Tutoriel : Transférer un BYOIP IPv4 CIDR vers IPAM - Amazon Virtual Private Cloud
Étape 1 : Création de profils et de IAM rôles AWS CLI nommésÉtape 2 : Obtenez votre IPAM identifiant publicÉtape 3 : créer un IPAM poolÉtape 4 : Partagez le IPAM pool en utilisant AWS RAMÉtape 5 : Transférer un existant BYOIP IPV4 CIDR vers IPAMÉtape 6 : Afficher le CIDR fichier IPAMÉtape 7 : nettoyage

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Tutoriel : Transférer un BYOIP IPv4 CIDR vers IPAM

Procédez comme suit pour transférer un fichier existant IPv4 CIDR versIPAM. Si vous avez déjà un IPv4 BYOIP CIDR with AWS, vous pouvez le déplacer CIDR vers IPAM depuis un IPv4 pool public. Vous ne pouvez pas déplacer un IPv6 CIDR seul objetIPAM.

Ce didacticiel part du principe que vous avez déjà intégré avec succès une plage d'adresses IP à l' AWS aide du processus décrit dans Apportez vos propres adresses IP (BYOIP) sur Amazon EC2 et que vous souhaitez maintenant transférer cette plage d'adresses IP versIPAM. Si vous introduisez une nouvelle adresse IP AWS pour la première fois, suivez les étapes décrites dansTutoriel : Transférez vos adresses IP à IPAM.

Si vous transférez un IPv4 pool public versIPAM, cela n'a aucun impact sur les allocations existantes. Une fois que vous avez transféré un IPv4 pool public versIPAM, selon le type de ressource, vous pourrez peut-être surveiller les allocations existantes. Pour de plus amples informations, veuillez consulter Surveiller CIDR l'utilisation par ressource.

Note

  • Ce didacticiel suppose que vous avez terminé cette procédure en Créez un IPAM.

  • Chaque étape de ce didacticiel doit être effectuée par l'un des deux AWS comptes suivants :

    • Le compte de l'IPAMadministrateur. Dans ce didacticiel, ce compte sera appelé le IPAM compte.

    • Le compte de votre organisation qui détient le BYOIPCIDR. Dans ce didacticiel, ce compte sera appelé compte BYOIP CIDR propriétaire.

Étape 1 : Création de profils et de IAM rôles AWS CLI nommés

Pour suivre ce didacticiel en tant qu' AWS utilisateur unique, vous pouvez utiliser des profils AWS CLI nommés pour passer d'un IAM rôle à un autre. Les profils nommés sont des ensembles de paramètres et d'informations d'identification auxquels vous vous référez lorsque vous utilisez l'option --profile associée à l' AWS CLI. Pour plus d'informations sur la création de IAM rôles et de profils nommés pour les AWS comptes, consultez la section Utilisation d'un IAM rôle AWS CLI dans le guide de l'utilisateur d'AWS Identity and Access Management.

Créez un rôle et un profil nommé pour chacun des trois AWS comptes que vous utiliserez dans ce didacticiel :

  • Un profil appelé ipam-account pour le AWS compte qui est l'IPAMadministrateur.

  • Un profil appelait byoip-owner-account le AWS compte de votre organisation qui possède le BYOIPCIDR.

Après avoir créé les IAM rôles et nommé les profils, revenez à cette page et passez à l'étape suivante. Vous remarquerez dans le reste de ce didacticiel que les exemples de AWS CLI commandes utilisent l'--profileoption avec l'un des profils nommés pour indiquer quel compte doit exécuter la commande.

Étape 2 : Obtenez votre IPAM identifiant public

Suivez les étapes décrites dans cette section pour obtenir votre IPAM identifiant public. Cette étape doit être effectuée par le compte ipam-account.

Exécutez la commande suivante pour obtenir l'ID de portée publique.

aws ec2 describe-ipams --region us-east-1 --profile ipam-account

Dans la sortie, vous verrez l'ID de portée publique. Notez les valeurs de PublicDefaultScopeId. Vous en aurez besoin à l'étape suivante.

{
 "Ipams": [
        {
            "OwnerId": "123456789012",
            "IpamId": "ipam-090e48e75758de279",
            "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
            "PublicDefaultScopeId": "ipam-scope-0087d83896280b594",
            "PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",
            "ScopeCount": 2,
            "Description": "my-ipam",
            "OperatingRegions": [
                {
                    "RegionName": "us-east-1"
                },
                {
                    "RegionName": "us-west-2"
                }
            ],
            "Tags": []
        }
    ]
}

Étape 3 : créer un IPAM pool

Suivez les étapes décrites dans cette section pour créer un IPAM pool. Cette étape doit être effectuée par le compte ipam-account. Le IPAM pool que vous créez doit être un pool de niveau supérieur avec l'--localeoption correspondant à la BYOIP CIDR AWS région. Vous ne pouvez transférer qu'un pool BYOIP vers un IPAM pool de niveau supérieur.

Important

Lorsque vous créez le groupe, vous devez inclure --aws-service ec2. Le service que vous sélectionnez détermine le AWS service pour lequel il CIDR sera annoncé. Actuellement, la seule option est la ec2 suivante : le CIDRs montant alloué à partir de ce pool sera publicisé pour le EC2 service Amazon (pour les adresses IP élastiques) et le VPC service Amazon (pour les adresses CIDRs associées àVPCs).

Pour créer un pool d'IPv4adresses pour le transfert à BYOIP CIDR l'aide du AWS CLI

  1. Exécutez la commande suivante pour créer un IPAM pool. Utilisez l'ID de l'étendue publique du fichier IPAM que vous avez récupéré à l'étape précédente.

    aws ec2 create-ipam-pool --region us-east-1 --profile ipam-account --ipam-scope-id ipam-scope-0087d83896280b594 --description "top-level-pool" --locale us-west-2 --aws-service ec2 --address-family ipv4

    Dans la sortie, vous verrez apparaître create-in-progress, qui indique que la création du groupe est en cours.

    {
    "IpamPool": {
        "OwnerId": "123456789012",
        "IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
        "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
        "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
        "IpamScopeType": "public",
        "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
        "Locale": "us-west-2",
        "PoolDepth": 1,
        "State": "create-in-progress",
        "Description": "top-level-pool",
        "AutoImport": false,
        "AddressFamily": "ipv4",
        "Tags": [],
        "AwsService": "ec2"
    }
}

  2. Exécutez la commande suivante jusqu'à ce que l'état create-complete apparaisse dans la sortie.

    aws ec2 describe-ipam-pools --region us-east-1 --profile ipam-account

    L'exemple de sortie suivant illustre l'état du groupe. Vous en aurez besoin OwnerIdà l'étape suivante.

    {
    "IpamPools": [
        {
            "OwnerId": "123456789012",
            "IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
            "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
            "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
            "IpamScopeType": "public",
            "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
            "Locale": "us-west-2",
            "PoolDepth": 1,
            "State": "create-complete",
            "Description": "top-level-pool",
            "AutoImport": false,
            "AddressFamily": "ipv4",
            "Tags": [],
            "AwsService": "ec2"
        }
    ]
}

Étape 4 : Partagez le IPAM pool en utilisant AWS RAM

Suivez les étapes décrites dans cette section pour partager un IPAM pool en utilisant AWS RAM afin qu'un autre AWS compte puisse transférer un compte existant BYOIP IPV4 CIDR vers le IPAM pool et utiliser le IPAM pool. Cette étape doit être effectuée par le compte ipam-account.

Pour partager un pool d'IPv4adresses à l'aide du AWS CLI

  1. Consultez les AWS RAM autorisations disponibles pour les IPAM pools. Vous avez besoin des deux ARNs pour effectuer les étapes décrites dans cette section.

    aws ram list-permissions --region us-east-1 --profile ipam-account --resource-type ec2:IpamPool
    {
    "permissions": [
        {
           "arn": "arn:aws:ram::aws:permission/AWSRAMDefaultPermissionsIpamPool",
           "version": "1",
           "defaultVersion": true,
           "name": "AWSRAMDefaultPermissionsIpamPool",
           "resourceType": "ec2:IpamPool",
           "status": "ATTACHABLE",
           "creationTime": "2022-06-30T13:04:29.335000-07:00",
           "lastUpdatedTime": "2022-06-30T13:04:29.335000-07:00",
           "isResourceTypeDefault": true
        },
        {
            "arn": "arn:aws:ram::aws:permission/AWSRAMPermissionIpamPoolByoipCidrImport",
            "version": "1",
            "defaultVersion": true,
            "name": "AWSRAMPermissionIpamPoolByoipCidrImport",
            "resourceType": "ec2:IpamPool",
            "status": "ATTACHABLE",
            "creationTime": "2022-06-30T13:03:55.032000-07:00",
            "lastUpdatedTime": "2022-06-30T13:03:55.032000-07:00",
            "isResourceTypeDefault": false
        }
    ]
}

  2. Créez un partage de ressources pour permettre au byoip-owner-account compte d'importer BYOIP CIDRs versIPAM. La valeur pour --resource-arns est celle ARN du IPAM pool que vous avez créé dans la section précédente. La valeur pour --principals est le numéro de compte du BYOIP CIDR propriétaire. La valeur pour --permission-arns est celle ARN de l'AWSRAMPermissionIpamPoolByoipCidrImportautorisation.

    aws ram create-resource-share --region us-east-1 --profile ipam-account --name PoolShare2 --resource-arns arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035 --principals 111122223333 --permission-arns arn:aws:ram::aws:permission/AWSRAMPermissionIpamPoolByoipCidrImport
    {                                                                                                                    
    "resourceShare": {                                                                                               
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7993758c-a4ea-43ad-be12-b3abaffe361a",
        "name": "PoolShare2",                                                                                      
        "owningAccountId": "123456789012",                                                                                         
        "allowExternalPrincipals": true,                                                                             
        "status": "ACTIVE",                                                                                          
        "creationTime": "2023-04-28T07:32:25.536000-07:00",                                                          
        "lastUpdatedTime": "2023-04-28T07:32:25.536000-07:00"                                                        
        }                                                                                                                
}

  3. (Facultatif) Si vous souhaitez autoriser le byoip-owner-account compte à allouer l'adresse IP CIDRS du IPAM pool aux IPv4 pools publics une fois le transfert terminé, copiez le formulaire ARN AWSRAMDefaultPermissionsIpamPool et créez un second partage de ressources. La valeur pour --resource-arns est celle ARN du IPAM pool que vous avez créé dans la section précédente. La valeur pour --principals est le numéro de compte du BYOIP CIDR propriétaire. La valeur pour --permission-arns est celle ARN de l'AWSRAMDefaultPermissionsIpamPoolautorisation.

    aws ram create-resource-share --region us-east-1 --profile ipam-account --name PoolShare1 --resource-arns arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035 --principals 111122223333 --permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionsIpamPool
    {                                                                                                                    
    "resourceShare": {                                                                                               
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/8d1e229b-2830-4cf4-8b10-19c889235a2f",
        "name": "PoolShare1",                                                                                      
        "owningAccountId": "123456789012",                                                                                         
        "allowExternalPrincipals": true,                                                                             
        "status": "ACTIVE",                                                                                          
        "creationTime": "2023-04-28T07:31:25.536000-07:00",                                                          
        "lastUpdatedTime": "2023-04-28T07:31:25.536000-07:00"                                                        
        }                                                                                                                
}

Suite à la création du partage des ressourcesRAM, le byoip-owner-account compte peut désormais passer CIDRs àIPAM.

Étape 5 : Transférer un existant BYOIP IPV4 CIDR vers IPAM

Suivez les étapes décrites dans cette section pour transférer un fichier existant BYOIP IPV4 CIDR versIPAM. Cette étape doit être effectuée par le compte byoip-owner-account.

Important

Une fois que vous avez transféré une plage d'IPv4adresses AWS, vous pouvez utiliser toutes les adresses IP de la plage, y compris la première adresse (adresse réseau) et la dernière adresse (adresse de diffusion).

Pour transférer le BYOIP CIDR versIPAM, le BYOIP CIDR propriétaire doit disposer des autorisations suivantes dans sa IAM politique :

  • ec2:MoveByoipCidrToIpam

  • ec2:ImportByoipCidrToIpam

Note

Vous pouvez utiliser le AWS Management Console ou le AWS CLI pour cette étape.

AWS Management Console
Pour transférer un BYOIP CIDR vers le IPAM pool :

  1. Ouvrez la IPAM console en https://console.aws.amazon.com/ipam/tant que byoip-owner-account compte.

  2. Dans le panneau de navigation, choisissez Pools (Groupes).

  3. Choisissez le groupe de niveau supérieur créé et partagé dans ce tutoriel.

  4. Choisissez Actions > Transférer BYOIP CIDR.

  5. Choisissez Transférer BYOIP CIDR.

  6. Choisissez votre BYOIPCIDR.

  7. Choisissez Provisionner.

Command line

Utilisez les AWS CLI commandes suivantes pour transférer un BYOIP CIDR vers le IPAM pool à l'aide de AWS CLI :

  1. Exécutez la commande suivante pour transférer leCIDR. Assurez-vous que la --region valeur est la AWS région du BYOIPCIDR.

    aws ec2 move-byoip-cidr-to-ipam --region us-west-2 --profile byoip-owner-account --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --ipam-pool-owner 123456789012 --cidr 130.137.249.0/24

    Dans le résultat, vous verrez la disposition CIDR en attente.

    {
    "ByoipCidr": {                                                                 
        "Cidr": "130.137.249.0/24",                                              
        "State": "pending-transfer"                                                      
    }                                                                              
}

  2. Assurez-vous que le CIDR a été transféré. Exécutez la commande suivante jusqu'à ce que l'état complete-transfer apparaisse dans la sortie.

    aws ec2 move-byoip-cidr-to-ipam --region us-west-2  --profile byoip-owner-account --ipam-pool-id ipam-pool-0a03d430ca3f5c035 --ipam-pool-owner 123456789012 --cidr 130.137.249.0/24

    L'exemple de sortie suivant illustre l'état.

    {
    "ByoipCidr": {                                                                 
        "Cidr": "130.137.249.0/24",                                              
        "State": "complete-transfer"                                                      
    }                                                                              
}

Étape 6 : Afficher le CIDR fichier IPAM

Suivez les étapes décrites dans cette section pour voir CIDR les entréesIPAM. Cette étape doit être effectuée par le compte ipam-account.

Pour afficher le IPAM pool transféré BYOIP CIDR à l'aide du AWS CLI

  • Exécutez la commande suivante pour afficher l'allocation gérée dansIPAM. Assurez-vous que la --region valeur est la AWS région du BYOIPCIDR.

    aws ec2 get-ipam-pool-allocations --region us-west-2  --profile ipam-account --ipam-pool-id ipam-pool-0d8f3646b61ca5987

    La sortie indique l'allocation enIPAM.

    {
    "IpamPoolAllocations": [
        {
            "Cidr": "130.137.249.0/24",
            "IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc46",
            "ResourceId": "ipv4pool-ec2-0019eed22a684e0b3",
            "ResourceType": "ec2-public-ipv4-pool",
            "ResourceOwner": "111122223333"
        }
    ]
}

Étape 7 : nettoyage

Suivez les étapes de cette section pour supprimer les ressources que vous avez créées dans ce tutoriel. Cette étape doit être effectuée par le compte ipam-account.

Pour nettoyer les ressources créées dans ce didacticiel à l'aide du AWS CLI

  1. Pour supprimer la ressource partagée du IPAM pool, exécutez la commande suivante pour obtenir le premier partage de ressources ARN :

    aws ram get-resource-shares --region us-east-1 --profile ipam-account --name PoolShare1 --resource-owner SELF
    {
    "resourceShares": [
        {
            "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/8d1e229b-2830-4cf4-8b10-19c889235a2f",
            "name": "PoolShare1",
            "owningAccountId": "123456789012",
            "allowExternalPrincipals": true,
            "status": "ACTIVE",
            "creationTime": "2023-04-28T07:31:25.536000-07:00",
            "lastUpdatedTime": "2023-04-28T07:31:25.536000-07:00",
            "featureSet": "STANDARD"
        }
    ]
}

  2. Copiez le partage de ressources ARN et utilisez-le pour supprimer le partage de ressources du IPAM pool. 

    aws ram delete-resource-share --region us-east-1 --profile ipam-account --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/8d1e229b-2830-4cf4-8b10-19c889235a2f
    {                      
    "returnValue": true
}

  3. Si vous avez créé un partage de ressources supplémentaire dansÉtape 4 : Partagez le IPAM pool en utilisant AWS RAM, répétez les deux étapes précédentes ARN pour obtenir le deuxième partage de ressources PoolShare2 et le supprimer.

  4. Exécutez la commande suivante pour obtenir l'ID d'allocation pour BYOIPCIDR. Assurez-vous que la --region valeur correspond à la AWS région du BYOIPCIDR.

    aws ec2 get-ipam-pool-allocations --region us-west-2  --profile ipam-account --ipam-pool-id ipam-pool-0d8f3646b61ca5987

    La sortie indique l'allocation enIPAM.

    {
    "IpamPoolAllocations": [
        {
            "Cidr": "130.137.249.0/24",
            "IpamPoolAllocationId": "ipam-pool-alloc-5dedc8e7937c4261b56dc3e3eb53dc46",
            "ResourceId": "ipv4pool-ec2-0019eed22a684e0b3",
            "ResourceType": "ec2-public-ipv4-pool",
            "ResourceOwner": "111122223333"
        }
    ]
}

  5. Libérez la dernière adresse IP CIDR du IPv4 pool public. Saisissez l'adresse IP avec un masque de réseau de /32. Vous devez réexécuter cette commande pour chaque adresse IP de la CIDR plage. Si vous CIDR êtes un/24, vous devrez exécuter cette commande pour déprovisionner chacune des 256 adresses IP du /24CIDR. Lorsque vous exécutez la commande dans cette section, la valeur de --region doit correspondre à la région de votreIPAM.

    Cette étape doit être réalisée par le compte byoip-owner-account.

    aws ec2 deprovision-public-ipv4-pool-cidr --region us-east-1  --profile byoip-owner-account --pool-id ipv4pool-ec2-0019eed22a684e0b3 --cidr 130.137.249.255/32

    Dans la sortie, vous verrez le déprovisionnéCIDR.

    {
    "PoolId": "ipv4pool-ec2-0019eed22a684e0b3",                                                                                       
    "DeprovisionedAddresses": [                                                                                                       
        "130.137.249.255"                                                                                                             
    ]                                                                                                                                 
}

  6. Consultez BYOIP CIDRs à nouveau votre adresse et assurez-vous qu'il n'y a plus d'adresses provisionnées. Lorsque vous exécutez la commande dans cette section, la valeur de --region doit correspondre à la région de votreIPAM.

    Cette étape doit être réalisée par le compte byoip-owner-account.

    aws ec2 describe-public-ipv4-pools --region us-east-1 --profile byoip-owner-account

    Dans le résultat, vous verrez le nombre d'adresses IP dans votre IPv4 pool public.

    {
    "PublicIpv4Pools": [
        {
            "PoolId": "ipv4pool-ec2-0019eed22a684e0b3",
            "Description": "",
            "PoolAddressRanges": [],
            "TotalAddressCount": 0,
            "TotalAvailableAddressCount": 0,
            "NetworkBorderGroup": "us-east-1",
            "Tags": []
        }
    ]
}

  7. Exécutez la commande suivante pour supprimer le groupe de niveau supérieur.

    aws ec2 delete-ipam-pool --region us-east-1  --profile ipam-account --ipam-pool-id ipam-pool-0a03d430ca3f5c035

    Dans la sortie, vous pouvez voir l'état de suppression.

    {
    "IpamPool": {
        "OwnerId": "123456789012",
        "IpamPoolId": "ipam-pool-0a03d430ca3f5c035",
        "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0a03d430ca3f5c035",
        "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
        "IpamScopeType": "public",
        "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
        "Locale": "us-east-1",
        "PoolDepth": 2,
        "State": "delete-in-progress",
        "Description": "top-level-pool",
        "AutoImport": false,
        "Advertisable": true,
        "AddressFamily": "ipv4",
        "AwsService": "ec2"
    }
}