Tutorial: crear un IPAM y grupos utilizando la consola - Amazon Virtual Private Cloud

Tutorial: crear un IPAM y grupos utilizando la consola

En este tutorial se crea un IPAM, se integra con AWS Organizations, se crean grupos de direcciones IP y se crea una VPC con un CIDR a partir de un grupo de IPAM.

Este tutorial le muestra cómo puede utilizar IPAM para organizar el espacio de direcciones IP basado en diferentes necesidades de desarrollo. Una vez que haya completado este tutorial, tendrá un grupo de direcciones IP para los recursos de preproducción. A continuación, puede crear otros grupos en función de sus necesidades de enrutamiento y seguridad, como un grupo para recursos de producción.

Aunque puede utilizar IPAM como usuario único, la integración con AWS Organizations le permite gestionar direcciones IP en todas las cuentas de su organización. Este tutorial cubre la integración de IPAM con las cuentas de una organización. No explica lo siguiente: Integración de IPAM con cuentas ajenas a su organización.

nota

A efectos de este tutorial, las instrucciones le indicarán que nombre los recursos de IPAM de una forma determinada, que cree recursos IPAM en regiones específicas y que utilice rangos CIDR de direcciones IP específicos para sus grupos. Con ello se pretende conseguir una agilización de las opciones disponibles en IPAM y que pueda empezar a utilizarlo rápidamente. Una vez que haya completado este tutorial, puede decidir crear un nuevo IPAM y configurarlo de manera diferente.

Requisitos previos

Antes de empezar, debe haber creado una cuenta de AWS Organizations con al menos un miembro. Para obtener instrucciones sobre cómo hacerlo, consulte Creación y administración de una organización en la Guía del usuario de AWS Organizations.

Cómo AWS Organizations se integra con IPAM

Esta sección muestra un ejemplo de las cuentas de AWS Organizations que se utilizan en este tutorial. Hay tres cuentas en su organización que utilizará al realizar la integración con IPAM en este tutorial:

  • La cuenta de administración (llamada example-management-account en la siguiente imagen) permite iniciar sesión en la consola de IPAM y delegar un administrador de IPAM. No puede utilizar la cuenta de administración de la organización como administrador de IPAM.

  • Una cuenta miembro (llamada example-member-account-1 en la siguiente imagen) como cuenta de administrador de IPAM. La cuenta de administrador de IPAM es responsable de crear un IPAM y utilizarlo para administrar y monitorear el uso de direcciones IP en toda la organización. Cualquier cuenta de miembro de su organización puede ser delegada como administrador de IPAM.

  • Una cuenta de miembro (denominada example-member-account-2 en lo que sigue) como cuenta de desarrollador. Esta cuenta crea una VPC con un CIDR asignado desde un grupo de IPAM.

Un ejemplo de una organización AWS Organizations con ejemplos de cuentas de administración y de miembros.

Además de las cuentas, necesitará el ID de la unidad organizativa (ou-fssg-q5brfv9c en la imagen anterior) que contiene la cuenta de miembro que utilizará como cuenta de desarrollador. Se necesita este ID para que, en un paso posterior, cuando comparta su grupo de IPAM, pueda compartirlo con esta OU.

nota

Para más información sobre tipos de cuentas de AWS Organizations, como las de administración y las de miembros, consulte la terminología y los conceptos AWS Organizations.

Paso 1: Delegue un administrador de IPAM

En este paso, delegará una cuenta de miembro de AWS Organizations como administrador de IPAM. Al delegar un administrador de IPAM, se crea automáticamente un rol vinculado al servicio en cada una de sus cuentas de miembro de AWS Organizations. IPAM supervisa el uso de la dirección IP en estas cuentas asumiendo el rol vinculado al servicio en cada cuenta miembro. A continuación, puede descubrir los recursos y sus CIDR independientemente de su unidad organizativa.

No puede completar este paso a menos que tenga los permisos necesarios AWS Identity and Access Management (IAM). Para obtener más información, consulte Integración de IPAM con cuentas en una organización de AWS.

Para delegar una cuenta de administrador IPAM
  1. Utilizando la cuenta de administración de AWS Organizations, abra la consola de IPAM en https://console.aws.amazon.com/iam/.

  2. En la AWS Management Console, elija la región de AWS en la que desea trabajar con IPAM.

  3. En el panel de navegación, elija Configuración de la organización.

  4. Elija Delegar. La opción Delegar solo está disponible si ha iniciado sesión en la consola como la cuenta de administración de AWS Organizations.

  5. Introduzca el ID de cuenta de AWS para una cuenta de miembro de la organización. El administrador de IPAM debe ser una cuenta de miembro de AWS Organizations, no la cuenta de administración.

    La opción de editar la configuración en la consola de IPAM, donde se delega un administrador de IPAM.
  6. Elija Guardar cambios. La información del administrador delegado se rellena con detalles relacionados con la cuenta del miembro.

Paso 2: Cree un IPAM

En este paso, creará un IPAM. Cuando se crea un IPAM, este crea automáticamente dos ámbitos para el mismo: el ámbito privado, destinado a todo el espacio privado, y el ámbito público, destinado a todo el espacio público. Los alcances, junto con los grupos y las asignaciones, son componentes clave de su IPAM. Para obtener más información, consulte Cómo funciona IPAM.

Para crear un IPAM
  1. Utilizando la cuenta de miembro AWS Organizations delegada como administrador de IPAM en el paso anterior, abra la consola de IPAM en https://console.aws.amazon.com/ipam/.

  2. En la AWS Management Console, elija la región de AWS en la que desea crear el IPAM. Cree el IPAM en su región principal de operaciones.

  3. En la página de inicio del servicio, elija Create IPAM (Crear IPAM).

  4. Seleccione Allow Amazon VPC IP Address Manager to replicate data from source account(s) into the IPAM delegate account (Permitir al Administrador de direcciones IP de Amazon VPC replicar los datos de las cuentas de origen en la cuenta delegada de IPAM). Si no selecciona esta opción, no puede crear un IPAM.

    Cree una página de IPAM en la consola de IPAM que incluya una descripción de la casilla de verificación Permitir que IP Address Manager de Amazon VPC replique datos de las cuentas de origen en la cuenta delegada de IPAM.
  5. En Regiones operativas, seleccione las regiones de AWS en las que este IPAM puede administrar y localizar recursos. La región de AWS en la que va a crear su IPAM se selecciona automáticamente como una de las regiones operativas. En este tutorial, la región de origen de nuestro IPAM es us-east-1, por lo que elegiremos us-west-1 y us-west-2 como regiones operativas adicionales. Si olvida una región operativa, puede editar la configuración de IPAM más tarde y añadir o eliminar regiones.

    Sección de configuración de IPAM en la consola de IPAM.
  6. Elija Create IPAM (Crear IPAM).

    La página de resultados en la consola de IPAM después de crear con éxito un IPAM.

Paso 3: Cree un grupo de IPAM de nivel superior

En este tutorial, se crea una jerarquía de grupos, empezando por el grupo de IPAM de nivel superior. En los pasos siguientes, creará un par de grupos regionales y un grupo de desarrollo para preproducción en uno de los grupos regionales.

Para más información sobre las jerarquías de grupos que se pueden crear con IPAM, consulte Ejemplos de planes de grupos de IPAM.

Crear un grupo de nivel superior
  1. Utilizando la cuenta de administrador de IPAM, abra la consola de IPAM en https://console.aws.amazon.com/ipam/.

  2. En el panel de navegación, elija Pools (Grupos).

  3. Seleccione el ámbito privado.

    Elegir el ámbito privado en la consola de IPAM.
  4. Elija Create pool (Crear grupo).

  5. En Álcance de IPAM, deje seleccionado el alcance privado.

  6. (Opcional) Añada una etiqueta de nombre y una descripción para el grupo, como “Grupo global”.

  7. En Origen, elija Alcance del IPAM. Dado que se trata de un grupo de nivel superior, no tendrá un grupo de origen.

  8. En Address family (Familia de direcciones), elija IPv6.

  9. En Planificación de recursos, deje seleccionado Planificar el espacio de IP en el alcance. Para obtener más información sobre el uso de esta opción a fin de planificar el espacio de IP de subred en una VPC, consulte Tutorial: Planificar el espacio de direcciones IP de la VPC para las asignaciones de IP de subred.

  10. Para Locale (Configuración regional), elija None (Ninguna). Las cuentas regionales son las regiones de AWS en las que desea que este grupo de IPAM esté disponible para asignaciones. En la siguiente sección de este tutorial establecerá la configuración regional de los grupos regionales que cree.

    Creación de un grupo en la consola de IPAM.
  11. Elija un CIDR para aprovisionar al grupo. En este ejemplo, aprovisionamos 10,0.0.0/16.

    Definir qué CIDR aprovisionar para un grupo en la consola de IPAM.
  12. Deje deshabilitada la opción Configuración de las reglas de asignación de este grupo. Este es nuestro grupo de nivel superior, y no se asignarán CIDR a las VPC directamente desde este grupo. En su lugar, los asignará desde un grupo secundario que creará a partir de este grupo.

    Elección de la configuración de las reglas de asignación para un grupo en la consola de IPAM.
  13. Elija Create pool (Crear grupo). El grupo se crea y el CIDR se encuentra en estado Pendiente de aprovisionamiento:

    Mensaje de aprovisionamiento pendiente en la consola de IPAM después de crear un grupo.
  14. Espere a que el estado sea Aprovisionado antes de pasar al siguiente paso.

    Mensaje Aprovisionado en la consola de IPAM después de crear un grupo correctamente.

Ahora que ha creado el grupo de nivel superior, creará grupos regionales en us-west-1 y us-west-2.

Paso 4: Cree grupos de IPAM regionales

Esta sección muestra cómo organizar direcciones IP utilizando dos grupos regionales. En este tutorial, seguiremos uno de los planes de grupo de IPAM de ejemplo y crearemos dos grupos regionales que pueden utilizarse por las cuentas miembro de la organización para asignar CIDR a las VPC.

Crear un grupo regional
  1. Utilizando la cuenta de administrador de IPAM, abra la consola de IPAM en https://console.aws.amazon.com/ipam/.

  2. En el panel de navegación, elija Pools (Grupos).

  3. Seleccione el ámbito privado.

    Elegir el ámbito privado en la consola de IPAM.
  4. Elija Create pool (Crear grupo).

  5. En Álcance de IPAM, deje seleccionado el alcance privado.

  6. (Opcional) Añada una etiqueta de nombre y una descripción para el grupo, como Grupo regional us-west-1.

    Añadir un nombre para un grupo en la consola de IPAM.
  7. En Origen, seleccione Grupo de IPAM y seleccione el grupo de nivel superior (“Grupo global”) que creó en Paso 3: Cree un grupo de IPAM de nivel superior. A continuación, en Configuración regional, elija us-west-1.

    Elección de un grupo origen en la consola de IPAM.
  8. En Planificación de recursos, deje seleccionado Planificar el espacio de IP en el alcance. Para obtener más información sobre el uso de esta opción a fin de planificar el espacio de IP de subred en una VPC, consulte Tutorial: Planificar el espacio de direcciones IP de la VPC para las asignaciones de IP de subred.

  9. En CIDR a aprovisionar, introduzca 10,0.0.0/18, lo que proporcionará a este grupo unas 16 000 direcciones IP disponibles.

    Elección de los CIDR a aprovisionar para el grupo en la consola de IPAM.
  10. Deje deshabilitada la opción Configuración de las reglas de asignación de este grupo. No asignará ningún CIDR a las VPC directamente desde este grupo. En su lugar, los asignará desde un grupo secundario que creará a partir de este grupo.

    Alternar la opción Configurar los ajustes de las reglas de asignación de este grupo en la consola de IPAM.
  11. Elija Create pool (Crear grupo).

  12. Vuelva a la vista Grupos para ver la jerarquía de los grupos de IPAM que ha creado.

    Vista Grupos con dos grupos en la consola de IPAM.
  13. Repita los pasos de esta sección y cree un segundo grupo regional en la configuración regional de us-west-2 con el CIDR 10,0.64.0/18 asignado. Cuando complete ese proceso, tendrá tres grupos en una jerarquía similar a esta:

    Vista Grupos con tres grupos en la consola de IPAM.

Paso 5: Cree un grupo de desarrollo para preproducción

Siga los pasos de esta sección para crear un grupo de desarrollo para recursos de preproducción dentro de uno de sus grupos regionales.

Crear un grupo de desarrollo para preproducción
  1. De la misma manera que en la sección anterior, usando la cuenta de administrador de IPAM, cree un grupo llamado Grupo de preproducción, pero esta vez use el Grupo regional us-west-1 como grupo de origen.

    Creación de un grupo en la consola de IPAM.
  2. Especifique un CIDR de 10.0.0.0/20 para aprovisionar, lo que dará a este grupo unas 4000 direcciones IP.

    Elección de CIDR para un grupo en la consola de IPAM.
  3. Habilite la opción Configurar los ajustes de las reglas de asignación de este grupo. Haga lo siguiente:

    1. En Administración de CIDR, en Importar automáticamente los recursos localizados, deje seleccionada la opción predeterminada No permitir. Esta opción permite a IPAM importar automáticamente los CIDR de recursos que identifica en la configuración regional del grupo. Una descripción detallada de esta opción está fuera del marco de este tutorial, pero puede leer más sobre ella en Creación de un grupo IPv4 de nivel superior.

    2. En Conformidad con la máscara de red, elija /24 como longitud mínima, predeterminada y máxima de la máscara de red. Una descripción detallada de esta opción está fuera del marco de este tutorial, pero puede leer más sobre ella en Creación de un grupo IPv4 de nivel superior. Es importante tener en cuenta que la VPC que cree más tarde con un CIDR de este grupo se limitará a /24 en función de lo que hayamos establecido aquí.

    3. En Conformidad de la etiqueta, introduzca entorno/preproducción. Esta etiqueta será necesaria para que las VPC asignen espacio del grupo. Más adelante veremos cómo funciona.

    Vista de todos los ajustes del grupo al crear un grupo en la consola de IPAM.
  4. Elija Create pool (Crear grupo).

  5. La jerarquía de grupos incluye ahora un grupo secundario adicional bajo el Grupo regional us-west-1:

    Vista Grupo con cuatro grupos en la consola de IPAM.

Ahora ya puede compartir el grupo de IPAM con otra cuenta de miembro en su organización y habilitarla a fin de que asigne un CIDR del grupo y crear una VPC.

Paso 6: Comparta el grupo de IPAM

Siga los pasos de esta sección para compartir el grupo de IPAM de preproducción utilizando AWS Resource Access Manager (RAM).

Esta sección se compone de dos subsecciones:

Paso 6.1. Habilitar el uso compartido de recursos en AWS RAM

Después de crear su IPAM, podrá compartir grupos de direcciones IP con otras cuentas de su organización. Antes de compartir un grupo de IPAM, complete los pasos de esta sección para habilitar el uso compartido de recursos con AWS RAM.

Habilitar el uso compartido de recursos
  1. Utilizando la cuenta de administración AWS Organizations, abra la consola AWS RAM en https://console.aws.amazon.com/ram/.

  2. En el panel de navegación izquierdo, seleccione Configuración, seleccione Habilitar uso compartido con AWS Organizations y, a continuación, seleccione Guardar configuración.

    Habilitación del uso compartido en la organización desde la consola AWS RAM.

Ahora puede compartir un grupo de IPAM con otros miembros de la organización.

Paso 6.2. Compartir un grupo de IPAM mediante AWS RAM

En esta sección compartirá el grupo de desarrollo de preproducción con otra cuenta de miembro de AWS Organizations. Para instrucciones completas sobre cómo compartir grupos de IPAM, incluyendo información sobre los permisos de IAM requeridos, consulte Compartir un grupo de IPAM mediante AWS RAM.

Compartir un grupo de IPAM mediante AWS RAM
  1. Utilizando la cuenta de administrador de IPAM, abra la consola de IPAM en https://console.aws.amazon.com/ipam/.

  2. En el panel de navegación, elija Pools (Grupos).

  3. Seleccione el ámbito privado, elija el grupo de IPAM de preproducción y seleccione Acciones > Ver detalles.

  4. En Resource sharing (Uso compartido de recursos), elija Create resource share (Crear recursos compartidos). Se abrirá la consola de AWS RAM. Se compartirá el grupo utilizando AWS RAM.

  5. Elija Create a resource share (Crear un recurso compartido).

    Creación de un recurso compartido en la consola de IPAM.

    Se abrirá la consola de AWS RAM.

  6. En la consola AWS RAM, seleccione de nuevo Crear un recurso compartido.

  7. Añada un Nombre para el grupo compartido.

  8. En Seleccionar tipo de recurso, elija Grupos de IPAM y, a continuación, seleccione el ARN del grupo de desarrollo de preproducción.

    Creación de un recurso compartido en la consola AWS RAM.
  9. Elija Siguiente.

  10. Deje seleccionado el permiso predeterminado AWSRAMDefaultPermissionsIpamPool. Los detalles de las opciones de permiso están fuera del marco de este tutorial, pero puede encontrar más información sobre estas opciones en Compartir un grupo de IPAM mediante AWS RAM.

    Asociar permisos sobre un recurso compartido en la consola AWS RAM.
  11. Elija Siguiente.

  12. En Entidades principales, seleccione Permitir compartir solo dentro de la organización. Introduzca el ID de unidad de su organización AWS Organizations (como se menciona en Cómo AWS Organizations se integra con IPAM) y luego seleccione Añadir.

    Conceder acceso a un recurso compartido en la consola AWS RAM.
  13. Elija Siguiente.

  14. Revise las opciones de recurso compartido y las entidades principales con las que se compartirá y seleccione Crear.

Ahora que se ha compartido el grupo, vaya al siguiente paso para crear una VPC con un CIDR asignado desde un grupo de IPAM.

Paso 7: Cree una VPC con un CIDR asignado desde un grupo de IPAM

Siga los pasos de esta sección para crear una VPC con un CIDR asignado del grupo de preproducción. Este paso debe completarse con la cuenta miembro en la OU con la que se compartió el grupo de IPAM en la sección anterior (llamada example-member-account-2 en Cómo AWS Organizations se integra con IPAM). Para más información sobre los permisos de IAM necesarios para crear VPC, consulte Ejemplos de políticas de Amazon VPC en la Guía del usuario de Amazon VPC.

Crear una VPC con un CIDR asignado desde un grupo de IPAM
  1. Utilizando la cuenta de miembro, abra la consola de la VPC en https://console.aws.amazon.com/vpc/ con la cuenta de miembro que utilizará como cuenta de desarrollador.

  2. Seleccione Crear VPC.

  3. Haga lo siguiente:

    1. Introduzca un nombre, como VPC de ejemplo.

    2. Elija el bloque de CIDR IPv4 asignado por IPAM.

    3. En el grupo IPv4 de IPAM, seleccione el ID del grupo de preproducción.

    4. Elija una longitud de máscara de red. Como ha limitado la longitud de máscara de red disponible para este grupo a /24 (en Paso 5: Cree un grupo de desarrollo para preproducción), la única opción de máscara de red disponible es /24.

      Creación de una VPC en la consola de Amazon VPC.
  4. Para fines de demostración, en Etiquetas, no añada ninguna etiqueta adicional en este momento. Cuando creó el grupo de preproducción (en Paso 5: Cree un grupo de desarrollo para preproducción), agregó una regla de asignación que requería que cualquier VPC del grupo que se creara con CIDR tuviera la etiqueta entorno/preproducción. Deje la etiqueta entorno/preproducción desactivada por ahora para que pueda ver que aparece un error que le indica que no se ha añadido la etiqueta necesaria.

  5. Seleccione Crear VPC.

  6. Aparece un error que le indica que no se ha añadido una etiqueta obligatoria. El error aparece porque ha establecido una regla de asignación al crear el grupo de preproducción (en Paso 5: Cree un grupo de desarrollo para preproducción). La regla de asignación requería que cualquier VPC creada con CIDR de este grupo tuviera una etiqueta de entorno/preproducción.

    Error al crear una VPC en la consola de Amazon VPC.
  7. Ahora, en Etiquetas, añada la etiqueta entorno/preproducción y vuelva a seleccionar Crear VPC.

    Añadir etiquetas a una VPC en la consola de Amazon VPC.
  8. La VPC se crea correctamente y cumple con la regla de etiquetas en el grupo de preproducción:

    Creación correcta de una VPC en la consola de Amazon VPC.

En el panel Recursos de la consola de IPAM, el administrador de IPAM podrá ver y administrar la VPC y el CIDR asignado. Tenga en cuenta que la VPC tarda algún tiempo en aparecer en el panel Recursos.

Paso 8: Eliminar

En este tutorial, ha creado un IPAM con un administrador delegado, ha creado múltiples grupos y ha habilitado una cuenta de miembro en su organización para asignar un CIDR de VPC desde un grupo.

Siga los pasos de esta sección para eliminar los recursos que ha creado en este tutorial.

Para eliminar los recursos que se han creado en este tutorial
  1. Utilizando la cuenta de miembro que ha creado esta VPC de ejemplo, elimine la VPC. Para instrucciones detalladas, consulte Eliminar su VPC en la Guía del usuario de Amazon Virtual Private Cloud.

  2. Utilizando la cuenta de administrador de IPAM, elimine el recurso compartido de ejemplo en la consola AWS RAM. Para instrucciones detalladas, consulte Eliminar un recurso compartido en AWSAWS RAM en la Guía del usuario de AWS Resource Access Manager.

  3. Utilizando la cuenta de administrador de IPAM, inicie sesión en la consola RAM y desactive la compartición con AWS Organizations que habilitó en Paso 6.1. Habilitar el uso compartido de recursos en AWS RAM.

  4. Utilizando la cuenta de administrador de IPAM, elimine el IPAM de ejemplo seleccionándolo en la consola de IPAM y eligiendo Acciones > Eliminar. Para obtener instrucciones detalladas, consulte Eliminar un IPAM.

  5. Cuando aparezca la opción de borrar el IPAM, elija Borrar en cascada. Esto borrará todos los entornos y grupos dentro del IPAM antes de borrar el IPAM.

    Eliminación de un IPAM en la consola de IPAM.
  6. Escriba delete y haga clic en Eliminar.

  7. Utilizando la cuenta de administrador AWS Organizations, inicie sesión en la consola de IPAM, seleccione Configuración y elimine la cuenta de administrador delegado.

  8. (Opcional) Cuando se integra IPAM con AWS Organizations, IPAM crea automáticamente un rol vinculado al servicio en cada cuenta de miembro. Utilizando cada una de las cuentas de miembro de AWS Organizations, inicie sesión en IAM y elimine el rol vinculado al servicio AWSServiceRoleForIPAM en todas las cuentas de miembro.

  9. Ha completado la limpieza.