AWS RAM を使用して IPAM プールを共有する - Amazon Virtual Private Cloud

AWS RAM を使用して IPAM プールを共有する

このセクションでは、AWS Resource Access Manager (RAM) を使用して IPAM プールを共有するためのステップを説明します。IPAM プールを RAM で共有している場合、「プリンシパル」はプールからの CIDR をそれぞれのアカウントの AWS リソース (VPC など) に割り当てることができます。プリンシパルとは、RAM の概念であり、AWS Organizations の AWS アカウント、IAM ロール、組織単位を意味します。詳しくは、AWS RAM ユーザーガイドAWS リソースの共有をご覧ください。

注記

  • IPAM プールを AWS RAM と共有できるのは、IPAM と AWS Organizations を統合している場合のみです。詳細については、「IPAM を AWS Organizations 内のアカウントと統合する」を参照してください。単一アカウントの IPAM ユーザーの場合、IPAM プールを AWS RAM と共有することはできません。

  • AWS RAM で AWS Organizations でのリソース共有を有効にする必要があります。詳細については、AWS RAM ユーザーガイドAWS Organizations 内でリソース共有を有効にするを参照してください。

  • RAM 共有は、IPAM のホーム AWS リージョンでのみ使用できます。IPAM プールのリージョンではなく、IPAM がある AWS リージョンに共有を作成する必要があります。

  • IPAM プールリソース共有を作成および削除するアカウントには、その IAM ロールにアタッチされている IAM ポリシーで次のアクセス許可が必要です。

    • ec2:PutResourcePolicy

    • ec2:DeleteResourcePolicy

  • 複数の IPAM プールを RAM 共有に追加できます。

  • IPAM プールは AWS Organization 外の任意の AWS アカウントと共有できますが、IPAM が Organization 外のアカウントの IP アドレスをモニタリングするのは、アカウント所有者が IPAM を組織外のアカウントに統合する の説明に従って委任 IPAM 管理者とリソース検出を共有するプロセスを実行した場合のみです。

AWS Management Console
RAM を使用して IPAM プールを共有するには

  1. IPAM コンソール (https://console.aws.amazon.com/ipam/) を開きます。

  2. ナビゲーションペインで、[Pools] (プール) を選択します。

  3. デフォルトでは、デフォルトのプライベートスコープが選択されます。デフォルトのプライベートスコープを使用しない場合は、コンテンツペインの上部にあるドロップダウンメニューから、使用するスコープを選択します。スコープの詳細については、IPAM の仕組み を参照してください。

  4. コンテンツペインで、共有したいプールを選択し、[Actions] (アクション) > [View details] (詳細を表示) を選択します。

  5. [Resource sharing] (リソース共有) で [Create resource share] (リソース共有の作成) を選択します。その結果、AWS RAM コンソールが開きます。共有プールは AWS RAM 上に作成します。

  6. [リソースの共有の作成] を選択します。

  7. 共有リソースの [Name] (名前) を追加します。

  8. [Select resource type] (リソースタイプの選択) で [IPAM pools] (IPAM プール) を選択し、1 つ以上の IPAM プールを選択します。

  9. [Next] を選択します。

  10. リソース共有の許可の 1 つを選択します。

    • AWSRAMDefaultPermissionsIpamPool: プリンシパルが共有 IPAM プール内の CIDR および割り当てを表示し、プール内の CIDR の割り当て/割り当て解除できるようにするには、この許可を選択します。

    • AWSRAMPermissionIpamPoolByoipCidrImport: プリンシパルが共有 IPAM プールに BYOIP CIDR をインポートできるようにするには、この許可を選択します。この許可が必要になるのは、既存の BYOIP CIDR があり、それらを IPAM にインポートしてプリンシパルと共有する場合のみです。IPAM への BYOIP CIDR の転送の詳細については、チュートリアル: BYOIP IPv4 CIDR を IPAM に転送する を参照してください。

  11. このリソースへのアクセスを許可するプリンシパルを選択します。プリンシパルが既存の BYOIP CIDR をこの共有 IPAM プールにインポートする場合は、BYOIP CIDR 所有者アカウントをプリンシパルとして追加します。

  12. リソース共有オプションと共有先のプリンシパルを確認し、[Create] (作成) を参照してください。

Command line

このセクションのコマンドは、AWS CLI リファレンスドキュメントに関連しています。そこには、コマンドの実行時に使用できるオプションの詳細な説明があります。

RAM を使用して IPAM プールを共有するには、次の AWS CLI コマンドを使用します。

  1. IPAM の ARN を取得: describe-ipam-pools

  2. リソース共有を作成: create-resource-share

  3. リソース共有を表示: get-resource-share

RAM でリソース共有を作成した結果、他のプリンシパルは、IPAM プールを使用してリソースに CIDR を割り当てることができるようになりました。プリンシパルによって作成されたリソースのモニタリングの詳細については、リソースごとに CIDR の使用状況をモニタリングする を参照してください。VPC を作成し、共有 IPAM プールの CIDR を割り当てる方法の詳細については、Amazon VPC ユーザーガイドの「VPC を作成する」を参照してください。