Apportez votre propre CIDR IPv6 sur IPAM en utilisant uniquement laAWSCLI - Amazon Virtual Private Cloud
Étape 1 : Création de profils d'AWS CLI nommés et de rôles IAMÉtape 2 : création d'un IPAMÉtape 3 : création d'un groupe IPAMÉtape 4 : approvisionnement d'un CIDR au groupe de niveau supérieurÉtape 5 : Création d'un groupe régional dans le groupe de niveau supérieurÉtape 6 : approvisionnement d'un CIDR au groupe régionalÉtape 7. Partager le groupe régionalÉtape 8 : création d'un VPC à l'aide du CIDR IPv6Étape 9 : publication du CIDRÉtape 10 : nettoyage

Apportez votre propre CIDR IPv6 sur IPAM en utilisant uniquement laAWSCLI

Suivez ces étapes pour fournir un CIDR IPv6 à IPAM et allouer un VPC en utilisant uniquement AWS CLI.

Si vous n’avez pas besoin de publier vos adresses IPv6 sur Internet, vous pouvez fournir une adresse IPv6 GUA privée à un IPAM. Pour en savoir plus, consultez Activer le provisionnement de CIDR GUA IPv6 privés.

Important

Étape 1 : Création de profils d'AWS CLI nommés et de rôles IAM

Pour suivre ce didacticiel en tant qu'utilisateur AWS unique, vous pouvez utiliser des profils nommés AWS CLI pour passer d'un rôle IAM à un autre. Les profils nommés sont des ensembles de paramètres et d'informations d'identification auxquels vous vous référez lorsque vous utilisez l'option --profile associée à l'AWS CLI. Pour plus d'informations sur la création de rôles IAM et de profils nommés pour les comptes AWS, voir Utilisation d'un rôle IAM dans la CLI AWS dans le Guide de l'utilisateur AWS Identity and Access Management.

Créez un rôle et un profil nommé pour chacun des trois comptes AWS que vous utiliserez dans ce didacticiel :

  • Un profil appelémanagement-accountpour leAWSCompte de gestion Organizations.

  • Un profil appelé ipam-accountpour le AWSCompte membre Organizations configuré pour être votre administrateur IPAM.

  • Un profil appelé member-accountpour le AWSCompte membre Organizations de votre organisation qui allouera des CIDR à partir d'un groupe IPAM.

Une fois que vous avez créé les rôles IAM et les profils nommés, revenez à cette page et passez à l'étape suivante. Vous remarquerez tout au long de ce didacticiel que l'échantillon AWS CLI commande l'utilisation de --profile l'option avec l'un des profils nommés pour indiquer quel compte doit exécuter la commande.

Étape 2 : création d'un IPAM

Cette étape est facultative. Si vous avez déjà créé un IPAM avec les Régions d'exploitation de us-east-1 et us-west-2 créées, vous pouvez ignorer cette étape. Créez un IPAM et spécifiez une Région d'exploitation de us-east-1 et us-west-2. Vous devez sélectionner une Région d'exploitation pour pouvoir utiliser l'option des paramètres régionaux lorsque vous créez votre groupe IPAM. L'intégration IPAM avec BYOIP nécessite que les paramètres régionaux soient définis sur le groupe utilisé pour le CIDR BYOIP.

Cette étape doit être réalisée par le compte IPAM.

Exécutez la commande suivante :

aws ec2 create-ipam --description my-ipam --region us-east-1 --operating-regions RegionName=us-west-2 --profile ipam-account

Dans la sortie, vous verrez l'IPAM que vous avez créé. Provisionnez un bloc d'adresse CIDR au groupe de niveau supérieur. Vous aurez besoin de votre ID de portée publique à l'étape suivante.

{
 "Ipam": {                                                                         
        "OwnerId": "123456789012",
        "IpamId": "ipam-090e48e75758de279",                                           
        "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",  
        "PublicDefaultScopeId": "ipam-scope-0087d83896280b594",                       
        "PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",                      
        "ScopeCount": 2,                                                              
        "Description": "my-ipam",                                                     
        "OperatingRegions": [                                                         
            {                                                                         
                "RegionName": "us-east-1"                                             
            },
            {
                "RegionName": "us-west-2"
            }                                                                       
        ],                                                                            
        "Tags": []                                                                    
    }                                                                                 
}

Étape 3 : création d'un groupe IPAM

Puisque vous allez créer un groupe IPAM de niveau supérieur contenant un groupe régional et que nous allons allouer de l'espace à une ressource (un VPC) à partir du groupe régional, vous définirez les paramètres régionaux sur le groupe régional, et non sur le groupe de niveau supérieur. Vous ajouterez les paramètres régionaux au groupe régional lorsque vous le créerez à une étape ultérieure. L'intégration IPAM avec BYOIP nécessite que les paramètres régionaux soient définis sur le groupe utilisé pour le CIDR BYOIP.

Cette étape doit être réalisée par le compte IPAM.

Déterminez si vous souhaitez que ce CIDR de groupe IPAM soit publié par AWS sur l'Internet public (--publicly-advertisable ou --no-publicly-advertisable).

Note

Notez que l'ID de portée doit équivaloir à l'ID de portée publique et que la famille d'adresses doit être ipv6.

Pour créer un groupe d'adresses IPv6 pour toutes vos ressources AWS à l'aide de l'AWS CLI

  1. Exécutez la commande suivante pour créer un groupe IPAM. Utilisez l'ID de portée publique de l'IPAM que vous avez créé à l'étape précédente.

    aws ec2 create-ipam-pool --region us-east-1 --ipam-scope-id ipam-scope-0087d83896280b594 --description "top-level-IPv6-pool" --address-family ipv6 --publicly-advertisable --profile ipam-account

    Dans la sortie, vous verrez apparaître create-in-progress, qui indique que la création du groupe est en cours.

    {
    "IpamPool": {                                                                                             
        "OwnerId": "123456789012",
        "IpamPoolId": "ipam-pool-07f2466c7158b50c4",                                                          
        "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-07f2466c7158b50c4",            
        "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",         
        "IpamScopeType": "public",                                                                            
        "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",                          
        "Locale": "None",                                                                                     
        "PoolDepth": 1,                                                                                       
        "State": "create-in-progress",                                                                        
        "Description": "top-level-Ipv6-pool",                                                                 
        "AutoImport": false,                                                                                  
        "Advertisable": true,                                                                                 
        "AddressFamily": "ipv6",                                                                              
        "Tags": []                                                                                            
    }                                                                                                         
}

  2. Exécutez la commande suivante jusqu'à ce que l'état create-complete apparaisse dans la sortie.

    aws ec2 describe-ipam-pools --region us-east-1 --profile ipam-account

    L'exemple de sortie suivant illustre l'état du groupe.

    {
    "IpamPool": {                                                                                             
        "OwnerId": "123456789012",
        "IpamPoolId": "ipam-pool-07f2466c7158b50c4",                                                          
        "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-07f2466c7158b50c4",            
        "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",         
        "IpamScopeType": "public",                                                                            
        "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",                          
        "Locale": "None",                                                                                     
        "PoolDepth": 1,                                                                                       
        "State": "create-complete",                                                                        
        "Description": "top-level-Ipv6-pool",                                                                 
        "AutoImport": false,                                                                                  
        "Advertisable": true,                                                                                 
        "AddressFamily": "ipv6",                                                                              
        "Tags": []                                                                                            
    }                                                                                                         
}

Étape 4 : approvisionnement d'un CIDR au groupe de niveau supérieur

Allouez un bloc d'adresse CIDR au groupe de niveau supérieur. Notez que lors du provisionnement d’un CIDR IPv6 dans un groupe au sein du groupe de premier niveau, la plage d’adresses IPv6 la plus spécifique que vous pouvez apporter est /48 pour les CIDR qui peuvent être annoncés publiquement et /60 pour les CIDR qui ne peuvent pas être annoncés publiquement.

Note

Vous devez uniquement vérifier le contrôle du domaine lorsque vous provisionnez le CIDR BYOIP au groupe de niveau supérieur. Pour le groupe régional au sein du groupe de niveau supérieur, vous pouvez omettre l’option de propriété du domaine.

Cette étape doit être réalisée par le compte IPAM.

Pour provisionner un bloc d'adresse CIDR au groupe à l'aide d'AWS CLI

  1. Pour fournir au CIDR des informations de certificat, utilisez l’exemple de commande suivant. En plus de remplacer les valeurs selon les besoins dans l’exemple, assurez-vous de remplacer les valeurs Message et Signature par les valeurs text_message et signed_message que vous avez saisies dans Vérifiez votre domaine avec un certificat X.509.

    aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --cidr 2605:9cc0:409::/48 --verification-method remarks-x509 --cidr-authorization-context Message="1|aws|470889052444|2605:9cc0:409::/48|20250101|SHA256|RSAPSS",Signature="FU26~vRG~NUGXa~akxd6dvdcCfvL88g8d~YAuai-CR7HqMwzcgdS9RlpBGtfIdsRGyr77LmWyWqU9Xp1g2R1kSkfD00NiLKLcv9F63k6wdEkyFxNp7RAJDvF1mBwxmSgH~Crt-Vp6LON3yOOXMp4JENB9uM7sMlu6oeoutGyyhXFeYPzlGSRdcdfKNKaimvPCqVsxGN5AwSilKQ8byNqoa~G3dvs8ueSaDcT~tW4CnILura70nyK4f2XzgPKKevAD1g8bpKmOFMbHS30CxduYknnDl75lvEJs1J91u3-wispI~r69fq515UR19TA~fmmxBDh1huQ8DkM1rqcwveWow__" --profile ipam-account

    Pour fournir au CIDR des informations sur les jetons de vérification, utilisez l’exemple de commande suivant. En plus de remplacer les valeurs comme nécessaire dans l’exemple, assurez-vous de remplacer ipam-ext-res-ver-token-0309ce7f67a768cf0 par l’ID du jeton IpamExternalResourceVerificationTokenId que vous avez obtenu dans Vérifiez votre domaine à l’aide d’un enregistrement DNS TXT.

    aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --cidr 2605:9cc0:409::/48 --verification-method dns-token --ipam-external-resource-verification-token-id ipam-ext-res-ver-token-0309ce7f67a768cf0 --profile ipam-account

    Dans la sortie, vous verrez le CIDR en attente d'approvisionnement.

    {
    "IpamPoolCidr": {                                                                                         
        "Cidr": "2605:9cc0:409::/48",                                                                    
        "State": "pending-provision"                                                                          
    }                                                                                                         
}

  2. Vérifiez que ce CIDR a été provisionné avant de continuer.

    Important

    Bien que la plupart des approvisionnements soient effectués dans les deux heures, le processus d’allocation des plages qui peuvent être annoncées publiquement peut durer jusqu’à une semaine.

    Exécutez la commande suivante jusqu'à ce que l'état provisioned apparaisse dans la sortie.

    aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --profile ipam-account

    L'exemple de sortie suivant illustre l'état.

    {
    "IpamPoolCidrs": [
        {
            "Cidr": "2605:9cc0:409::/48",
            "State": "provisioned"
        }
    ]
}

Étape 5 : Création d'un groupe régional dans le groupe de niveau supérieur

Créez un groupe régional dans le groupe de niveau supérieur. --locale est obligatoire sur le groupe ; il doit s'agir de l'une des Régions d'exploitation que vous avez configurées lors de la création de l'IPAM.

Cette étape doit être réalisée par le compte IPAM.

Important

Lorsque vous créez le groupe, vous devez inclure --aws-service ec2. Le service que vous sélectionnez détermine le service AWS où le CIDR pourra être annoncé. Actuellement, la seule option est ec2, ce qui signifie que les CIDR alloués à partir de ce groupe pourront être annoncés pour le service Amazon EC2 et le service Amazon VPC (pour les CIDR associés aux VPC).

Pour créer un groupe régional à l'aide de l'AWS CLI

  1. Exécutez la commande suivante pour créer le groupe.

    aws ec2 create-ipam-pool --description "Regional-IPv6-pool" --region us-east-1 --ipam-scope-id ipam-scope-0087d83896280b594 --source-ipam-pool-id ipam-pool-07f2466c7158b50c4 --locale us-west-2 --address-family ipv6 --aws-service ec2 --profile ipam-account

    Dans la sortie, vous verrez IPAM en cours de création du groupe.

    {
    "IpamPool": {
        "OwnerId": "123456789012",
        "IpamPoolId": "ipam-pool-0053b7d2b4fc3f730",
        "SourceIpamPoolId": "ipam-pool-07f2466c7158b50c4",
        "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0053b7d2b4fc3f730",
        "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
        "IpamScopeType": "public",
        "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
        "Locale": "us-west-2",
        "PoolDepth": 2,
        "State": "create-in-progress",
        "Description": "reg-ipv6-pool",
        "AutoImport": false,
        "Advertisable": true,
        "AddressFamily": "ipv6",
        "Tags": [],
        "ServiceType": "ec2"
    }
}

  2. Exécutez la commande suivante jusqu'à ce que l'état de create-complete apparaisse dans la sortie.

    aws ec2 describe-ipam-pools --region us-east-1 --profile ipam-account

    Dans la sortie, vous verrez les groupes que vous avez dans votre IPAM. Dans ce tutoriel, nous avons créé un groupe de niveau supérieur et un groupe régional. Vous verrez donc les deux.

Étape 6 : approvisionnement d'un CIDR au groupe régional

Provisionnez un bloc d'adresse CIDR au groupe régional. Notez que lors du provisionnement d’un CIDR dans un groupe au sein du groupe de premier niveau, la plage d’adresses IPv6 la plus spécifique que vous pouvez apporter est /48 pour les CIDR qui peuvent être annoncés publiquement et /60 pour les CIDR qui ne peuvent pas être annoncés publiquement.

Cette étape doit être réalisée par le compte IPAM.

Pour attribuer un bloc d'adresse CIDR au groupe régional à l'aide d'AWS CLI

  1. Exécutez la commande suivante pour provisionner le CIDR.

    aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --cidr 2605:9cc0:409::/48 --profile ipam-account

    Dans la sortie, vous verrez le CIDR en attente d'approvisionnement.

    {
    "IpamPoolCidr": {
        "Cidr": "2605:9cc0:409::/48",
        "State": "pending-provision"
    }
}

  2. Exécutez la commande suivante jusqu'à ce que l'état de provisioned apparaisse dans la sortie.

    aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account

    L'exemple de sortie suivant illustre le bon état.

    {
    "IpamPoolCidrs": [                                                        
        {                                                                     
            "Cidr": "2605:9cc0:409::/48",                                
            "State": "provisioned"                                            
        }                                                                     
    ]                                                                         
}

Étape 7. Partager le groupe régional

Suivez les étapes de cette section pour partager le groupe IPAM en utilisant AWS Resource Access Manager (RAM).

Activer le partage des ressources dans AWS RAM

Après avoir créé votre IPAM, partagez le groupe régional avec d'autres comptes de votre organisation. Avant de partager un groupe IPAM, suivez les étapes de cette section pour activer le partage des ressources avec AWS RAM. Si vous utilisez le AWS CLI pour activer le partage des ressources, utilisez l'option --profile management-account.

Pour activer le partage des ressources

  1. À l'aide du compte de gestion AWS Organizations, ouvrez la console AWS RAM à l'adresse suivante : https://console.aws.amazon.com/ram/.

  2. Dans le volet de navigation de gauche, choisissez Paramètres, choisissez Activer le partage avec AWS Organizations, puis choisissez Enregistrer les paramètres.

Vous pouvez désormais partager un groupe IPAM avec d'autres membres de l'organisation.

Partager d'un groupe IPAM à l'aide deAWS RAM

Dans cette section, vous partagerez le groupe régional avec un autre compte membre AWS Organizations. Pour obtenir des instructions complètes sur le partage de groupes IPAM, y compris des informations sur les autorisations IAM requises, consultez Partage d'un groupe IPAM à l'aide d'AWS RAM. Si vous utilisez le AWS CLI pour activer le partage des ressources, utilisez l'option --profile ipam-account.

Pour partager un groupe IPAM à l'aide de AWS RAM

  1. À l'aide du compte administrateur IPAM, ouvrez la console IPAM à l'adresse suivante : https://console.aws.amazon.com/ipam/.

  2. Dans le panneau de navigation, choisissez Pools (Groupes).

  3. Choisissez la portée privée, choisissez le groupe IPAM, puis choisissez Actions > Afficher les détails.

  4. Sous Resource sharing (Partage de ressources), sélectionnez Create resource share (Créer un partage de ressources). La console AWS RAM s’ouvre. Vous partagez le groupe en utilisant AWS RAM.

  5. Sélectionnez Create a resource share (Créer un partage de ressources).

  6. Dans la console AWS RAM, sélectionnez à nouveau Créer un partage de ressources.

  7. Ajoutez un Nom pour la ressource partagée.

  8. Sous Sélectionner le type de ressource, choisissez Groupes IPAM, puis choisissez l’ARN du groupe que vous souhaitez partager.

  9. Choisissez Suivant.

  10. Sélectionnez l'autorisation AWSRAMPermissionIpamPoolByoipCidrImport. Les détails des options d'autorisation ne sont pas abordés dans ce didacticiel, mais vous pouvez en savoir plus sur ces options dans Partage d'un groupe IPAM à l'aide d'AWS RAM.

  11. Choisissez Suivant.

  12. Dans Principaux > Sélectionner le type de principal, choisissez Compte AWS, saisissez l'ID du compte qui transmettra une plage d'adresses IP à IPAM, puis choisissez Ajouter.

  13. Choisissez Suivant.

  14. Examinez les options de partage de ressources et les principaux avec lesquels vous procéderez au partage, puis sélectionnez Créer.

  15. Pour autoriser le compte member-account à allouer les CIDR de l’adresse IP à partir du groupe IPAM, créez un deuxième partage de ressources avec AWSRAMDefaultPermissionsIpamPool. La valeur pour --resource-arns est l'ARN du groupe IPAM que vous avez créé dans la section précédente. La valeur de --principals est l’ID de compte du member-account. La valeur pour --permission-arns est l'ARN de l'autorisation AWSRAMDefaultPermissionsIpamPool.

Étape 8 : création d'un VPC à l'aide du CIDR IPv6

Créez un VPC à l'aide de l'ID de groupe IPAM. Vous devez associer un bloc d'adresse CIDR IPv4 au VPC et utiliser l'option --cidr-block ou la demande échouera. Lorsque vous exécutez la commande dans cette section, la valeur de --region doit correspondre à l'option --locale que vous avez saisie lorsque vous avez créé le groupe qui sera utilisé pour le CIDR BYOIP.

Cette étape doit être effectuée par le compte membre.

Pour créer un VPC avec le CIDR IPv6 à l'aide de l'AWS CLI

  1. Exécutez la commande suivante pour provisionner le CIDR.

    aws ec2 create-vpc --region us-west-2 --ipv6-ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --cidr-block 10.0.0.0/16 --ipv6-netmask-length 56 --profile member-account

    Dans la sortie, vous verrez le VPC en cours de création.

    {
    "Vpc": {
        "CidrBlock": "10.0.0.0/16",
        "DhcpOptionsId": "dopt-2afccf50",
        "State": "pending",
        "VpcId": "vpc-00b5573ffc3b31a29",
        "OwnerId": "123456789012",
        "InstanceTenancy": "default",
        "Ipv6CidrBlockAssociationSet": [
            {
                "AssociationId": "vpc-cidr-assoc-01b5703d6cc695b5b",
                "Ipv6CidrBlock": "2605:9cc0:409::/56",
                "Ipv6CidrBlockState": {
                    "State": "associating"
                },
                "NetworkBorderGroup": "us-east-1",
                "Ipv6Pool": "ipam-pool-0053b7d2b4fc3f730"
            }
        ],
        "CidrBlockAssociationSet": [
            {
                "AssociationId": "vpc-cidr-assoc-09cccb07d4e9a0e0e",
                "CidrBlock": "10.0.0.0/16",
                "CidrBlockState": {
                    "State": "associated"
                }
            }
        ],
        "IsDefault": false
    }
}

  2. Affichez l'allocation du VPC dans IPAM.

    aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account

    Dans la sortie, vous verrez l'allocation dans IPAM.

    {
    "IpamPoolAllocations": [
        {
            "Cidr": "2605:9cc0:409::/56",
            "IpamPoolAllocationId": "ipam-pool-alloc-5f8db726fb9e4ff0a33836e649283a52",
            "ResourceId": "vpc-00b5573ffc3b31a29",
            "ResourceType": "vpc",
            "ResourceOwner": "123456789012"
        }
    ]
}

Étape 9 : publication du CIDR

Une fois que vous avez créé le VPC avec le CIDR alloué dans IPAM, vous pouvez commencer à publier le CIDR que vous avez fourni à AWS, et qui est dans un groupe ayant --aws-service ec2 défini. Dans ce tutoriel, il s'agit de votre groupe régional. Par défaut, le CIDR n'est pas publié, ce qui signifie qu'il n'est pas accessible publiquement sur Internet. Lorsque vous exécutez la commande dans cette section, la valeur de --region doit correspondre à l'option --locale que vous avez saisie lorsque vous avez créé le groupe régional qui sera utilisé pour le CIDR BYOIP.

Cette étape doit être réalisée par le compte IPAM.

Commencez à publier le CIDR à l'aide de l'AWS CLI

  • Exécutez la commande suivante pour publier le CIDR.

    aws ec2 advertise-byoip-cidr --region us-west-2 --cidr 2605:9cc0:409::/48 --profile ipam-account

    Dans la sortie, vous verrez que le CIDR est publié.

    {
    "ByoipCidr": {                                                                 
        "Cidr": "2605:9cc0:409::/48",                                              
        "State": "advertised"                                                      
    }                                                                              
}

Étape 10 : nettoyage

Suivez les étapes de cette section pour nettoyer les ressources que vous avez provisionnées et créées dans ce tutoriel. Lorsque vous exécutez les commandes dans cette section, la valeur de --region doit correspondre à l'option --locale que vous avez saisie lorsque vous avez créé le groupe régional qui sera utilisé pour le CIDR BYOIP.

Nettoyage à l'aide de l'AWS CLI

  1. Exécutez la commande suivante pour afficher l'allocation de VPC gérée dans IPAM.

    Cette étape doit être réalisée par le compte IPAM.

    aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account

    La sortie affiche l'allocation dans IPAM.

    {
    "IpamPoolAllocations": [
        {
            "Cidr": "2605:9cc0:409::/56",
            "IpamPoolAllocationId": "ipam-pool-alloc-5f8db726fb9e4ff0a33836e649283a52",
            "ResourceId": "vpc-00b5573ffc3b31a29",
            "ResourceType": "vpc",
            "ResourceOwner": "123456789012"
        }
    ]
}

  2. Exécutez la commande suivante pour arrêter la publication du CIDR. Lorsque vous exécutez la commande dans cette étape, la valeur de --region doit correspondre à l'option --locale que vous avez saisie lorsque vous avez créé le groupe régional qui sera utilisé pour le CIDR BYOIP.

    Cette étape doit être réalisée par le compte IPAM.

    aws ec2 withdraw-byoip-cidr --region us-west-2 --cidr 2605:9cc0:409::/48 --profile ipam-account

    Dans la sortie, vous verrez que l'état du CIDR est passé de advertised (Publié) à provisioned (Provisionné).

    {
    "ByoipCidr": {
        "Cidr": "2605:9cc0:409::/48",
        "State": "provisioned"
    }
}

  3. Exécutez la commande suivante pour supprimer le VPC. Lorsque vous exécutez la commande dans cette section, la valeur de --region doit correspondre à l'option --locale que vous avez saisie lorsque vous avez créé le groupe régional qui sera utilisé pour le CIDR BYOIP.

    Cette étape doit être effectuée par le compte membre.

    aws ec2 delete-vpc --region us-west-2 --vpc-id vpc-00b5573ffc3b31a29 --profile member-account

    Vous ne verrez aucune sortie lorsque vous exécutez cette commande.

  4. Exécutez la commande suivante pour afficher l'allocation de VPC dans IPAM. IPAM peut prendre un certain temps pour découvrir que le VPC a été supprimé et supprimer cette allocation. Lorsque vous exécutez les commandes dans cette section, la valeur de --region doit correspondre à l'option --locale que vous avez saisie lorsque vous avez créé le groupe régional qui sera utilisé pour le CIDR BYOIP.

    Cette étape doit être réalisée par le compte IPAM.

    aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account

    La sortie affiche l'allocation dans IPAM.

    {
   "IpamPoolAllocations": [                                                                                      
        {                                                                                                        
            "Cidr": "2605:9cc0:409::/56",                                                                   
            "IpamPoolAllocationId": "ipam-pool-alloc-5f8db726fb9e4ff0a33836e649283a52",                                        
            "ResourceId": "vpc-00b5573ffc3b31a29",                                                               
            "ResourceType": "vpc",                                                                               
            "ResourceOwner": "123456789012"                                                                      
        }                                                                                                        
    ]                                                                                                            
}

    Exécutez à nouveau la commande et recherchez l'allocation à supprimer. Vous ne pouvez pas continuer à nettoyer et à désactiver le CIDR du groupe IPAM tant que vous ne voyez pas que l'allocation a été supprimée d'IPAM.

    aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account

    La sortie affiche l'allocation supprimée d'IPAM.

    {
    "IpamPoolAllocations": []
}

  5. Supprimez les partages RAM et désactivez l'intégration de la RAM avec AWS Organizations. Suivez les étapes de Suppression d'un partage de ressources dans AWS RAM et Désactivation du partage des ressources avec AWS Organizations dans le Guide de l'utilisateur de RAM AWS, dans cet ordre, pour supprimer les partages RAM et désactiver l'intégration de la RAM avec AWS Organizations.

    Cette étape doit être effectuée par le compte IPAM et le compte de gestion respectivement. Si vous utilisez l'AWS CLI pour supprimer les partages RAM et désactiver l'intégration de la RAM, utilisez les options --profile ipam-account et --profile management-account.

  6. Exécutez la commande suivante pour désactiver le CIDR du groupe régional.

    Cette étape doit être réalisée par le compte IPAM.

    aws ec2 deprovision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --cidr 2605:9cc0:409::/48 --profile ipam-account

    Dans la sortie, vous verrez le CIDR en attente de désapprovisionnement.

    {
    "IpamPoolCidr": {
        "Cidr": "2605:9cc0:409::/48",
        "State": "pending-deprovision"
    }
}

    La désactivation prend un certain temps. Continuez à exécuter la commande jusqu'à ce que vous voyez l'état CIDR deprovisioned (désactivé).

    aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --cidr 2605:9cc0:409::/48 --profile ipam-account

    Dans la sortie, vous verrez le CIDR en attente de désactivation.

    {
    "IpamPoolCidr": {
        "Cidr": "2605:9cc0:409::/48",
        "State": "deprovisioned"
    }
}

  7. Exécutez la commande suivante pour supprimer le groupe régional.

    Cette étape doit être réalisée par le compte IPAM.

    aws ec2 delete-ipam-pool --region us-east-1 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account

    Dans la sortie, vous pouvez voir l'état de suppression.

    {
    "IpamPool": {
        "OwnerId": "123456789012",
        "IpamPoolId": "ipam-pool-0053b7d2b4fc3f730",
        "SourceIpamPoolId": "ipam-pool-07f2466c7158b50c4",
        "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0053b7d2b4fc3f730",
        "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
        "IpamScopeType": "public",
        "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
        "Locale": "us-east-1",
        "PoolDepth": 2,
        "State": "delete-in-progress",
        "Description": "reg-ipv6-pool",
        "AutoImport": false,
        "Advertisable": true,
        "AddressFamily": "ipv6"
    }
}

  8. Exécutez la commande suivante pour désactiver le CIDR du groupe de niveau supérieur.

    Cette étape doit être réalisée par le compte IPAM.

    aws ec2 deprovision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --cidr 2605:9cc0:409::/48 --profile ipam-account

    Dans la sortie, vous verrez le CIDR en attente de désapprovisionnement.

    {
    "IpamPoolCidr": {
        "Cidr": "2605:9cc0:409::/48",
        "State": "pending-deprovision"
    }
}

    Le désapprovisionnement prend un certain temps. Utilisez la commande suivante pour vérifier le statut de la désapprovisionnement.

    aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --profile ipam-account

    Attendez de voir l'état deprovisioned (désactivé) avant de passer à l'étape suivante.

    {
    "IpamPoolCidr": {                                                                                            
        "Cidr": "2605:9cc0:409::/48",                                                                         
        "State": "deprovisioned"                                                                           
    }                                                                                                            
}

  9. Exécutez la commande suivante pour supprimer le groupe de niveau supérieur.

    Cette étape doit être réalisée par le compte IPAM.

    aws ec2 delete-ipam-pool --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --profile ipam-account

    Dans la sortie, vous pouvez voir l'état de suppression.

    {
    "IpamPool": {
        "OwnerId": "123456789012",
        "IpamPoolId": "ipam-pool-0053b7d2b4fc3f730",
        "SourceIpamPoolId": "ipam-pool-07f2466c7158b50c4",
        "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0053b7d2b4fc3f730",
        "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
        "IpamScopeType": "public",
        "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
        "Locale": "us-east-1",
        "PoolDepth": 2,
        "State": "delete-in-progress",
        "Description": "reg-ipv6-pool",
        "AutoImport": false,
        "Advertisable": true,
        "AddressFamily": "ipv6"
    }
}

  10. Exécutez la commande suivante pour supprimer l'IPAM.

    Cette étape doit être réalisée par le compte IPAM.

    aws ec2 delete-ipam --region us-east-1 --ipam-id ipam-090e48e75758de279 --profile ipam-account

    Dans la sortie, vous verrez la réponse IPAM. Cela signifie que l'IPAM a été supprimé.

    {
    "Ipam": {
        "OwnerId": "123456789012",
        "IpamId": "ipam-090e48e75758de279",
        "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
        "PublicDefaultScopeId": "ipam-scope-0087d83896280b594",
        "PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",
        "ScopeCount": 2,
        "OperatingRegions": [
            {                                                                         
                "RegionName": "us-east-1"                                             
            },
            {
                "RegionName": "us-west-2"
            }     
        ]
    }
}