aws ec2 provision-public-ipv4-pool-cidr --region us-west-2 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --pool-id ipv4pool-ec2-0019eed22a684e0b2 --netmask-length 24 --profile member-account
```
출력에 프로비저닝된 CIDR이 표시됩니다.
```
{
"PoolId": "ipv4pool-ec2-0019eed22a684e0b2",
"PoolAddressRange": {
"FirstAddress": "130.137.245.0",
"LastAddress": "130.137.245.255",
"AddressCount": 256,
"AvailableAddressCount": 256
}
}
```
1. 다음 명령을 실행하여 퍼블릭 IPv4 풀에 프로비저닝된 CIDR을 확인합니다.
```
aws ec2 describe-byoip-cidrs --region us-west-2 --max-results 10 --profile member-account
```
출력에 프로비저닝된 CIDR이 표시됩니다. 기본적으로 CIDR은 알리지 않으므로 인터넷을 통해 공개적으로 액세스할 수 없습니다. 이 자습서의 마지막 단계에서 이 CIDR을 알리도록 설정할 수 있습니다.
```
{
"ByoipCidrs": [
{
"Cidr": "130.137.245.0/24",
"StatusMessage": "Cidr successfully provisioned",
"State": "provisioned"
}
]
}
```
### 3단계: 퍼블릭 IPv4 풀에서 탄력적 IP 주소 생성
퍼블릭 IPv4 풀에서 탄력적 IP 주소를 생성합니다. 이 섹션에서 명령을 실행하는 경우 `--region`의 값은 BYOIP CIDR에 사용할 풀을 생성할 때 입력한 `--locale` 옵션과 일치해야 합니다.
이 단계는 멤버 계정으로 수행해야 합니다.
**AWS CLI를 사용하여 퍼블릭 IPv4 풀에서 EIP를 생성하려면**
1. 다음 명령을 실행하여 EIP를 생성합니다.
```
aws ec2 allocate-address --region us-west-2 --public-ipv4-pool ipv4pool-ec2-0019eed22a684e0b2 --profile member-account
```
출력에 할당이 표시됩니다.
```
{
"PublicIp": "130.137.245.100",
"AllocationId": "eipalloc-0db3405026756dbf6",
"PublicIpv4Pool": "ipv4pool-ec2-0019eed22a684e0b2",
"NetworkBorderGroup": "us-east-1",
"Domain": "vpc"
}
```
1. 다음 명령을 실행하여 IPAM에서 관리되는 EIP 할당을 확인할 수 있습니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0d8f3646b61ca5987 --profile ipam-account
```
출력에 IPAM의 할당이 표시됩니다.
```
{
"IpamPoolAllocations": [
{
"Cidr": "130.137.245.0/24",
"IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc45",
"ResourceId": "ipv4pool-ec2-0019eed22a684e0b2",
"ResourceType": "ec2-public-ipv4-pool",
"ResourceOwner": "123456789012"
}
]
}
```
### 9단계의 대안 정리
이러한 단계를 완료하여 9단계의 대안으로 생성한 퍼블릭 IPv4 풀을 정리합니다. [10단계: 정리](tutorials-byoip-ipam-ipv6.md#tutorials-byoip-ipam-ipv4-cleanup)의 표준 정리 프로세스 동안 탄력적 IP 주소 해제 후 이러한 단계를 완료해야 합니다.
1. BYOIP CIDR을 확인합니다.
이 단계는 멤버 계정으로 수행해야 합니다.
```
aws ec2 describe-public-ipv4-pools --region us-west-2 --profile member-account
```
출력에 BYOIP CIDR의 IP 주소가 표시됩니다.
```
{
"PublicIpv4Pools": [
{
"PoolId": "ipv4pool-ec2-0019eed22a684e0b2",
"Description": "",
"PoolAddressRanges": [
{
"FirstAddress": "130.137.245.0",
"LastAddress": "130.137.245.255",
"AddressCount": 256,
"AvailableAddressCount": 256
}
],
"TotalAddressCount": 256,
"TotalAvailableAddressCount": 256,
"NetworkBorderGroup": "us-east-1",
"Tags": []
}
]
}
```
1. 퍼블릭 IPv4 풀에서 CIDR을 해제합니다. 이 섹션의 명령을 실행하는 경우 `--region`의 값은 IPAM 리전과 일치해야 합니다.
이 단계는 멤버 계정으로 수행해야 합니다.
```
aws ec2 deprovision-public-ipv4-pool-cidr --region us-east-1 --pool-id ipv4pool-ec2-0019eed22a684e0b2 --cidr 130.137.245.0/24 --profile member-account
```
1. BYOIP CIDR을 다시 확인하고 프로비저닝된 주소가 더 이상 없는지 확인합니다. 이 섹션의 명령을 실행하는 경우 `--region`의 값은 IPAM 리전과 일치해야 합니다.
이 단계는 멤버 계정으로 수행해야 합니다.
```
aws ec2 describe-public-ipv4-pools --region us-east-1 --profile member-account
```
출력에 퍼블릭 IPv4 풀의 IP 주소 수가 표시됩니다.
```
{
"PublicIpv4Pools": [
{
"PoolId": "ipv4pool-ec2-0019eed22a684e0b2",
"Description": "",
"PoolAddressRanges": [],
"TotalAddressCount": 0,
"TotalAvailableAddressCount": 0,
"NetworkBorderGroup": "us-east-1",
"Tags": []
}
]
}
```
# AWS CLI만 사용하여 IPAM으로 고유 IPv6 CIDR 가져오기
다음 단계에 따라 IPv6 CIDR을 IPAM으로 가져오고 AWS CLI만 사용하여 VPC를 할당하세요.
인터넷을 통해 IPv6 주소를 알릴 필요가 없는 경우, 프라이빗 GUA IPv6 주소를 IPAM에 프로비저닝할 수 있습니다. 자세한 내용은 [프라이빗 IPv6 GUA CIDR 프로비저닝 활성화](enable-prov-ipv6-gua.md) 섹션을 참조하세요.
**중요**
이 자습서에서는 다음 섹션의 단계를 이미 수행한 것으로 가정합니다.
[AWS Organization에서 계정과 IPAM 통합](enable-integ-ipam.md).
[IPAM 생성](create-ipam.md).
이 자습서의 각 단계는 다음 3개의 AWS Organizations 계정 중 하나로 수행해야 합니다.
관리 계정.
[AWS Organization에서 계정과 IPAM 통합](enable-integ-ipam.md)에서 IPAM 관리자로 구성된 멤버 계정. 이 자습서에서는 이 계정을 IPAM 계정이라고 합니다.
IPAM 풀에서 CIDR을 할당할 조직의 멤버 계정입니다. 이 자습서에서는 이 계정을 멤버 계정이라고 합니다.
**Topics**
+ [1단계: AWS CLI 명명 프로파일 및 IAM 역할 생성](#tutorials-create-profiles)
+ [2단계: IPAM 생성](#tutorials-byoip-ipam-ipv6-2)
+ [3단계: IPAM 풀 생성](#tutorials-byoip-ipam-ipv6-3)
+ [4단계: 최상위 풀에 CIDR 프로비저닝](#tutorials-byoip-ipam-ipv6-4)
+ [5단계: 최상위 풀 내에 리전 풀 생성](#tutorials-byoip-ipam-ipv6-5)
+ [6단계: 리전 풀에 CIDR 프로비저닝](#tutorials-byoip-ipam-ipv6-6)
+ [7단계. 리전 풀 공유](#tutorials-byoip-ipam-ipv4-console-4-deux)
+ [8단계: IPv6 CIDR을 사용하여 VPC 생성](#tutorials-byoip-ipam-ipv6-8)
+ [9단계: CIDR 알리기](#tutorials-byoip-ipam-ipv6-9)
+ [10단계: 정리](#tutorials-byoip-ipam-ipv4-cleanup)
## 1단계: AWS CLI 명명 프로파일 및 IAM 역할 생성
단일 AWS 사용자로 이 자습서를 완료하려면 AWS CLI 명명 프로파일을 사용하여 IAM 역할 간에 전환할 수 있습니다. [명명 프로파일](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-using-profiles)은 AWS CLI와(과) 함께 `--profile` 옵션을 사용할 때 참조하는 설정 및 보안 인증 정보의 모음입니다. AWS 계정에 대한 IAM 역할 및 명명된 프로파일 생성 방법에 대한 자세한 내용은 [AWS CLI에서 IAM 역할 사용](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html)을 참조하세요.
이 자습서에서 사용할 세 AWS 계정 각각에 대해 역할 하나와 명명 프로필 하나를 만듭니다:
+ AWS Organizations 관리 계정에 대한 `management-account`라는 프로파일
+ IPAM 관리자로 구성된 AWS Organizations 멤버 계정의 `ipam-account`라는 프로파일
+ IPAM 풀에서 CIDR을 할당할 조직의 AWS Organizations 멤버 계정에 대한 `member-account`라는 프로파일
IAM 역할 및 명명 프로파일을 생성한 후 이 페이지로 돌아와서 다음 단계로 이동합니다. 이 자습서의 나머지 부분에서 샘플 AWS CLI CLI 명령이 명명된 프로파일 중 하나와 함께 `--profile` 옵션을 사용하여 명령을 실행해야 하는 계정을 나타냅니다.
## 2단계: IPAM 생성
이 단계는 선택 사항입니다. `us-east-1`과 `us-west-2`의 운영 리전에서 생성된 IPAM이 이미 있는 경우 이 단계를 건너뛸 수 있습니다. IPAM을 생성하고 `us-east-1`과 `us-west-2`의 운영 리전을 지정합니다. IPAM 풀을 생성하는 경우 로캘 옵션을 사용할 수 있도록 운영 리전을 선택해야 합니다. BYOIP와 IPAM을 통합하려면 BYOIP CIDR에 사용할 모든 풀에 로캘이 설정되어야 합니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
다음 명령을 실행합니다.
```
aws ec2 create-ipam --description my-ipam --region us-east-1 --operating-regions RegionName=us-west-2 --profile ipam-account
```
출력에 생성한 IPAM이 표시됩니다. `PublicDefaultScopeId`의 값을 기록해 둡니다. 다음 단계에서 퍼블릭 범위 ID가 필요합니다.
```
{
"Ipam": {
"OwnerId": "123456789012",
"IpamId": "ipam-090e48e75758de279",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"PublicDefaultScopeId": "ipam-scope-0087d83896280b594",
"PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",
"ScopeCount": 2,
"Description": "my-ipam",
"OperatingRegions": [
{
"RegionName": "us-east-1"
},
{
"RegionName": "us-west-2"
}
],
"Tags": []
}
}
```
## 3단계: IPAM 풀 생성
최상위 IPAM 풀 내의 리전 풀을 통해 최상위 IPAM 풀을 생성하고 리전 풀의 리소스(VPC)에 공간을 할당하기 때문에 최상위 풀이 아닌 리전 풀에 로캘을 설정합니다. 이후 단계에서 리전 풀을 생성하는 경우 리전 풀에 로캘을 추가합니다. BYOIP와 IPAM을 통합하려면 BYOIP CIDR에 사용할 모든 풀에 로캘이 설정되어야 합니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
이 IPAM 풀 CIDR을 퍼블릭 인터넷을 통해 AWS에서 알릴 수 있도록 하려면 `--publicly-advertisable` 또는 `--no-publicly-advertisable`을 선택합니다.
**참고**
범위 ID는 퍼블릭 범위의 ID여야 하고 주소 패밀리는 `ipv6`여야 합니다.
**AWS CLI를 사용하여 모든 AWS 리소스에 대해 IPv6 주소 풀을 생성하려면**
1. 다음 명령을 실행하여 IPAM 풀을 생성합니다. 이전 단계에서 생성한 IPAM의 퍼블릭 범위 ID를 사용합니다.
```
aws ec2 create-ipam-pool --region us-east-1 --ipam-scope-id ipam-scope-0087d83896280b594 --description "top-level-IPv6-pool" --address-family ipv6 --publicly-advertisable --profile ipam-account
```
출력에 풀 생성이 진행 중임을 나타내는 `create-in-progress`가 표시됩니다.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-07f2466c7158b50c4",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-07f2466c7158b50c4",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "None",
"PoolDepth": 1,
"State": "create-in-progress",
"Description": "top-level-Ipv6-pool",
"AutoImport": false,
"Advertisable": true,
"AddressFamily": "ipv6",
"Tags": []
}
}
```
1. 출력에 `create-complete`의 상태가 표시될 때까지 다음 명령을 실행합니다.
```
aws ec2 describe-ipam-pools --region us-east-1 --profile ipam-account
```
다음 예 출력에서는 풀의 상태를 보여줍니다.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-07f2466c7158b50c4",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-07f2466c7158b50c4",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "None",
"PoolDepth": 1,
"State": "create-complete",
"Description": "top-level-Ipv6-pool",
"AutoImport": false,
"Advertisable": true,
"AddressFamily": "ipv6",
"Tags": []
}
}
```
## 4단계: 최상위 풀에 CIDR 프로비저닝
최상위 풀에 CIDR을 프로비저닝합니다. 최상위 풀 내의 풀에 IPv6 CIDR를 프로비저닝할 때 가져올 수 있는 가장 구체적인 IPv6 주소 범위는 공개적으로 알려진 CIDR의 경우 /48이고 공개적으로 알려지지 않은 CIDR의 경우 /60입니다.
**참고**
[X.509 인증서로 도메인 제어를 확인](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-cert)한 경우 해당 단계에서 생성한 CIDR 및 BYOIP 메시지와 인증서 서명을 포함해야 공개 공간을 제어하는지 확인할 수 있습니다.
[DNS TXT 레코드로 도메인 제어를 확인](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-dns-txt)한 경우 해당 단계에서 생성한 CIDR 및 IPAM 확인 토큰을 포함해야 공개 공간을 제어하는지 확인할 수 있습니다.
BYOIP CIDR을 최상위 풀에 프로비저닝하는 경우 도메인을 확인하기만 하면 됩니다 최상위 풀 내에 있는 리전 풀의 경우 도메인 소유권 옵션을 생략할 수 있습니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
**AWS CLI를 사용하여 CIDR 블록을 풀에 프로비저닝하기**
1. 인증서 정보로 CIDR을 프로비저닝하려면 다음 명령 예시를 사용합니다. 예시에서 필요에 따라 값을 대체하는 것 외에도 `Message` 및 `Signature` 값을 [X.509 인증서로 도메인 확인](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-cert)에서 얻은 `text_message` 및 `signed_message` 값으로 대체해야 합니다.
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --cidr 2605:9cc0:409::/48 --verification-method remarks-x509 --cidr-authorization-context Message="1|aws|470889052444|2605:9cc0:409::/48|20250101|SHA256|RSAPSS",Signature="FU26~vRG~NUGXa~akxd6dvdcCfvL88g8d~YAuai-CR7HqMwzcgdS9RlpBGtfIdsRGyr77LmWyWqU9Xp1g2R1kSkfD00NiLKLcv9F63k6wdEkyFxNp7RAJDvF1mBwxmSgH~Crt-Vp6LON3yOOXMp4JENB9uM7sMlu6oeoutGyyhXFeYPzlGSRdcdfKNKaimvPCqVsxGN5AwSilKQ8byNqoa~G3dvs8ueSaDcT~tW4CnILura70nyK4f2XzgPKKevAD1g8bpKmOFMbHS30CxduYknnDl75lvEJs1J91u3-wispI~r69fq515UR19TA~fmmxBDh1huQ8DkM1rqcwveWow__" --profile ipam-account
```
확인 토큰 정보로 CIDR을 프로비저닝하려면 다음 명령 예시를 사용합니다. 예시에서 필요에 따라 값을 대체하는 것 외에도 `ipam-ext-res-ver-token-0309ce7f67a768cf0` 값을 [DNS TXT 레코드로 도메인 확인](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-dns-txt)에서 얻은 `IpamExternalResourceVerificationTokenId` 값으로 대체해야 합니다.
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --cidr 2605:9cc0:409::/48 --verification-method dns-token --ipam-external-resource-verification-token-id ipam-ext-res-ver-token-0309ce7f67a768cf0 --profile ipam-account
```
출력에 프로비저닝이 보류 중인 CIDR이 표시됩니다.
```
{
"IpamPoolCidr": {
"Cidr": "2605:9cc0:409::/48",
"State": "pending-provision"
}
}
```
1. 계속하기 전에 이 CIDR이 프로비저닝되었는지 확인합니다.
**중요**
대부분의 프로비저닝은 2시간 내에 완료되지만 공개적으로 알려진 범위에 대한 프로비저닝 프로세스를 완료하려면 최대 1주가 걸릴 수 있습니다.
출력에 `provisioned`의 상태가 표시될 때까지 다음 명령을 실행합니다.
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --profile ipam-account
```
다음 예 출력에서는 상태를 보여줍니다.
```
{
"IpamPoolCidrs": [
{
"Cidr": "2605:9cc0:409::/48",
"State": "provisioned"
}
]
}
```
## 5단계: 최상위 풀 내에 리전 풀 생성
최상위 풀 내에 리전 풀을 생성합니다. `--locale`은 풀에 필요하며 IPAM을 생성할 때 구성한 운영 리전 중 하나여야 합니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
**중요**
풀을 생성하는 경우 `--aws-service ec2`을(를) 포함해야 합니다. 선택한 서비스에 따라 CIDR이 알릴 AWS 서비스가 결정됩니다. 현재, 유일한 옵션은 `ec2`입니다. 즉, 이 풀에서 할당된 CIDR은 Amazon EC2 서비스 및 Amazon VPC 서비스(VPC에 연결된 CIDR용)에 대해 알릴 수 있음을 의미합니다.
**AWS CLI를 사용하여 리전 풀을 생성하려면**
1. 다음 명령을 실행하여 풀을 생성합니다.
```
aws ec2 create-ipam-pool --description "Regional-IPv6-pool" --region us-east-1 --ipam-scope-id ipam-scope-0087d83896280b594 --source-ipam-pool-id ipam-pool-07f2466c7158b50c4 --locale us-west-2 --address-family ipv6 --aws-service ec2 --profile ipam-account
```
출력에 풀을 생성하는 IPAM이 표시됩니다.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0053b7d2b4fc3f730",
"SourceIpamPoolId": "ipam-pool-07f2466c7158b50c4",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0053b7d2b4fc3f730",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-west-2",
"PoolDepth": 2,
"State": "create-in-progress",
"Description": "reg-ipv6-pool",
"AutoImport": false,
"Advertisable": true,
"AddressFamily": "ipv6",
"Tags": [],
"ServiceType": "ec2"
}
}
```
1. 출력에 `create-complete`의 상태가 표시될 때까지 다음 명령을 실행합니다.
```
aws ec2 describe-ipam-pools --region us-east-1 --profile ipam-account
```
출력에는 IPAM에 있는 풀이 표시됩니다. 이 자습서에서 최상위 수준 풀 및 리전 풀을 만들었으므로 두 풀이 모두 표시됩니다.
## 6단계: 리전 풀에 CIDR 프로비저닝
리전 풀에 CIDR 블록을 프로비저닝합니다. 최상위 풀 내의 풀에 CIDR를 프로비저닝할 때 가져올 수 있는 가장 구체적인 IPv6 주소 범위는 공개적으로 알려진 CIDR의 경우 /48이고 공개적으로 알려지지 않은 CIDR의 경우 /60입니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
**AWS CLI를 사용하여 리전 풀에 CIDR 블록 할당**
1. 다음 명령을 실행하여 CIDR을 프로비저닝합니다.
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --cidr 2605:9cc0:409::/48 --profile ipam-account
```
출력에 프로비저닝이 보류 중인 CIDR이 표시됩니다.
```
{
"IpamPoolCidr": {
"Cidr": "2605:9cc0:409::/48",
"State": "pending-provision"
}
}
```
1. 출력에 `provisioned`의 상태가 표시될 때까지 다음 명령을 실행합니다.
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account
```
다음 예 출력에서는 현재 상태를 보여줍니다.
```
{
"IpamPoolCidrs": [
{
"Cidr": "2605:9cc0:409::/48",
"State": "provisioned"
}
]
}
```
## 7단계. 리전 풀 공유
이 섹션의 단계에 따라 AWS Resource Access Manager(RAM)를 사용하여 IPAM 풀을 공유합니다.
### AWS RAM에서 리소스 공유 활성화
IPAM을 생성한 후에는 리전 풀을 조직의 다른 계정과 공유할 수 있습니다. IPAM 풀을 공유하기 전에 이 단원의 단계를 완료하여 AWS RAM과 리소스 공유를 활성화합니다. AWS CLI를 사용하여 리소스 공유를 사용 설정하는 경우 `--profile management-account` 옵션을 사용합니다.
**리소스 공유 활성화**
1. AWS Organizations 관리 계정을 사용하여 [https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/)에서 AWS RAM 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **설정**을 선택하고 **공유 활성화 범위 - AWS Organizations**를 선택한 다음 **설정 저장**을 선택합니다.
이제 IPAM 풀을 조직의 다른 멤버와 공유할 수 있습니다.
### AWS RAM을 사용하여 IPAM 풀 공유
이 섹션에서는 리전 풀을 다른 AWS Organizations 멤버 계정과 공유합니다. 필수 IAM 권한에 대한 정보를 포함하여 IPAM 풀 공유에 대한 전체 지침은 [AWS RAM을 사용하여 IPAM 풀 공유](share-pool-ipam.md) 섹션을 참조하세요. AWS CLI를 사용하여 리소스 공유를 사용 설정하는 경우 `--profile ipam-account` 옵션을 사용합니다.
**AWS RAM을 사용하여 IPAM 풀 공유**
1. IPAM 관리자 계정을 사용하여 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)에서 IPAM 콘솔을 엽니다.
1. 탐색 창에서 **Pools**를 선택합니다.
1. 프라이빗 범위를 선택하고, IPAM 풀을 선택하고, **작업** > **세부 정보 보기**를 선택합니다.
1. **리소스 공유(Resource sharing)**에서 **리소스 공유 생성(Create resource share)**을 선택합니다. AWS RAM 콘솔이 열립니다. AWS RAM을 사용하여 풀을 공유합니다.
1. **리소스 공유 생성(Create a resource share)**을 선택합니다.
1. AWS RAM 콘솔에서 **리소스 공유 생성**을 다시 선택합니다.
1. 공유 풀에 대한 **이름**을 추가합니다.
1. **리소스 유형 선택**에서 **IPAM 풀**을 선택한 다음에 공유하려는 풀의 ARN을 선택합니다.
1. **다음**을 선택합니다.
1. **AWSRAMPermissionIpamPoolByoipCidrImport** 권한을 선택합니다. 권한 옵션에 대한 세부 정보는 이 자습서의 범위를 벗어나지만 [AWS RAM을 사용하여 IPAM 풀 공유](share-pool-ipam.md)에서 이러한 옵션에 대해 자세히 알아볼 수 있습니다.
1. **다음**을 선택합니다.
1. **보안 주체** > **보안 주체 유형 선택**에서 **AWS 계정**을 선택하고 IP 주소 범위를 IPAM으로 가져올 계정의 계정 ID를 입력한 다음 **추가**를 선택합니다.
1. **다음**을 선택합니다.
1. 리소스 공유 옵션 및 공유할 보안 주체를 검토하고 **생성**을 선택합니다.
1. **member-account** 계정이 IPAM 풀에서 IP 주소 CIDRS를 할당할 수 있도록 하려면 `AWSRAMDefaultPermissionsIpamPool`로 두 번째 리소스 공유를 생성합니다. `--resource-arns`의 값은 이전 섹션에서 생성한 IPAM 풀의 ARN입니다. `--principals` 값은 **member-account**의 계정 ID입니다. `--permission-arns`의 값은 `AWSRAMDefaultPermissionsIpamPool` 권한의 ARN입니다.
## 8단계: IPv6 CIDR을 사용하여 VPC 생성
IPAM 풀 ID를 사용하여 VPC 생성합니다. `--cidr-block` 옵션을 사용하여 VPC에 IPv4 CIDR 블록을 연결해야 합니다. 그렇지 않으면 요청이 실패합니다. 이 섹션에서 명령을 실행하는 경우 `--region`의 값은 BYOIP CIDR에 사용할 풀을 생성할 때 입력한 `--locale` 옵션과 일치해야 합니다.
이 단계는 멤버 계정으로 수행해야 합니다.
**AWS CLI를 사용하여 IPv6 CIDR로 VPC를 생성하려면**
1. 다음 명령을 실행하여 CIDR을 프로비저닝합니다.
```
aws ec2 create-vpc --region us-west-2 --ipv6-ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --cidr-block 10.0.0.0/16 --ipv6-netmask-length 56 --profile member-account
```
출력에 VPC가 생성되는 것이 표시됩니다.
```
{
"Vpc": {
"CidrBlock": "10.0.0.0/16",
"DhcpOptionsId": "dopt-2afccf50",
"State": "pending",
"VpcId": "vpc-00b5573ffc3b31a29",
"OwnerId": "123456789012",
"InstanceTenancy": "default",
"Ipv6CidrBlockAssociationSet": [
{
"AssociationId": "vpc-cidr-assoc-01b5703d6cc695b5b",
"Ipv6CidrBlock": "2605:9cc0:409::/56",
"Ipv6CidrBlockState": {
"State": "associating"
},
"NetworkBorderGroup": "us-east-1",
"Ipv6Pool": "ipam-pool-0053b7d2b4fc3f730"
}
],
"CidrBlockAssociationSet": [
{
"AssociationId": "vpc-cidr-assoc-09cccb07d4e9a0e0e",
"CidrBlock": "10.0.0.0/16",
"CidrBlockState": {
"State": "associated"
}
}
],
"IsDefault": false
}
}
```
1. IPAM에서 VPC 할당을 확인합니다.
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account
```
출력에 IPAM의 할당이 표시됩니다.
```
{
"IpamPoolAllocations": [
{
"Cidr": "2605:9cc0:409::/56",
"IpamPoolAllocationId": "ipam-pool-alloc-5f8db726fb9e4ff0a33836e649283a52",
"ResourceId": "vpc-00b5573ffc3b31a29",
"ResourceType": "vpc",
"ResourceOwner": "123456789012"
}
]
}
```
## 9단계: CIDR 알리기
IPAM에 할당된 CIDR을 사용하여 VPC를 생성하면 `--aws-service ec2` 정의된 풀에 있는 AWS로 가져온 CIDR 알림을 시작할 수 있습니다. 이 자습서에서는 리전 풀이 해당됩니다. 기본적으로 CIDR은 알리지 않으므로 인터넷을 통해 공개적으로 액세스할 수 없습니다. 이 섹션에서 명령을 실행하는 경우 `--region`의 값은 BYOIP CIDR에 사용할 리전 풀을 생성할 때 입력한 `--locale` 옵션과 일치해야 합니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
**AWS CLI를 사용하여 CIDR 알림 시작**
+ 다음 명령을 실행하여 CIDR을 알립니다.
```
aws ec2 advertise-byoip-cidr --region us-west-2 --cidr 2605:9cc0:409::/48 --profile ipam-account
```
출력에 CIDR을 알리는 것이 표시됩니다.
```
{
"ByoipCidr": {
"Cidr": "2605:9cc0:409::/48",
"State": "advertised"
}
}
```
## 10단계: 정리
이번 섹션의 단계를 따르면 이 자습서에서 프로비저닝하고 생성한 리소스를 정리할 수 있습니다. 이 섹션에서 명령을 실행하는 경우 `--region`의 값은 BYOIP CIDR에 사용할 리전 풀을 생성할 때 입력한 `--locale` 옵션과 일치해야 합니다.
**AWS CLI를 사용하여 정리**
1. 다음 명령을 실행하여 IPAM에서 관리되는 VPC 할당을 봅니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account
```
출력에 IPAM의 할당이 표시됩니다.
```
{
"IpamPoolAllocations": [
{
"Cidr": "2605:9cc0:409::/56",
"IpamPoolAllocationId": "ipam-pool-alloc-5f8db726fb9e4ff0a33836e649283a52",
"ResourceId": "vpc-00b5573ffc3b31a29",
"ResourceType": "vpc",
"ResourceOwner": "123456789012"
}
]
}
```
1. 다음 명령을 실행하여 CIDR 알림을 중단합니다. 이 단계에서 명령을 실행하는 경우 `--region`의 값은 BYOIP CIDR에 사용할 리전 풀을 생성할 때 입력한 `--locale` 옵션과 일치해야 합니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
```
aws ec2 withdraw-byoip-cidr --region us-west-2 --cidr 2605:9cc0:409::/48 --profile ipam-account
```
출력에 CIDR 상태가 **알림**에서 **프로비저닝**으로 변경되었다고 표시됩니다.
```
{
"ByoipCidr": {
"Cidr": "2605:9cc0:409::/48",
"State": "provisioned"
}
}
```
1. 다음 명령을 실행하여 VPC를 삭제합니다. 이 섹션에서 명령을 실행하는 경우 `--region`의 값은 BYOIP CIDR에 사용할 리전 풀을 생성할 때 입력한 `--locale` 옵션과 일치해야 합니다.
이 단계는 멤버 계정으로 수행해야 합니다.
```
aws ec2 delete-vpc --region us-west-2 --vpc-id vpc-00b5573ffc3b31a29 --profile member-account
```
이 명령을 실행하면 어떤 출력도 표시되지 않습니다.
1. 다음 명령을 실행하여 IPAM에서 VPC 할당을 봅니다. IPAM이 VPC가 삭제되었는지 발견하고 이 할당을 제거하는 데 약간의 시간이 걸릴 수 있습니다. 이 섹션에서 명령을 실행하는 경우 `--region`의 값은 BYOIP CIDR에 사용할 리전 풀을 생성할 때 입력한 `--locale` 옵션과 일치해야 합니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account
```
출력에 IPAM의 할당이 표시됩니다.
```
{
"IpamPoolAllocations": [
{
"Cidr": "2605:9cc0:409::/56",
"IpamPoolAllocationId": "ipam-pool-alloc-5f8db726fb9e4ff0a33836e649283a52",
"ResourceId": "vpc-00b5573ffc3b31a29",
"ResourceType": "vpc",
"ResourceOwner": "123456789012"
}
]
}
```
명령을 다시 실행하고 제거할 할당을 찾습니다. IPAM에서 할당이 제거됐는지 확인할 때까지 IPAM 풀 CIDR을 정리하고 프로비저닝 해제할 수 없습니다.
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account
```
출력에 IPAM에서 제거된 할당이 표시됩니다.
```
{
"IpamPoolAllocations": []
}
```
1. RAM 공유를 삭제하고 AWS Organizations와의 RAM 통합을 사용 중지합니다. *AWS RAM 사용 설명서*의 [AWS RAM의 리소스 공유 삭제](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-delete.html) 및 [AWS Organizations와의 리소스 공유 비활성화](https://docs.aws.amazon.com/ram/latest/userguide/security-disable-sharing-with-orgs.html)의 단계를 순서대로 완료하여 RAM 공유를 삭제하고 AWS Organizations와의 RAM 통합을 사용 중지합니다.
이 단계는 각각 IPAM 계정과 관리 계정으로 수행해야 합니다. AWS CLI를 사용하여 RAM 공유를 삭제하고 RAM 통합을 사용 중지하는 경우 ` --profile ipam-account` 및 ` --profile management-account` 옵션을 사용합니다.
1. 다음 명령을 실행하여 리전 풀 CIDR을 프로비저닝 해제합니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
```
aws ec2 deprovision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --cidr 2605:9cc0:409::/48 --profile ipam-account
```
출력에 프로비저닝 해제가 보류 중인 CIDR이 표시됩니다.
```
{
"IpamPoolCidr": {
"Cidr": "2605:9cc0:409::/48",
"State": "pending-deprovision"
}
}
```
프로비저닝 해제를 완료하려면 시간이 걸립니다. CIDR 상태가 **프로비저닝 해제**로 표시될 때까지 명령을 계속 실행합니다.
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --cidr 2605:9cc0:409::/48 --profile ipam-account
```
출력에 프로비저닝 해제가 보류 중인 CIDR이 표시됩니다.
```
{
"IpamPoolCidr": {
"Cidr": "2605:9cc0:409::/48",
"State": "deprovisioned"
}
}
```
1. 다음 명령을 실행하여 리전 풀을 삭제합니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
```
aws ec2 delete-ipam-pool --region us-east-1 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account
```
출력에서 삭제 상태를 확인할 수 있습니다.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0053b7d2b4fc3f730",
"SourceIpamPoolId": "ipam-pool-07f2466c7158b50c4",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0053b7d2b4fc3f730",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-east-1",
"PoolDepth": 2,
"State": "delete-in-progress",
"Description": "reg-ipv6-pool",
"AutoImport": false,
"Advertisable": true,
"AddressFamily": "ipv6"
}
}
```
1. 다음 명령을 실행하여 최상위 풀 CIDR을 프로비저닝 해제합니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
```
aws ec2 deprovision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --cidr 2605:9cc0:409::/48 --profile ipam-account
```
출력에 프로비저닝 해제가 보류 중인 CIDR이 표시됩니다.
```
{
"IpamPoolCidr": {
"Cidr": "2605:9cc0:409::/48",
"State": "pending-deprovision"
}
}
```
프로비저닝 해제를 완료하려면 시간이 걸립니다. 다음 명령을 실행하여 프로비저닝 해제 상태를 확인합니다.
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --profile ipam-account
```
**프로비저닝 해제**가 표시될 때까지 기다렸다가 다음 단계를 계속 진행합니다.
```
{
"IpamPoolCidr": {
"Cidr": "2605:9cc0:409::/48",
"State": "deprovisioned"
}
}
```
1. 다음 명령을 실행하여 최상위 풀을 삭제합니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
```
aws ec2 delete-ipam-pool --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --profile ipam-account
```
출력에서 삭제 상태를 확인할 수 있습니다.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0053b7d2b4fc3f730",
"SourceIpamPoolId": "ipam-pool-07f2466c7158b50c4",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0053b7d2b4fc3f730",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-east-1",
"PoolDepth": 2,
"State": "delete-in-progress",
"Description": "reg-ipv6-pool",
"AutoImport": false,
"Advertisable": true,
"AddressFamily": "ipv6"
}
}
```
1. 다음 명령을 실행하여 IPAM을 삭제합니다.
이 단계는 IPAM 계정으로 수행해야 합니다.
```
aws ec2 delete-ipam --region us-east-1 --ipam-id ipam-090e48e75758de279 --profile ipam-account
```
출력에 IPAM 응답이 표시됩니다. 즉, IPAM이 삭제되었습니다.
```
{
"Ipam": {
"OwnerId": "123456789012",
"IpamId": "ipam-090e48e75758de279",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"PublicDefaultScopeId": "ipam-scope-0087d83896280b594",
"PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",
"ScopeCount": 2,
"OperatingRegions": [
{
"RegionName": "us-east-1"
},
{
"RegionName": "us-west-2"
}
]
}
}
```
# IPAM을 사용하여 CloudFront로 자체 IP 가져오기
글로벌 서비스에 대한 IPAM의 BYOIP를 사용하면 CloudFront와 같은 AWS 글로벌 서비스에서 자체 IPv4 주소를 사용할 수 있습니다. 리전 BYOIP와 달리, IP 주소는 애니캐스트 라우팅을 통해 여러 엣지 로케이션에서 동시에 광고됩니다.
## 이 기능을 사용하는 이유는 무엇인가요?
+ **IP 허용 목록 유지** - 방화벽 구성을 업데이트하는 대신 기존의 승인된 IP 주소를 사용합니다.
+ **마이그레이션 간소화** - IP 인프라를 변경하지 않고 다른 CDN에서 마이그레이션합니다.
+ **일관된 브랜딩** - AWS로 이동할 때 일관된 브랜딩을 위해 기존 IP 주소 공간을 유지합니다.
## 이 기능은 누가 사용해야 하나요?
글로벌 콘텐츠 전송으로 자체 IP 주소가 필요한 조직:
+ IP 허용 목록 요구 사항이 있는 대기업
+ 기존 IP 주소를 사용하여 다른 CDN에서 마이그레이션하는 회사
+ 특정 IP 범위를 요구하는 엄격한 보안 정책이 있는 조직
## 이 기능은 언제 사용해야 하나요?
다음이 필요한 경우 글로벌 서비스에 BYOIP를 사용하세요.
+ 파트너/클라이언트와 기존 IP 허용 목록 유지
+ IP 주소를 사용하여 다른 CDN에서 마이그레이션
+ 특정 IP 범위에 대한 규정 준수 요구 사항 충족
**참고**
/24 IPv4 CIDR 블록이 필요합니다. 현재 CloudFront에서만 사용할 수 있습니다.
## 사전 조건
시작하기 전에 다음 단계를 완료합니다.
+ **IPAM 설정** - [AWS Organization에서 계정과 IPAM 통합](enable-integ-ipam.md) 및 [IPAM 생성](create-ipam.md)
+ **도메인 확인** - [도메인 제어 확인](tutorials-byoip-ipam-domain-verification-methods.md)
+ **최상위 풀 생성**: [IPAM에 자체 IPv4 CIDR 가져오기](tutorials-byoip-ipam-console-ipv4.md)의 1\$12단계를 따릅니다.
## 글로벌 서비스 구성 단계
다음 단계는 표준 리전 BYOIP 프로세스와 다르며 글로벌 서비스에 대한 패턴을 설정합니다.
### 1단계: 애니캐스트 서비스에 대한 글로벌 풀 생성
리전 풀을 생성하는 대신 애니캐스트 서비스에 대한 글로벌 풀을 생성합니다.
**콘솔**
콘솔을 사용하여 글로벌 풀을 생성하는 방법
1. [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)에서 IPAM 콘솔을 엽니다.
1. 탐색 창에서 **풀**을 선택합니다.
1. **풀 생성**을 선택합니다.
1. **소스**: 최상위 BYOIP 풀을 선택합니다.
1. **로캘**: **글로벌**을 선택합니다.
1. **서비스**: **글로벌 서비스**를 선택합니다(글로벌을 선택하면 표시됨).
1. **퍼블릭 IP 소스**: **BYOIP**를 선택합니다.
1. **프로비저닝할 CIDR**: /24 CIDR 범위를 지정합니다.
1. **풀 생성**을 선택합니다.
**CLI**
로캘을 ‘Global’로 설정하고 주소 패밀리를 ‘ipv4’로 설정하여 `aws ec2 create-ipam-pool`을 사용합니다.
그런 다음 `aws ec2 provision-ipam-pool-cidr`을 사용하여 CIDR을 프로비저닝합니다.
**중요**
이 풀에 전체 /24 블록을 할당해야 합니다. 이 블록 내에서 다양한 용도를 위해 보다 구체적인 범위를 프로비저닝할 수 있습니다.
### 2단계: 서비스별 리소스 생성
CloudFront의 경우 IPAM 풀을 사용하는 애니캐스트 IP 목록을 생성합니다. 자세한 지침은 CloudFront BYOIP 설명서(링크 TBD)를 참조하세요.
**IPAM 통합의 주요 파라미터**
+ **IP 주소 유형** - **BYOIP**를 선택합니다.
+ **IPAM 풀** - 1단계의 글로벌 풀을 선택합니다.
+ **IP 수** - **3**을 입력합니다(CloudFront의 경우 필수).
### 3단계: 서비스 리소스와 연결
애니캐스트 정적 IP 목록을 CloudFront 배포와 연결합니다. 자세한 지침은 CloudFront BYOIP 설명서(링크 TBD)를 참조하세요.
**주요 구성:**
+ 배포 설정에서 2단계의 애니캐스트 IP 목록을 선택합니다.
### 4단계: 마이그레이션 준비
+ **DNS TTL 낮추기** - 레코드의 DNS TTL을 60초 이하로 설정합니다.
+ **전파 대기** - 새 TTL이 인터넷 전체에 적용될 때까지 기다립니다.
### 5단계: CIDR을 전역에 보급
IPAM 글로벌 광고 명령을 사용합니다.
**콘솔**
콘솔을 사용하여 CIDR을 광고하는 방법
1. [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)에서 IPAM 콘솔을 엽니다.
1. 탐색 창에서 **풀**을 선택합니다.
1. 글로벌 풀을 선택합니다.
1. **CIDR** 탭을 선택합니다.
1. CIDR을 선택하고 **작업** > **CIDR 광고**를 선택합니다.
1. 광고를 확인합니다.
**CLI**
IPAM 풀 ID 및 CIDR과 함께 `aws ec2 advertise-ipam-byoip-cidr`을 사용합니다.
**중요**
이 명령을 실행하기 전에 이전 공급자로부터 광고를 철회하세요.
CloudFront를 가리키도록 DNS 레코드를 업데이트하여 마이그레이션을 완료하세요.
## 정리
이 자습서에서 생성한 리소스를 정리하는 방법
+ **CloudFront 리소스 삭제** - CloudFront BYOIP 설명서의 정리 지침을 따릅니다(링크 TBD).
+ **CIDR 철회 및 IPAM 풀 삭제** - [8단계: 정리](tutorials-byoip-ipam-console-ipv4.md#tutorials-byoip-ipam-ipv4-console-cleanup)의 표준 정리 프로세스를 따릅니다.
**중요**
서비스 중단을 방지하려면 먼저 CloudFront 리소스를 삭제한 다음 IPAM 정리를 진행하세요.
# 자습서: IPAM으로 BYOIP IPv4 CIDR 전송
다음 단계에 따라 기존 IPv4 CIDR을 IPAM으로 전송합니다. AWS가 포함된 IPv4 BYOIP CIDR이 이미 있는 경우 CIDR을 퍼블릭 IPv4 풀에서 IPAM으로 이동할 수 있습니다. IPv6 CIDR을 IPAM으로 이동할 수 없습니다.
이 자습서에서는 [Bring your own IP addresses (BYOIP) in Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html)에 설명된 프로세스를 사용하여 IP 주소 범위를 AWS로 이미 성공적으로 가져왔고 이제 해당 IP 주소 범위를 IPAM으로 전송하려고 한다고 가정합니다. 새 IP 주소를 처음으로 AWS로 가져오고 있는 중인 경우 [자습서: IPAM으로 IP 주소 가져오기](tutorials-byoip-ipam.md)의 단계를 완료하세요.
퍼블릭 IPv4 풀을 IPAM으로 전송하는 경우 기존 할당에는 영향을 미치지 않습니다. 퍼블릭 IPv4 풀을 IPAM으로 전송한 후에는 리소스 유형에 따라 기존 할당을 모니터링할 수 있습니다. 자세한 내용은 [리소스별 CIDR 사용량 모니터링](monitor-cidr-compliance-ipam.md) 섹션을 참조하세요.
**참고**
이 자습서에서는 [IPAM 생성](create-ipam.md)의 단계를 이미 수행한 것으로 가정합니다.
이 자습서의 각 단계는 다음 2개의 AWS 계정 중 하나로 수행해야 합니다.
IPAM 관리자의 계정입니다. 이 자습서에서는 이 계정을 IPAM 계정이라고 합니다.
BYOIP CIDR을 소유한 조직의 계정입니다. 이 자습서에서는 이 계정을 BYOIP CIDR 소유자 계정이라고 합니다.
**Topics**
+ [1단계: AWS CLI 명명 프로파일 및 IAM 역할 생성](#tutorials-byoip-ipam-ipv4-console-1)
+ [2단계: IPAM의 퍼블릭 범위 ID 가져오기](#tutorials-byoip-ipam-transfer-ipv4-2)
+ [3단계: IPAM 풀 생성](#tutorials-byoip-ipam-transfer-ipv4-3)
+ [4단계: AWS RAM을 사용하여 IPAM 풀 공유](#tutorials-byoip-ipam-transfer-ipv4-4)
+ [5단계: IPAM으로 기존 BYOIP IPv4 CIDR 전송](#tutorials-byoip-ipam-transfer-ipv4-5)
+ [6단계: IPAM에서 CIDR 보기](#tutorials-byoip-ipam-transfer-ipv4-6)
+ [7단계: 정리](#tutorials-byoip-ipam-transfer-ipv4-7)
## 1단계: AWS CLI 명명 프로파일 및 IAM 역할 생성
단일 AWS 사용자로 이 자습서를 완료하려면 AWS CLI 명명 프로파일을 사용하여 IAM 역할 간에 전환할 수 있습니다. [명명 프로파일](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-using-profiles)은 AWS CLI와(과) 함께 `--profile` 옵션을 사용할 때 참조하는 설정 및 보안 인증 정보의 모음입니다. AWS 계정에 대한 IAM 역할 및 명명된 프로파일 생성 방법에 대한 자세한 내용은 [AWS CLI에서 IAM 역할 사용](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html)을 참조하세요.
이 자습서에서 사용할 세 AWS 계정 각각에 대해 역할 하나와 명명 프로필 하나를 만듭니다:
+ IPAM 관리자인 AWS 계정에 대한 `ipam-account`라는 프로파일
+ BYOIP CIDR을 소유하는 조직의 AWS 계정에 대한 `byoip-owner-account`라는 프로파일
IAM 역할 및 명명 프로파일을 생성한 후 이 페이지로 돌아와서 다음 단계로 이동합니다. 이 자습서의 나머지 부분에서 샘플 AWS CLI CLI 명령이 명명된 프로파일 중 하나와 함께 `--profile` 옵션을 사용하여 명령을 실행해야 하는 계정을 나타냅니다.
## 2단계: IPAM의 퍼블릭 범위 ID 가져오기
이 섹션의 단계를 따르면 IPAM의 퍼블릭 범위 ID를 가져올 수 있습니다. 이 단계는 **ipam-account** 계정에서 수행해야 합니다.
다음 명령을 실행하여 퍼블릭 범위 ID를 가져옵니다.
```
aws ec2 describe-ipams --region us-east-1 --profile ipam-account
```
출력에 퍼블릭 범위 ID가 표시됩니다. `PublicDefaultScopeId`의 값을 기록해 둡니다. 다음 단계에서 이 값을 사용할 것입니다.
```
{
"Ipams": [
{
"OwnerId": "123456789012",
"IpamId": "ipam-090e48e75758de279",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"PublicDefaultScopeId": "ipam-scope-0087d83896280b594",
"PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",
"ScopeCount": 2,
"Description": "my-ipam",
"OperatingRegions": [
{
"RegionName": "us-east-1"
},
{
"RegionName": "us-west-2"
}
],
"Tags": []
}
]
}
```
## 3단계: IPAM 풀 생성
이 섹션의 단계를 따르면 IPAM 풀을 생성할 수 있습니다. 이 단계는 **ipam-account** 계정에서 수행해야 합니다. 생성하는 IPAM 풀은 BYOIP CIDR AWS 리전과 일치하는 `--locale` 옵션이 포함된 최상위 풀이어야 합니다. BYOIP는 최상위 IPAM 풀로만 전송할 수 있습니다.
**중요**
풀을 생성하는 경우 `--aws-service ec2`을(를) 포함해야 합니다. 선택한 서비스에 따라 CIDR이 알릴 AWS 서비스가 결정됩니다. 현재, 유일한 옵션은 `ec2`입니다. 즉, 이 풀에서 할당된 CIDR은 Amazon EC2 서비스(탄력적 IP 주소용) 및 Amazon VPC 서비스(VPC에 연결된 CIDR용)에 대해 알릴 수 있음을 의미합니다.
**AWS CLI를 사용하여 전송된 BYOIP CIDR에 대한 IPv4 주소 풀을 생성하려면**
1. 다음 명령을 실행하여 IPAM 풀을 생성합니다. 이전 단계에서 검색한 IPAM의 퍼블릭 범위 ID를 사용합니다.
```
aws ec2 create-ipam-pool --region us-east-1 --profile ipam-account --ipam-scope-id ipam-scope-0087d83896280b594 --description "top-level-pool" --locale us-west-2 --aws-service ec2 --address-family ipv4
```
출력에 풀 생성이 진행 중임을 나타내는 `create-in-progress`가 표시됩니다.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-west-2",
"PoolDepth": 1,
"State": "create-in-progress",
"Description": "top-level-pool",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": [],
"AwsService": "ec2"
}
}
```
1. 출력에 `create-complete`의 상태가 표시될 때까지 다음 명령을 실행합니다.
```
aws ec2 describe-ipam-pools --region us-east-1 --profile ipam-account
```
다음 예 출력에서는 풀의 상태를 보여줍니다. 다음 단계에서 **OwnerId**가 필요합니다.
```
{
"IpamPools": [
{
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-west-2",
"PoolDepth": 1,
"State": "create-complete",
"Description": "top-level-pool",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": [],
"AwsService": "ec2"
}
]
}
```
## 4단계: AWS RAM을 사용하여 IPAM 풀 공유
이 섹션의 단계에 따라 다른 AWS 계정이 기존 BYOIP IPV4 CIDR을 IPAM 풀로 전송하고 IPAM 풀을 사용할 수 있도록 AWS RAM을 사용하여 IPAM 풀을 공유합니다. 이 단계는 **ipam-account** 계정에서 수행해야 합니다.
**AWS CLI를 사용하여 IPv4 주소 풀 공유**
1. IPAM 풀에 사용할 수 있는 AWS RAM 권한을 봅니다. 이 섹션의 단계를 완료하려면 두 ARN이 모두 필요합니다.
```
aws ram list-permissions --region us-east-1 --profile ipam-account --resource-type ec2:IpamPool
```
```
{
"permissions": [
{
"arn": "arn:aws:ram::aws:permission/AWSRAMDefaultPermissionsIpamPool",
"version": "1",
"defaultVersion": true,
"name": "AWSRAMDefaultPermissionsIpamPool",
"resourceType": "ec2:IpamPool",
"status": "ATTACHABLE",
"creationTime": "2022-06-30T13:04:29.335000-07:00",
"lastUpdatedTime": "2022-06-30T13:04:29.335000-07:00",
"isResourceTypeDefault": true
},
{
"arn": "arn:aws:ram::aws:permission/AWSRAMPermissionIpamPoolByoipCidrImport",
"version": "1",
"defaultVersion": true,
"name": "AWSRAMPermissionIpamPoolByoipCidrImport",
"resourceType": "ec2:IpamPool",
"status": "ATTACHABLE",
"creationTime": "2022-06-30T13:03:55.032000-07:00",
"lastUpdatedTime": "2022-06-30T13:03:55.032000-07:00",
"isResourceTypeDefault": false
}
]
}
```
1. **byoip-owner-account** 계정이 BYOIP CIDR을 IPAM으로 가져올 수 있도록 리소스 공유를 생성합니다. `--resource-arns`의 값은 이전 섹션에서 생성한 IPAM 풀의 ARN입니다. `--principals`의 값은 BYOIP CIDR 소유자 계정의 계정 ID입니다. `--permission-arns`의 값은 `AWSRAMPermissionIpamPoolByoipCidrImport` 권한의 ARN입니다.
```
aws ram create-resource-share --region us-east-1 --profile ipam-account --name PoolShare2 --resource-arns arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035 --principals 111122223333 --permission-arns arn:aws:ram::aws:permission/AWSRAMPermissionIpamPoolByoipCidrImport
```
```
{
"resourceShare": {
"resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7993758c-a4ea-43ad-be12-b3abaffe361a",
"name": "PoolShare2",
"owningAccountId": "123456789012",
"allowExternalPrincipals": true,
"status": "ACTIVE",
"creationTime": "2023-04-28T07:32:25.536000-07:00",
"lastUpdatedTime": "2023-04-28T07:32:25.536000-07:00"
}
}
```
1. (선택 사항) 전송이 완료된 후 **byoip-owner-account** 계정이 IPAM 풀에서 퍼블릭 IPv4 풀로 IP 주소 CIDRS를 할당하도록 허용하려면 `AWSRAMDefaultPermissionsIpamPool`에 대한 ARN을 복사하고 두 번째 리소스 공유를 생성합니다. `--resource-arns`의 값은 이전 섹션에서 생성한 IPAM 풀의 ARN입니다. `--principals`의 값은 BYOIP CIDR 소유자 계정의 계정 ID입니다. `--permission-arns`의 값은 `AWSRAMDefaultPermissionsIpamPool` 권한의 ARN입니다.
```
aws ram create-resource-share --region us-east-1 --profile ipam-account --name PoolShare1 --resource-arns arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035 --principals 111122223333 --permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionsIpamPool
```
```
{
"resourceShare": {
"resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/8d1e229b-2830-4cf4-8b10-19c889235a2f",
"name": "PoolShare1",
"owningAccountId": "123456789012",
"allowExternalPrincipals": true,
"status": "ACTIVE",
"creationTime": "2023-04-28T07:31:25.536000-07:00",
"lastUpdatedTime": "2023-04-28T07:31:25.536000-07:00"
}
}
```
RAM에서 리소스 공유를 생성한 결과로 이제 byoip-owner-account 계정이 CIDR을 IPAM으로 이동할 수 있습니다.
## 5단계: IPAM으로 기존 BYOIP IPv4 CIDR 전송
이 섹션의 단계를 따르면 기존 IPv4 CIDR을 IPAM으로 전송할 수 있습니다. 이 단계는 **byoip-owner-account** 계정에서 수행해야 합니다.
**중요**
사용하여 AWS로 IPv4 주소 범위를 가져오면 첫 번째 주소(네트워크 주소)와 마지막 주소(브로드캐스트 주소)를 포함하여 범위 내의 IP 주소를 모두 사용할 수 있습니다.
BYOIP CIDR을 IPAM으로 전송하려면 BYOIP CIDR 소유자가 IAM 정책에서 다음 권한을 보유해야 합니다.
+ `ec2:MoveByoipCidrToIpam`
+ `ec2:ImportByoipCidrToIpam`
**참고**
이 단계에서 AWS Management Console 또는 AWS CLI를 사용할 수 있습니다.
------
#### [ AWS Management Console ]
**BYOIP CIDR을 IPAM 풀로 전송하는 방법:**
1. [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)에서 IPAM 콘솔을 **byoip-owner-account** 계정으로 엽니다.
1. 탐색 창에서 **Pools**를 선택합니다.
1. 이 자습서에서 생성 및 공유한 최상위 풀을 선택합니다.
1. **작업** > **BYOIP CIDR 전송**을 선택합니다.
1. **BYOIP CID 전송**을 선택합니다.
1. BYOIP CIDR을 선택합니다.
1. **프로비저닝**을 선택합니다.
------
#### [ Command line ]
다음의 AWS CLI 명령을 사용하여 BYOIP CIDR을 AWS CLI을 사용하는 IPAM 풀로 전송하는 방법:
1. 다음 명령을 실행하여 CIDR을 전송합니다. `--region` 값이 BYOIP CIDR의 AWS 리전인지 확인합니다.
```
aws ec2 move-byoip-cidr-to-ipam --region us-west-2 --profile byoip-owner-account --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --ipam-pool-owner 123456789012 --cidr 130.137.249.0/24
```
출력에 프로비저닝이 보류 중인 CIDR이 표시됩니다.
```
{
"ByoipCidr": {
"Cidr": "130.137.249.0/24",
"State": "pending-transfer"
}
}
```
1. CIDR이 전송되었는지 확인합니다. 출력에 `complete-transfer`의 상태가 표시될 때까지 다음 명령을 실행합니다.
```
aws ec2 move-byoip-cidr-to-ipam --region us-west-2 --profile byoip-owner-account --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --ipam-pool-owner 123456789012 --cidr 130.137.249.0/24
```
다음 예 출력에서는 상태를 보여줍니다.
```
{
"ByoipCidr": {
"Cidr": "130.137.249.0/24",
"State": "complete-transfer"
}
}
```
------
## 6단계: IPAM에서 CIDR 보기
이 섹션의 단계를 따르면 IPAM에서 CIDR을 볼 수 있습니다. 이 단계는 **ipam-account** 계정에서 수행해야 합니다.
**AWS CLI를 사용하여 IPAM 풀에서 전송된 BYOIP CIDR을 보려면**
+ 다음 명령을 실행하여 IPAM에서 관리되는 할당을 봅니다. `--region` 값이 BYOIP CIDR의 AWS 리전인지 확인합니다.
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --profile ipam-account --ipam-pool-id ipam-pool-0d8f3646b61ca5987
```
출력에 IPAM의 할당이 표시됩니다.
```
{
"IpamPoolAllocations": [
{
"Cidr": "130.137.249.0/24",
"IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc46",
"ResourceId": "ipv4pool-ec2-0019eed22a684e0b3",
"ResourceType": "ec2-public-ipv4-pool",
"ResourceOwner": "111122223333"
}
]
}
```
## 7단계: 정리
이번 섹션의 단계를 따르면 이 자습서에서 생성한 리소스를 제거할 수 있습니다. 이 단계는 **ipam-account** 계정에서 수행해야 합니다.
**AWS CLI를 사용하여 이 자습서에서 생성한 리소스를 정리하려면**
1. IPAM 풀 공유 리소스를 삭제하려면 다음 명령을 실행하여 첫 번째 리소스 공유 ARN을 가져옵니다.
```
aws ram get-resource-shares --region us-east-1 --profile ipam-account --name PoolShare1 --resource-owner SELF
```
```
{
"resourceShares": [
{
"resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/8d1e229b-2830-4cf4-8b10-19c889235a2f",
"name": "PoolShare1",
"owningAccountId": "123456789012",
"allowExternalPrincipals": true,
"status": "ACTIVE",
"creationTime": "2023-04-28T07:31:25.536000-07:00",
"lastUpdatedTime": "2023-04-28T07:31:25.536000-07:00",
"featureSet": "STANDARD"
}
]
}
```
1. 리소스 공유 ARN을 복사하고 이를 사용하여 IPAM 풀 리소스 공유를 삭제합니다.
```
aws ram delete-resource-share --region us-east-1 --profile ipam-account --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/8d1e229b-2830-4cf4-8b10-19c889235a2f
```
```
{
"returnValue": true
}
```
1. [4단계: AWS RAM을 사용하여 IPAM 풀 공유](#tutorials-byoip-ipam-transfer-ipv4-4)에서 추가 리소스 공유를 생성한 경우 이전 두 단계를 반복하여 `PoolShare2`에 대한 두 번째 리소스 공유 ARN을 가져오고 두 번째 리소스 공유를 삭제합니다.
1. 다음 명령을 실행하여 BYOIP CIDR의 할당 ID를 가져옵니다. `--region` 값이 BYOIP CIDR의 AWS 리전과 일치하는지 확인합니다.
```
aws ec2 get-ipam-pool-allocations --region us-west-2 --profile ipam-account --ipam-pool-id ipam-pool-0d8f3646b61ca5987
```
출력에 IPAM의 할당이 표시됩니다.
```
{
"IpamPoolAllocations": [
{
"Cidr": "130.137.249.0/24",
"IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc46",
"ResourceId": "ipv4pool-ec2-0019eed22a684e0b3",
"ResourceType": "ec2-public-ipv4-pool",
"ResourceOwner": "111122223333"
}
]
}
```
1. 퍼블릭 IPv4 풀에서 CIDR을 해제합니다. 이 섹션의 명령을 실행하는 경우 `--region`의 값은 IPAM 리전과 일치해야 합니다.
이 단계는 **byoip-owner-account** 계정으로 수행해야 합니다.
```
aws ec2 deprovision-public-ipv4-pool-cidr --region us-east-1 --profile byoip-owner-account --pool-id ipv4pool-ec2-0019eed22a684e0b3 --cidr 130.137.249.0/24
```
1. BYOIP CIDR을 다시 확인하고 프로비저닝된 주소가 더 이상 없는지 확인합니다. 이 섹션의 명령을 실행하는 경우 `--region`의 값은 IPAM 리전과 일치해야 합니다.
이 단계는 **byoip-owner-account** 계정으로 수행해야 합니다.
```
aws ec2 describe-public-ipv4-pools --region us-east-1 --profile byoip-owner-account
```
출력에 퍼블릭 IPv4 풀의 IP 주소 수가 표시됩니다.
```
{
"PublicIpv4Pools": [
{
"PoolId": "ipv4pool-ec2-0019eed22a684e0b3",
"Description": "",
"PoolAddressRanges": [],
"TotalAddressCount": 0,
"TotalAvailableAddressCount": 0,
"NetworkBorderGroup": "us-east-1",
"Tags": []
}
]
}
```
1. 다음 명령을 실행하여 최상위 풀을 삭제합니다.
```
aws ec2 delete-ipam-pool --region us-east-1 --profile ipam-account --ipam-pool-id ipam-pool-0a03d430ca3f5c035
```
출력에서 삭제 상태를 확인할 수 있습니다.
```
{
"IpamPool": {
"OwnerId": "123456789012",
"IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
"IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
"IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
"Locale": "us-east-1",
"PoolDepth": 2,
"State": "delete-in-progress",
"Description": "top-level-pool",
"AutoImport": false,
"Advertisable": true,
"AddressFamily": "ipv4",
"AwsService": "ec2"
}
}
```
# 자습서: 서브넷 IP 할당을 위한 VPC IP 주소 공간 계획
이 자습서를 완료하면 VPC 서브넷에 IP 주소를 할당하기 위한 VPC IP 주소 공간을 계획하고 서브넷 및 VPC 수준에서 IP 주소 관련 지표를 모니터링할 수 있습니다.
**참고**
이 자습서에서는 프라이빗 IPAM 범위의 프라이빗 IPv4 주소 공간을 VPC와 서브넷에 할당하는 방법을 다룹니다. 또한 VPC 콘솔에서 Amazon 제공 IPv6 CIDR 블록 옵션으로 VPC를 생성하여 IPv6 CIDR 범위를 사용하여 이 자습서를 완료할 수 있습니다.
서브넷에 대한 VPC IP 주소 공간을 계획하면 다음을 수행할 수 있습니다.
+ **서브넷에 할당할 VPC의 IP 주소 계획 및 구성**: VPC IP 주소 공간을 더 작은 CIDR 블록으로 나누고 개발 또는 프로덕션 서브넷에서 워크로드를 실행하는 경우와 같이 비즈니스 요구 사항이 다른 서브넷에 해당 CIDR 블록을 프로비저닝할 수 있습니다.
+ **VPC 서브넷의 IP 주소 할당 간소화**: VPC의 주소 공간을 계획하고 구성한 후에는 CIDR을 수동으로 입력하는 대신 넷마스크 길이를 선택할 수 있습니다. 예를 들어 개발자가 개발 워크로드를 호스팅하기 위해 서브넷을 생성하는 경우 서브넷에 대한 풀과 넷마스크 길이를 선택해야 합니다. 그러면 IPAM이 자동으로 CIDR 블록을 서브넷에 할당합니다.
다음 예에서는 이 자습서를 통해 생성할 풀과 리소스 구조의 계층을 보여줍니다.
+ 프라이빗 범위
+ 리소스 계획 풀(10.0.0.0/20)
+ Dev 서브넷 풀(10.0.0.0/24)
+ Dev 서브넷(10.0.0.0/28)
+ Prod 서브넷 풀(10.0.0.1/24)
+ Prod 서브넷(10.0.0.16/28)
**중요**
리소스 계획 풀은 CIDR을 서브넷에 할당하는 데 사용하거나 다른 풀을 생성할 수 있는 소스 풀로 사용할 수 있습니다. 이 자습서에서는 리소스 계획 풀을 서브넷 풀의 소스 풀로 사용합니다.
VPC에 CIDR이 두 개 이상 프로비저닝되어 있는 경우 동일한 VPC를 사용하여 여러 리소스 계획 풀을 생성할 수 있습니다. 예를 들어 VPC에 두 개의 CIDR이 할당된 경우 각 CIDR에서 하나씩 두 개의 리소스 계획 풀을 생성할 수 있습니다. 각 CIDR은 한 번에 하나의 풀에 할당할 수 있습니다.
## 1단계: VPC 생성
서브넷 IP 주소 계획에 사용할 VPC를 생성하려면 이 섹션의 단계를 완료하세요. VPC를 생성하는 데 필요한 IAM 권한에 대한 자세한 내용은 *Amazon VPC 사용 설명서*의 [Amazon VPC 정책 예시](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-policy-examples.html)를 참조하세요.
**참고**
새 VPC를 만드는 대신 기존 VPC를 사용할 수 있지만, 이 자습서에서는 IPAM 할당 자동 CIDR 블록이 아닌 수동으로 할당된 CIDR 블록으로 VPC가 구성되는 시나리오에 중점을 둡니다.
**VPC를 생성하려면**
1. IPAM 관리자 계정을 사용하여 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 VPC 콘솔을 엽니다.
1. **VPC 생성**을 선택합니다.
1. VPC의 이름을 입력합니다(예: tutorial-vpc).
1. **IPv4 CIDR 수동 입력**을 선택하고 IPv4 CIDR 블록을 입력합니다. 이 자습서에서는 10.0.0.0/20을 사용합니다.
1. IPv6 CIDR 블록을 추가하는 옵션은 건너뜁니다.
1. **VPC 생성**을 선택합니다.
1. IPAM 관리자 계정을 사용하여 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)에서 IPAM 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **리소스**를 선택합니다.
1. 생성한 VPC가 나타날 때까지 기다립니다. 이 작업이 수행되는 데는 시간이 걸리며 해당 창이 나타나도록 하려면 창을 새로 고쳐야 할 수도 있습니다. 다음 단계로 넘어가기 전에 IPAM에서 VPC를 검색해야 합니다.
## 2단계: 리소스 계획 풀 생성
리소스 계획 풀을 생성하려면 이 섹션의 단계를 완료하세요.
**리소스 계획 풀을 생성하려면**
1. IPAM 관리자 계정을 사용하여 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)에서 IPAM 콘솔을 엽니다.
1. 탐색 창에서 **Pools**를 선택합니다.
1. 프라이빗 범위를 선택합니다.
1. **풀 생성(Create pool)**을 선택합니다.
1. **IPAM 범위**에서 프라이빗 범위를 선택한 상태로 둡니다.
1. (선택 사항) 풀에 대한 **이름 태그** 추가합니다(예: ‘Resource-planning-pool’).
1. **소스**에서 **IPAM 범위**를 선택합니다.
1. **리소스 계획**에서 **VPC 내 IP 공간 계획**을 선택하고 이전 단계에서 생성한 VPC를 선택합니다. VPC는 리소스 계획 풀에 CIDR을 프로비저닝하는 데 사용되는 리소스입니다.
1. **프로비저닝할 CIDR**에서 리소스 풀에 프로비저닝할 VPC CIDR을 선택합니다. 리소스 계획 풀에 프로비저닝하는 CIDR은 VPC에 프로비저닝된 CIDR과 일치해야 합니다. 이 자습서에서는 10.0.0.0/20을 사용합니다.
1. **풀 생성(Create pool)**을 선택합니다.
1. 풀이 생성되면 **CIDR 탭**을 선택하여 프로비저닝된 CIDR의 상태를 확인합니다. 페이지를 새로 고치고 CIDR 상태가 *프로비저닝 보류 중* 상태에서 *프로비저닝됨*으로 변경될 때까지 기다린 후 다음 단계로 넘어갑니다.
## 3단계: 서브넷 풀 생성
서브넷에 IP 공간을 할당하는 데 사용할 두 개의 서브넷 풀을 생성하려면 이 섹션의 단계를 완료하세요.
**서브넷 풀을 생성하려면**
1. IPAM 관리자 계정을 사용하여 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)에서 IPAM 콘솔을 엽니다.
1. 탐색 창에서 **Pools**를 선택합니다.
1. 프라이빗 범위를 선택합니다.
1. **풀 생성(Create pool)**을 선택합니다.
1. **IPAM 범위**에서 프라이빗 범위를 선택한 상태로 둡니다.
1. (선택 사항) 풀에 대한 **이름 태그** 추가합니다(예: ‘dev-subnet-pool’).
1. **소스**에서 **IPAM 풀**을 선택하고 3단계에서 생성한 리소스 계획 풀을 선택합니다. 주소 패밀리, 리소스 계획 구성 및 로케일은 소스 풀에서 자동으로 상속됩니다.
1. **프로비저닝할 CIDR**에서 서브넷 풀에 프로비저닝할 CIDR을 선택합니다. 이 자습서에서는 10.0.0.0/24를 사용합니다.
1. **풀 생성(Create pool)**을 선택합니다.
1. 풀이 생성되면 **CIDR 탭**을 선택하여 프로비저닝된 CIDR의 상태를 확인합니다. 페이지를 새로 고치고 CIDR 상태가 *프로비저닝 보류 중* 상태에서 *프로비저닝됨*으로 변경될 때까지 기다린 후 다음 단계로 넘어갑니다.
1. 이 프로세스를 반복하여 ‘prod-subnet-pool’이라는 또 다른 서브넷을 생성합니다.
이때 이 서브넷 풀을 다른 AWS 계정에서 사용할 수 있도록 하려면 서브넷 풀을 공유하면 됩니다. 이를 수행하는 방법에 대한 지침은 [AWS RAM을 사용하여 IPAM 풀 공유](share-pool-ipam.md)를 참조하세요. 그런 다음 여기로 돌아와 튜토리얼을 완료합니다.
## 4단계: 서브넷 생성
두 개의 서브넷을 생성하려면 다음 두 단계를 완료하세요.
**서브넷을 생성하려면**
1. 적절한 계정을 사용하여 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 VPC 콘솔을 엽니다.
1. **서브넷** > **서브넷 생성**을 선택합니다.
1. 이 자습서를 시작할 때 생성한 VPC를 선택합니다.
1. 서브넷에 대한 이름을 입력합니다(예: "tutorial-subnet").
1. (선택 사항) **가용 영역**을 선택합니다.
1. **IPv4 CIDR 블록**에서 **IPAM 할당 IPV4 CIDR 블록**을 선택하고 dev 서브넷 풀과 /28 넷마스크를 선택합니다.
1. **서브넷 생성(Create subnet)**을 선택합니다.
1. 이 프로세스를 반복하여 또 다른 서브넷을 생성합니다. 이번에는 prod 서브넷 풀과 /28 넷마스크를 선택합니다.
1. IPAM 콘솔로 돌아와 왼쪽 탐색 창에서 **리소스**를 선택합니다.
1. 생성한 서브넷 풀을 찾아 생성한 서브넷이 그 아래에 나타날 때까지 기다립니다. 이 작업이 수행되는 데는 시간이 걸리며 해당 창이 나타나도록 하려면 창을 새로 고쳐야 할 수도 있습니다.
튜토리얼이 완료되었습니다. 필요에 따라 추가 서브넷 풀을 생성하거나 EC2 인스턴스에서 서브넷 중 하나로 시작할 수 있습니다.
IPAM은 서브넷의 IP 주소 사용과 관련된 지표를 게시합니다. SubnetIPUsage 지표에 CloudWatch 경보를 설정하여 IP 사용률 임계값 위반 시 조치를 취할 수 있습니다. 예를 들어 서브넷에 /24 CIDR(256 IP 주소)이 할당되어 있고 IP의 80%가 사용되었을 때 알림을 받고자 하는 경우, 이 임계값에 도달하면 알림을 보내도록 CloudWatch 경보를 설정할 수 있습니다. 서브넷 IP 사용에 대한 경보를 생성하는 방법에 대한 자세한 내용은 [경보 생성을 위한 간편 도움말](cloudwatch-ipam-res-util.md#cloudwatch-ipam-res-util-tip)를 참조하세요.
## 5단계: 정리
이 자습서에서 생성한 리소스를 삭제하려면 다음 단계를 완료하세요.
**리소스 정리**
1. IPAM 관리자 계정을 사용하여 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)에서 IPAM 콘솔을 엽니다.
1. 탐색 창에서 **Pools**를 선택합니다.
1. 프라이빗 범위를 선택합니다.
1. 리소스 계획 풀을 선택하고 **작업** > **삭제**를 선택합니다.
1. **계단식 삭제**를 선택합니다. 리소스 계획 풀과 서브넷 풀이 삭제됩니다. 이렇게 해도 서브넷 자체는 삭제되지 않습니다. CIDR은 더 이상 IPAM 풀에서 제공되지 않지만 프로비저닝된 CIDR은 그대로 유지됩니다.
1. **삭제**를 선택합니다.
1. [서브넷을 삭제합니다](https://docs.aws.amazon.com/vpc/latest/userguide/subnet-deleting.html).
1. [VPC를 삭제합니다](https://docs.aws.amazon.com/vpc/latest/userguide/delete-vpc.html).
정리가 완료되었습니다.
# IPAM 풀에서 순차적 탄력적 IP 주소 할당
IPAM에서는 Amazon 소유 퍼블릭 IPv4 블록을 IPAM 풀에 프로비저닝하고 해당 풀에서 AWS 리소스로 순차적 [탄력적 IP 주소](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html)를 할당할 수 있습니다.
연속적으로 할당되는 탄력적 IP 주소는 순차적으로 할당되는 퍼블릭 IPv4 주소입니다. 예를 들어, Amazon에서 `192.0.2.0/30`의 퍼블릭 IPv4 CIDR 블록을 제공하고 사용자가 해당 CIDR 블록에서 사용 가능한 퍼블릭 IPv4 주소 4개를 할당하는 경우 4개의 순차적 탄력적 IP 주소의 예는 `192.0.2.0`, `192.0.2.1`, `192.0.2.2`, `192.0.2.3`입니다.
연속적으로 할당되는 탄력적 IP 주소를 사용하면 다음과 같은 방법으로 보안 및 네트워킹 규칙을 간소화할 수 있습니다.
+ **보안 관리**: 순차적 IPv4 주소를 사용하면 방화벽 관리 오버헤드가 감소합니다. 단일 규칙으로 전체 접두사를 추가하고 규모 조정 시 동일한 접두사의 IP를 연결하여 시간과 노력을 절약할 수 있습니다.
+ **엔터프라이즈 액세스**: 개별 퍼블릭 IPv4 주소를 길게 나열하는 대신에 전체 CIDR 블록을 사용하여 클라이언트와 공유하는 주소 공간을 간소화할 수 있습니다. 그러면 AWS의 애플리케이션 규모 조정 시 IP 변경 사항을 지속적으로 전달하지 않아도 됩니다.
+ **간소화된 IP 관리**: 순차적 IPv4 주소를 사용하면 개별 퍼블릭 IP를 추적할 필요성이 감소하고 그 대신에 제한된 수의 IP 접두사에만 집중할 수 있으므로 중앙 네트워킹 팀의 퍼블릭 IP 관리가 간소화됩니다.
이 자습서에서는 IPAM 풀에서 순차적 탄력적 IP 주소를 할당하는 데 필요한 단계를 안내합니다. Amazon에서 제공하는 연속적 퍼블릭 IPv4 CIDR 블록으로 IPAM 풀을 생성하고, 풀에서 탄력적 IP 주소를 할당하고, IPAM 풀 할당을 모니터링하는 방법을 알아봅니다.
**참고**
Amazon 소유 퍼블릭 IPv4 CIDR 블록을 프로비저닝하면 비용이 발생합니다. 자세한 내용은 [Amazon VPC 요금 페이지](https://aws.amazon.com//vpc/pricing/)의 **Amazon에서 제공하는 연속적 IPv4 블록** 탭을 참조하세요.
이 자습서에서는 [단일 계정으로 IPAM을 사용](enable-single-user-ipam.md)하여 IPAM을 생성하려는 것으로 가정합니다. Amazon 소유 연속적 퍼블릭 IPv4 블록을 여러 계정에서 공유하려는 경우 [AWS Organization에서 계정과 IPAM 통합](enable-integ-ipam.md), [AWS RAM을 사용하여 IPAM 풀 공유](share-pool-ipam.md) 차례로 공유해야 합니다. AWS Organizations와 통합하는 경우 풀에 할당된 연속적 IPv4 블록의 프로비저닝 해제를 방지하는 [서비스 제어 정책](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)을 생성할 수 있습니다.
IPAM 풀에서 할당된 순차적 탄력적 IP 주소는 다른 AWS 계정으로 [이전](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithEIPs.html#transfer-EIPs-intro)할 수 없습니다. 그 대신에 IPAM을 사용하면 IPAM을 AWS Organizations와 통합하여 AWS 계정 전체에 IPAM 풀을 공유할 수 있습니다(위의 설명 참조).
프로비저닝할 수 있는 Amazon 소유 퍼블릭 IPv4 CIDR 블록 수와 크기에는 제한이 있습니다. 자세한 내용은 [IPAM의 할당량](quotas-ipam.md) 섹션을 참조하세요.
**Topics**
+ [1단계: IPAM 풀 생성](#tutorials-eip-pool-1)
+ [2단계: IPAM 풀 생성 및 CIDR 프로비저닝](#tutorials-eip-pool-2)
+ [3단계: 풀에서 탄력적 IP 주소 할당](#tutorials-eip-pool-3)
+ [4단계: EC2 인스턴스에 탄력적 IP 주소 연결](#tutorials-eip-pool-4)
+ [5단계: 풀 사용량 추적 및 모니터링](#track-monitor-eips-ipam)
+ [정리](#tutorials-eip-pool-cleanup)
## 1단계: IPAM 풀 생성
이 섹션의 단계에 따라 IPAM을 생성합니다.
------
#### [ AWS Management Console ]
**IPAM을 생성하려면**
1. [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)에서 IPAM 콘솔을 엽니다.
1. AWS 관리 콘솔에서 IPAM을 생성하려는 AWS 리전을 선택합니다. 기본 작업 리전에서 IPAM을 생성합니다.
1. 서비스 홈 페이지에서 **IPAM 생성(Create IPAM)**을 선택합니다.
1. **Amazon VPC IP 주소 관리자가 소스 계정의 데이터를 IPAM 위임 계정으로 복제하도록 허용(Allow Amazon VPC IP Address Manager to replicate data from source account(s) into the IPAM delegate account)**을 선택합니다. 이 옵션을 선택하지 않은 경우 IPAM을 생성할 수 없습니다.
1. **IPAM 티어**를 선택합니다. 각 티어에서 사용할 수 있는 기능 및 티어 관련 비용에 대한 자세한 내용은 [Amazon VPC 요금 페이지](https://aws.amazon.com//vpc/pricing/)의 IPAM 탭을 참조하세요.
1. **운영 리전(Operating regions)**에서 이 IPAM이 리소스를 관리하고 검색할 수 있는 AWS 리전을 선택합니다. IPAM을 생성하는 AWS 리전은 기본적으로 운영 리전 중 하나로 선택됩니다. 예를 들어 AWS 리전 `us-east-1`에서 이 IPAM을 생성하지만 나중에 `us-west-2`의 VPC에 CIDR을 제공하는 리전 IPAM 풀을 생성하려는 경우 여기에서 `us-west-2`를 선택합니다. 운영 리전을 잊어버린 경우 나중에 다시 돌아와서 IPAM 설정을 편집할 수 있습니다.
**참고**
프리 티어에서 IPAM을 생성하는 경우 IPAM에 대해 여러 운영 리전을 선택할 수 있지만 운영 리전 전체에서 사용할 수 있는 유일한 IPAM 기능은 [퍼블릭 IP 인사이트](view-public-ip-insights.md)입니다. IPAM 운영 리전 전체에서 BYOIP와 같은 프리 티어의 다른 기능을 사용할 수 없습니다. IPAM의 홈 리전에서만 사용할 수 있습니다. 운영 리전 전체에서 모든 IPAM 기능을 사용하려면 [고급 티어에서 IPAM을 생성](mod-ipam-tier.md)하세요.
1. **IPAM 생성(Create IPAM)**을 선택합니다.
------
#### [ Command line ]
이 섹션의 명령은 AWS CLI 참조 설명서로 연결됩니다. 이 설명서에서는 명령을 실행할 때 사용할 수 있는 옵션에 대한 자세한 설명을 제공합니다.
[create-ipam](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-ipam.html) 명령을 사용하여 IPAM을 생성합니다.
```
aws ec2 create-ipam --region us-east-1
```
응답 예제:
```
{
"Ipam": {
"OwnerId": "320805250157",
"IpamId": "ipam-0755477df834ea06b",
"IpamArn": "arn:aws:ec2::320805250157:ipam/ipam-0755477df834ea06b",
"IpamRegion": "us-east-1",
"PublicDefaultScopeId": "ipam-scope-01bc7290e4a9202f9",
"PrivateDefaultScopeId": "ipam-scope-0a50983b97a7a583a",
"ScopeCount": 2,
"OperatingRegions": [
{
"RegionName": "us-east-1"
}
],
"State": "create-in-progress",
"Tags": [],
"DefaultResourceDiscoveryId": "ipam-res-disco-02cc5b34cc3f04f09",
"DefaultResourceDiscoveryAssociationId": "ipam-res-disco-assoc-06b3a4dccfc81f7c1",
"ResourceDiscoveryAssociationCount": 1,
"Tier": "advanced"
}
}
```
다음 단계에서 PublicDefaultScopeId가 필요합니다. 범위에 대한 자세한 내용은 [IPAM 작동 방식](how-it-works-ipam.md) 섹션을 참조하세요.
------
## 2단계: IPAM 풀 생성 및 CIDR 프로비저닝
이 섹션의 단계를 완료하여 탄력적 IP를 할당할 IPAM 풀을 생성합니다.
------
#### [ AWS Management Console ]
**풀을 생성하려면**
1. [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/)에서 IPAM 콘솔을 엽니다.
1. 탐색 창에서 **Pools**를 선택합니다.
1. 퍼블릭 범위를 선택합니다. 범위에 대한 자세한 내용은 [IPAM 작동 방식](how-it-works-ipam.md) 섹션을 참조하세요.
1. **풀 생성(Create pool)**을 선택합니다.
1. (선택 사항) 풀에 대한 **이름 태그(Name tag)** 및 **설명(Description)**을 추가합니다.
1. **소스**에서 **IPAM 범위**를 선택합니다.
1. **주소 패밀리(Address family)**에서 **IPv4**를 선택합니다.
1. **리소스 계획**에서 **범위 내에서 IP 공간 계획**을 선택한 상태로 둡니다.
1. **로캘(Locale)**에서 풀에 대한 로캘을 선택합니다. 로캘은 이 IPAM 풀을 할당에 사용할 수 있도록 하려는 AWS 리전입니다. 사용할 수 있는 옵션은 IPAM을 생성할 때 선택한 운영 리전에서 비롯된 것입니다.
1. **서비스(Service)**에서 **EC2(EIP/VPC)**를 선택합니다. 선택하는 서비스에 따라 CIDR에서 알리는 AWS 서비스가 결정됩니다. 현재, 유일한 옵션은 **EC2(EIP/VPC)**입니다. 즉, 이 풀에서 할당된 CIDR는 Amazon EC2 서비스(탄력적 IP 주소용)에 대해 알릴 수 있음을 의미합니다.
1. **퍼블릭 IP 소스**에서 **Amazon 소유**를 선택합니다.
1. **프로비저닝할 CIDR**에서 **Amazon 소유의 퍼블릭 CIDR 추가**를 선택합니다. `/29`(IP 주소 8개) 및 `/30`(IP 주소 4개) 사이의 **넷마스크** 길이를 선택합니다. 기본적으로 2개까지 CIDR를 추가할 수 있습니다. Amazon에서 제공하는 연속적 퍼블릭 IPv4 CIDR의 한도 상향에 대한 자세한 내용은 [IPAM의 할당량](quotas-ipam.md) 섹션을 참조하세요.
1. **이 풀의 할당 규칙 설정 구성**을 선택 취소된 상태로 둡니다.
1. (선택 사항) 풀에 대한 **태그(Tags)**를 선택합니다.
1. **풀 생성(Create pool)**을 선택합니다.
계속하기 전에 이 CIDR이 프로비저닝되었는지 확인합니다. 풀 세부 정보 페이지의 **CIDR(CIDRs)** 탭에서 프로비저닝 상태를 볼 수 있습니다.
------
#### [ Command line ]
**풀을 생성하려면**
1. [create-ipam-pool](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-ipam-pool.html) 명령을 사용하여 IPAM 풀을 생성합니다. 로캘은 이 IPAM 풀을 할당에 사용할 수 있도록 하려는 AWS 리전입니다. 사용할 수 있는 옵션은 IPAM을 생성할 때 선택한 운영 리전에서 비롯된 것입니다.
```
aws ec2 create-ipam-pool --region us-east-1 --ipam-scope-id ipam-scope-01bc7290e4a9202f9 --address-family ipv4 --locale us-east-1 --aws-service ec2 --public-ip-source amazon
```
상태가 `create-in-progress`인 응답의 예:
```
{
"IpamPool": {
"OwnerId": "320805250157",
"IpamPoolId": "ipam-pool-07ccc86aa41bef7ce",
"IpamPoolArn": "arn:aws:ec2::320805250157:ipam-pool/ipam-pool-07ccc86aa41bef7ce",
"IpamScopeArn": "arn:aws:ec2::320805250157:ipam-scope/ipam-scope-01bc7290e4a9202f9",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::320805250157:ipam/ipam-0755477df834ea06b",
"IpamRegion": "us-east-1",
"Locale": "us-east-1",
"PoolDepth": 1,
"State": "create-in-progress",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": [],
"AwsService": "ec2",
"PublicIpSource": "amazon"
}
}
```
1. [describe-ipam-pools](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-ipam-pools.html) 명령을 사용하여 풀이 성공적으로 생성되었는지 확인합니다.
```
aws ec2 describe-ipam-pools --region us-east-1 --ipam-pool-ids ipam-pool-07ccc86aa41bef7ce
```
상태가 `create-complete`인 응답의 예:
```
{
"IpamPools": [
{
"OwnerId": "320805250157",
"IpamPoolId": "ipam-pool-07ccc86aa41bef7ce",
"IpamPoolArn": "arn:aws:ec2::320805250157:ipam-pool/ipam-pool-07ccc86aa41bef7ce",
"IpamScopeArn": "arn:aws:ec2::320805250157:ipam-scope/ipam-scope-01bc7290e4a9202f9",
"IpamScopeType": "public",
"IpamArn": "arn:aws:ec2::320805250157:ipam/ipam-0755477df834ea06b",
"IpamRegion": "us-east-1",
"Locale": "us-east-1",
"PoolDepth": 1,
"State": "create-complete",
"AutoImport": false,
"AddressFamily": "ipv4",
"Tags": [],
"AwsService": "ec2",
"PublicIpSource": "amazon"
}
]
}
```
1. [provision-ipam-pool-cidr](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/provision-ipam-pool-cidr.html) 명령을 사용하여 풀에 CIDR을 프로비저닝합니다. `/29`(IP 주소 8개)와 `/30`(IP 주소 4개) 사이의 `--netmask-length`를 선택합니다. 기본적으로 2개까지 CIDR를 추가할 수 있습니다. Amazon에서 제공하는 연속적 퍼블릭 IPv4 CIDR의 한도 상향에 대한 자세한 내용은 [IPAM의 할당량](quotas-ipam.md) 섹션을 참조하세요.
```
aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-07ccc86aa41bef7ce --netmask-length 29
```
상태가 `pending-provision`인 응답의 예:
```
{
"IpamPoolCidr": {
"State": "pending-provision",
"IpamPoolCidrId": "ipam-pool-cidr-01856e43994df4913b7bc6aac47adf983",
"NetmaskLength": 29
}
}
```
1. 계속하기 전에 이 CIDR이 프로비저닝되었는지 확인합니다. [get-ipam-pool-cidrs](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/get-ipam-pool-cidrs.html) 명령을 사용하여 프로비저닝 상태를 확인할 수 있습니다.
```
aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-07ccc86aa41bef7ce
```
상태가 `provisioned`인 응답의 예:
```
{
"IpamPoolCidrs": [
{
"Cidr": "18.97.0.40/29",
"State": "provisioned",
"IpamPoolCidrId": "ipam-pool-cidr-01856e43994df4913b7bc6aac47adf983",
"NetmaskLength": 29
}
]
}
```
------
## 3단계: 풀에서 탄력적 IP 주소 할당
이 섹션의 단계를 완료하여 풀에서 탄력적 IP 주소를 할당합니다.
------
#### [ AWS Management Console ]
**Amazon EC2 사용 설명서의 [탄력적 IP 주소 할당](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-allocating) 단계에 따라 주소를 할당하되 다음을 참고하세요.
+ EC2 콘솔에 있는 AWS 리전이 2단계에서 풀을 생성할 때 선택한 로캘 옵션과 일치하는지 확인합니다.
+ 주소 풀을 선택할 때 **IPv4 IPAM 풀을 사용하여 할당**하는 옵션을 선택하고 1단계에서 생성한 풀을 선택합니다.
------
#### [ Command line ]
[allocate-address](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/allocate-address.html) 명령을 사용하여 풀에서 주소를 할당합니다. 사용하는 `--region`이 2단계에서 풀을 생성할 때 선택한 `-locale` 옵션과 일치해야 합니다. 2단계에서 생성한 IPAM 풀의 ID를 `--ipam-pool-id`에 포함합니다.
```
aws ec2 allocate-address --region us-east-1 --ipam-pool-id ipam-pool-07ccc86aa41bef7ce
```
응답 예제:
```
{
"PublicIp": "18.97.0.41",
"AllocationId": "eipalloc-056cdd6019c0f4b46",
"PublicIpv4Pool": "ipam-pool-07ccc86aa41bef7ce",
"NetworkBorderGroup": "us-east-1",
"Domain": "vpc"
}
```
선택 사항으로, `--address` 옵션을 사용하여 IPAM 풀의 특정 `/32`를 선택할 수도 있습니다.
```
aws ec2 allocate-address --region us-east-1 --ipam-pool-id ipam-pool-07ccc86aa41bef7ce --address 18.97.0.41
```
응답 예제:
```
{
"PublicIp": "18.97.0.41",
"AllocationId": "eipalloc-056cdd6019c0f4b46",
"PublicIpv4Pool": "ipam-pool-07ccc86aa41bef7ce",
"NetworkBorderGroup": "us-east-1",
"Domain": "vpc"
}
```
자세한 내용은 **Amazon EC2 사용 설명서의 [탄력적 IP 주소 할당](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-allocating)을 참조하세요.
------
## 4단계: EC2 인스턴스에 탄력적 IP 주소 연결
이 섹션의 단계를 완료하여 EC2 인스턴스에 탄력적 IP 주소를 연결합니다.
------
#### [ AWS Management Console ]
**Amazon EC2 사용 설명서에 있는 [탄력적 IP 주소 연결](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-associating)의 단계에 따라 IPAM 풀에서 탄력적 IP 주소를 할당하되 다음을 참고하세요. AWS Management Console 옵션을 사용하는 경우 탄력적 IP 주소를 연결하는 AWS 리전은 2단계에서 풀을 생성할 때 선택한 로캘 옵션과 일치해야 합니다.
------
#### [ Command line ]
[associate-address](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/allocate-address.html) 명령으로 인스턴스에 탄력적 IP 주소를 연결합니다. 탄력적 IP 주소를 연결하는 `--region`은 2단계에서 풀을 생성할 때 선택한 `--locale` 옵션과 일치해야 합니다.
```
aws ec2 associate-address --region us-east-1 --instance-id i-07459a6fca5b35823 --public-ip 18.97.0.41
```
응답 예제:
```
{
"AssociationId": "eipassoc-06aa85073d3936e0e"
}
```
자세한 내용은 **Amazon EC2 사용 설명서의 [인스턴스 또는 네트워크 인터페이스에 탄력적 IP 주소 연결](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-associating)를 참조하세요.
------
## 5단계: 풀 사용량 추적 및 모니터링
IPAM 풀에서 탄력적 IP 주소를 할당했으면 IPAM 풀 할당을 추적하고 모니터링할 수 있습니다.
------
#### [ AWS Management Console ]
+ IPAM 콘솔에서 IPAM 풀 세부 정보 **할당** 탭을 봅니다. IPAM 풀에서 할당된 모든 탄력적 IP 주소는 **리소스 유형**이 **EIP**입니다.
+ [퍼블릭 IP 인사이트](view-public-ip-insights.md) 사용:
+ **퍼블릭 IP 유형**에서 **Amazon 소유 EIP**를 기준으로 필터링합니다. 그러면 Amazon 소유 탄력적 IP 주소에 할당된 총 퍼블릭 IPv4 주소 수가 표시됩니다. 이 측정값을 기준으로 필터링하고 페이지 하단의 **퍼블릭 IP 주소**까지 스크롤하면 할당한 탄력적 IP 주소가 표시됩니다.
+ **EIP 사용량**에서 **연결된 Amazon 소유 EIP** 또는 **연결되지 않은 Amazon 소유 EIP**를 기준으로 필터링합니다. 그러면 AWS 계정에서 할당하고 EC2 인스턴스, 네트워크 인터페이스 또는 AWS 리소스와 연결하거나 연결하지 않은 총 탄력적 IP 주소 수가 표시됩니다. 이 측정값을 기준으로 필터링하고 페이지 하단의 **퍼블릭 IP 주소**까지 스크롤하면 필터링한 리소스의 세부 정보가 표시됩니다.
+ **Amazon 소유 IPv4 연속적 IP 사용량**에서 시간 경과에 따른 순차적 퍼블릭 IPv4 주소 사용량 및 관련 Amazon 소유 IPv4 IPAM 풀을 모니터링합니다.
+ Amazon CloudWatch를 사용하여 IPAM 풀에 프로비저닝된 Amazon에서 제공하는 연속적 퍼블릭 IPv4 블록과 관련된 지표를 추적하고 모니터링합니다. 연속적 IPv4 블록에만 사용할 수 있는 지표는 [IPAM 지표](cloudwatch-ipam-ip-address-usage.md) 아래의 **퍼블릭 IP 지표**를 참조하세요. 지표 보기 외에 임곗값에 도달했을 때 알려주는 경보를 Amazon CloudWatch에서 생성할 수도 있습니다. Amazon CloudWatch를 사용한 경보 생성 및 알림 설정은 이 자습서의 범위를 벗어납니다. 자세한 내용은 [Amazon CloudWatch 사용 설명서](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)의 *Amazon CloudWatch 경보 사용*을 참조하세요.
------
#### [ Command line ]
+ [get-ipam-pool-allocations](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-pool-allocations.html) 명령을 사용하여 IPAM 풀 할당을 봅니다. IPAM 풀에서 할당된 모든 탄력적 IP 주소는 **리소스 유형**이 **eip**입니다.
```
aws ec2 get-ipam-pool-allocations --region us-east-1 --ipam-pool-id ipam-pool-07ccc86aa41bef7ce
```
응답 예제:
```
{
"IpamPoolAllocations": [
{
"Cidr": "18.97.0.40/32",
"IpamPoolAllocationId": "ipam-pool-alloc-0bd07df786e8148aba2763e2b6c1c44bd",
"ResourceId": "eipalloc-0c9decaa541d89aa9",
"ResourceType": "eip",
"ResourceRegion": "us-east-1",
"ResourceOwner": "320805250157"
}
]
}
```
+ Amazon CloudWatch를 사용하여 IPAM 풀에 프로비저닝된 Amazon에서 제공하는 연속적 퍼블릭 IPv4 블록과 관련된 지표를 추적하고 모니터링합니다. 연속적 IPv4 블록에만 사용할 수 있는 지표는 [IPAM 지표](cloudwatch-ipam-ip-address-usage.md) 아래의 **퍼블릭 IP 지표**를 참조하세요. 지표 보기 외에 임곗값에 도달했을 때 알려주는 경보를 Amazon CloudWatch에서 생성할 수도 있습니다. Amazon CloudWatch를 사용한 경보 생성 및 알림 설정은 이 자습서의 범위를 벗어납니다. 자세한 내용은 [Amazon CloudWatch 사용 설명서](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)의 *Amazon CloudWatch 경보 사용*을 참조하세요.
------
이제 자습서가 완료되었습니다. Amazon에서 제공하는 연속적 퍼블릭 IPv4 CIDR 블록으로 IPAM 풀을 생성하고, 풀에서 탄력적 IP 주소를 할당하고, IPAM 풀 할당을 모니터링하는 방법을 알아보았습니다. 다음 섹션으로 넘어가서 이 자습서에서 생성한 리소스를 삭제합니다.
## 정리
이 섹션의 단계에 따라 이 자습서에서 생성한 리소스를 정리합니다.
**1단계: 탄력적 IP 주소 연결 해제**
**Amazon EC2 사용 설명서의 [탄력적 IP 주소 연결 해제](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-eips.html#using-instance-addressing-eips-associating-different)의 단계에 따라 탄력적 IP 주소 연결을 해제합니다.
**2단계: 탄력적 IP 주소 해제**
**Amazon EC2 사용 설명서의 [탄력적 IP 주소 해제](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing-eips-releasing.html) 단계에 따라 퍼블릭 IPv4 풀에서 탄력적 IP 주소를 해제합니다.
**3단계: IPAM 풀에서 CIDR 프로비저닝 해제**
[풀에서 CIDR 프로비저닝 해제](depro-pool-cidr-ipam.md)의 단계를 완료하여 IPAM 풀에서 Amazon 소유 퍼블릭 CIDR 프로비저닝을 해제합니다. 이 단계는 풀 삭제에 필요합니다. 이 단계가 완료될 때까지 Amazon에서 제공하는 연속적 IPv4 블록에 대한 요금이 청구됩니다.
**4단계: IPAM 풀 삭제**
[풀 삭제](delete-pool-ipam.md)의 단계를 완료하여 IPAM 풀을 삭제합니다.
**5단계: IPAM 삭제**
[IPAM 삭제](delete-ipam.md)의 단계를 완료하여 IPAM을 삭제합니다.
자습서 정리가 완료되었습니다.