AWS CLI のみを使用した IPAM への IPv6 CIDR の取り込み - Amazon Virtual Private Cloud
ステップ 1: AWS CLI の名前付きプロファイルと IAM ロールを作成するステップ 2: IPAM を作成するステップ 3: IPAM プールを作成するステップ 4: CIDR を最上位プールにプロビジョニングするステップ 5: 最上位プール内にリージョンプールを作成するステップ 6: リージョンプールに CIDR をプロビジョニングするステップ 7。リージョンプールを共有するステップ 8: IPv6 CIDR を使用して VPC を作成するステップ 9: CIDR のアドバタイズステップ 10: クリーンアップ

AWS CLI のみを使用した IPAM への IPv6 CIDR の取り込み

IPAM に IPv6 CIDR を取り込み、AWS CLI のみを使用して VPC を割り当てるには、次のステップに従います。

インターネット経由で IPv6 アドレスをアドバタイズする必要がない場合は、プライベート GUA IPv6 アドレスを IPAM にプロビジョニングできます。詳細については、「プライベート IPv6 GUA CIDR のプロビジョニングを有効にする」を参照してください。

重要

  • このチュートリアルでは、次のセクションのステップがすでに完了していることを前提としています。

  • このチュートリアルの各ステップを、3 つの AWS Organizations アカウントのいずれかで実行する必要があります。

    • 管理アカウント。

    • IPAM を AWS Organizations 内のアカウントと統合する で IPAM 管理者として設定されるメンバーアカウント。このチュートリアルでは、このアカウントを IPAM アカウントと呼びます。

    • IPAM プールから CIDR を割り当てる組織内のメンバーアカウント。このチュートリアルでは、このアカウントをメンバーアカウントと呼びます。

ステップ 1: AWS CLI の名前付きプロファイルと IAM ロールを作成する

このチュートリアルをシングル AWS ユーザーとして完了するには、AWS CLI の名前付きプロファイルを使用して、1 つの IAM ロールから別のアカウントへと切り替えることができます。名前付きプロファイルは、AWS CLI を使用して --profile オプションを使用するときに参照する設定と認証情報の集まりです。AWS アカウントの IAM ロールと名前付きプロファイルを作成する方法の詳細については、「AWS Identity and Access Management ユーザーガイド」の「AWS CLI での IAM ロールの使用」を参照してください。

このチュートリアルで使用する 3 つの AWS アカウントごとに、1 つのロールと 1 つの名前付きプロファイルを作成します。

  • AWS Organizations 管理アカウント向けの management-account と呼ばれるプロファイル。

  • IPAM 管理者として設定された AWS Organizations メンバーアカウント向けの、ipam-account と呼ばれるプロファイル。

  • IPAM プールから CIDR を割り当てる自分の組織の AWS Organizations メンバーアカウント向けの、member-account と呼ばれるプロファイル。

IAM ロールと名前付きプロファイルを作成した後、このページに戻り次のステップに進みます。なお、このチュートリアルの残りの部分では、サンプルの AWS CLI コマンドで --profile オプションを名前付きプロファイルのうちの 1 つとともに使用することにより、どのアカウントでコマンドを実行する必要があるのかを示しています。

ステップ 2: IPAM を作成する

この手順は省略可能です。us-east-1us-west-2 の運用リージョンで作成された IPAM が既にある場合は、このステップをスキップできます。IPAM を作成し、us-east-1us-west-2 の運用リージョンを指定します。運用リージョンを選択する必要があるのは、IPAM プールの作成時にロケールオプションを使用できるようにするためです。IPAM を BYOIP と統合するには、BYOIP CIDR に使用されるプールにロケールを設定する必要があります。

このステップは、IPAM アカウントで実行する必要があります。

次のコマンドを実行します。

aws ec2 create-ipam --description my-ipam --region us-east-1 --operating-regions RegionName=us-west-2 --profile ipam-account

出力に、作成した IPAM が示されます。PublicDefaultScopeId の値を書き留めます。パブリックスコープ ID は、次のステップで必要になります。

{
 "Ipam": {                                                                         
        "OwnerId": "123456789012",
        "IpamId": "ipam-090e48e75758de279",                                           
        "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",  
        "PublicDefaultScopeId": "ipam-scope-0087d83896280b594",                       
        "PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",                      
        "ScopeCount": 2,                                                              
        "Description": "my-ipam",                                                     
        "OperatingRegions": [                                                         
            {                                                                         
                "RegionName": "us-east-1"                                             
            },
            {
                "RegionName": "us-west-2"
            }                                                                       
        ],                                                                            
        "Tags": []                                                                    
    }                                                                                 
}

ステップ 3: IPAM プールを作成する

内部に 1 つのリージョンプールが含まれる最上位の IPAM プールを作成し、リージョンプールからリソース (VPC) にスペースを割り当てるため、最上位のプールではなくリージョンプールにロケールを設定します。後のステップでリージョンプールを作成するときに、リージョンプールにロケールを追加します。IPAM を BYOIP と統合するには、BYOIP CIDR に使用されるプールにロケールを設定する必要があります。

このステップは、IPAM アカウントで実行する必要があります。

この IPAM プールの CIDR を、AWS がパブリックインターネット (--publicly-advertisable または --no-publicly-advertisable) でアドバタイズ可能にするかどうかを選択します。

注記

なお、スコープ ID にはパブリックスコープの ID を、アドレスファミリーには ipv6 を指定する必要があります。

AWS CLI を使用してすべての AWS リソースの IPv6 アドレスプールを作成するには

  1. 次のコマンドを実行して、IPAM プールを作成します。前のステップで作成した IPAM のパブリックスコープの ID を使用します。

    aws ec2 create-ipam-pool --region us-east-1 --ipam-scope-id ipam-scope-0087d83896280b594 --description "top-level-IPv6-pool" --address-family ipv6 --publicly-advertisable --profile ipam-account

    出力に、create-in-progress と表示されます。これは、プールの作成が進行中であることを示します。

    {
    "IpamPool": {                                                                                             
        "OwnerId": "123456789012",
        "IpamPoolId": "ipam-pool-07f2466c7158b50c4",                                                          
        "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-07f2466c7158b50c4",            
        "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",         
        "IpamScopeType": "public",                                                                            
        "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",                          
        "Locale": "None",                                                                                     
        "PoolDepth": 1,                                                                                       
        "State": "create-in-progress",                                                                        
        "Description": "top-level-Ipv6-pool",                                                                 
        "AutoImport": false,                                                                                  
        "Advertisable": true,                                                                                 
        "AddressFamily": "ipv6",                                                                              
        "Tags": []                                                                                            
    }                                                                                                         
}

  2. 出力に create-complete という状態が表示されるまで、次のコマンドを実行します。

    aws ec2 describe-ipam-pools --region us-east-1 --profile ipam-account

    次の出力例は、プールの状態を示しています。

    {
    "IpamPool": {                                                                                             
        "OwnerId": "123456789012",
        "IpamPoolId": "ipam-pool-07f2466c7158b50c4",                                                          
        "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-07f2466c7158b50c4",            
        "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",         
        "IpamScopeType": "public",                                                                            
        "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",                          
        "Locale": "None",                                                                                     
        "PoolDepth": 1,                                                                                       
        "State": "create-complete",                                                                        
        "Description": "top-level-Ipv6-pool",                                                                 
        "AutoImport": false,                                                                                  
        "Advertisable": true,                                                                                 
        "AddressFamily": "ipv6",                                                                              
        "Tags": []                                                                                            
    }                                                                                                         
}

ステップ 4: CIDR を最上位プールにプロビジョニングする

最上位プールに CIDR ブロックをプロビジョンします。IPv6 CIDR をトップレベルのプール内にあるプールにプロビジョニングする際、持ち込みできる最も具体的な IPv6 アドレス範囲は、パブリックにアドバタイズ可能な CIDR の場合は /48 であり、パブリックにアドバタイズ可能でない CIDR の場合は /60 であることに注意してください。

注記

BYOIP CIDR を最上位プールにプロビジョンする場合は、ドメインコントロールを検証するだけで済みます。最上位プール内のリージョンプールについては、ドメイン所有者オプションを省略できます。

このステップは、IPAM アカウントで実行する必要があります。

AWS CLI を使用して CIDR ブロックをプールにプロビジョニングするには

  1. 証明書情報を使用して CIDR をプロビジョニングするには、次のコマンド例を使用します。この例で必要に応じて値を置き換えるだけでなく、Message および Signature の値を、X.509 証明書を使用してドメインを検証する で取得した text_message および signed_message の値に置き換えてください。

    aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --cidr 2605:9cc0:409::/48 --verification-method remarks-x509 --cidr-authorization-context Message="1|aws|470889052444|2605:9cc0:409::/48|20250101|SHA256|RSAPSS",Signature="FU26~vRG~NUGXa~akxd6dvdcCfvL88g8d~YAuai-CR7HqMwzcgdS9RlpBGtfIdsRGyr77LmWyWqU9Xp1g2R1kSkfD00NiLKLcv9F63k6wdEkyFxNp7RAJDvF1mBwxmSgH~Crt-Vp6LON3yOOXMp4JENB9uM7sMlu6oeoutGyyhXFeYPzlGSRdcdfKNKaimvPCqVsxGN5AwSilKQ8byNqoa~G3dvs8ueSaDcT~tW4CnILura70nyK4f2XzgPKKevAD1g8bpKmOFMbHS30CxduYknnDl75lvEJs1J91u3-wispI~r69fq515UR19TA~fmmxBDh1huQ8DkM1rqcwveWow__" --profile ipam-account

    検証トークン情報を使用して CIDR をプロビジョニングするには、次のコマンド例を使用します。この例で必要に応じて値を置き換えるだけでなく、ipam-ext-res-ver-token-0309ce7f67a768cf0DNS TXT レコードを使用してドメインを検証する で取得した IpamExternalResourceVerificationTokenId トークン ID に置き換えてください。

    aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --cidr 2605:9cc0:409::/48 --verification-method dns-token --ipam-external-resource-verification-token-id ipam-ext-res-ver-token-0309ce7f67a768cf0 --profile ipam-account

    出力に、CIDR のプロビジョンが保留されていることが示されます。

    {
    "IpamPoolCidr": {                                                                                         
        "Cidr": "2605:9cc0:409::/48",                                                                    
        "State": "pending-provision"                                                                          
    }                                                                                                         
}

  2. 続行する前に、この CIDR のプロビジョンが完了したことを確認してください。

    重要

    ほとんどのプロビジョニングは 2 時間以内に完了しますが、パブリックにアドバタイズ可能な範囲のプロビジョニングプロセスが完了するまでに最大 1 週間かかる場合があります。

    出力に provisioned という状態が表示されるまで、次のコマンドを実行します。

    aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --profile ipam-account

    次の出力例に、その状態が示されています。

    {
    "IpamPoolCidrs": [
        {
            "Cidr": "2605:9cc0:409::/48",
            "State": "provisioned"
        }
    ]
}

ステップ 5: 最上位プール内にリージョンプールを作成する

最上位プール内にリージョンプールを作成します。プールには --locale が必須であり、IPAM を作成したときに構成した運用リージョンのいずれかを指定する必要があります。

このステップは、IPAM アカウントで実行する必要があります。

重要

プールを作成するときは、--aws-service ec2 を含める必要があります。選択したサービスによって、CIDR がアドバタイズ可能になる AWS サービスが決定します。現在、唯一の選択肢は ec2 であり、このプールから割り当てられた CIDR は、Amazon EC2 サービスと Amazon VPC サービス (VPC に関連付けられている CIDR の場合) に対してアドバタイズできるようになります。

AWS CLI を使用してリージョンプールを作成するには

  1. 次のコマンドを実行して、プールを作成します。

    aws ec2 create-ipam-pool --description "Regional-IPv6-pool" --region us-east-1 --ipam-scope-id ipam-scope-0087d83896280b594 --source-ipam-pool-id ipam-pool-07f2466c7158b50c4 --locale us-west-2 --address-family ipv6 --aws-service ec2 --profile ipam-account

    出力に、IPAM がプールを作成していることが表示されます。

    {
    "IpamPool": {
        "OwnerId": "123456789012",
        "IpamPoolId": "ipam-pool-0053b7d2b4fc3f730",
        "SourceIpamPoolId": "ipam-pool-07f2466c7158b50c4",
        "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0053b7d2b4fc3f730",
        "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
        "IpamScopeType": "public",
        "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
        "Locale": "us-west-2",
        "PoolDepth": 2,
        "State": "create-in-progress",
        "Description": "reg-ipv6-pool",
        "AutoImport": false,
        "Advertisable": true,
        "AddressFamily": "ipv6",
        "Tags": [],
        "ServiceType": "ec2"
    }
}

  2. 出力に create-complete という状態が表示されるまで、次のコマンドを実行します。

    aws ec2 describe-ipam-pools --region us-east-1 --profile ipam-account

    出力には、IPAM にあるプールが表示されます。このチュートリアルでは、最上位プールとリージョンプールを作成したので、両方が表示されます。

ステップ 6: リージョンプールに CIDR をプロビジョニングする

リージョンプールに CIDR ブロックをプロビジョンします。CIDR をトップレベルのプール内にあるプールにプロビジョニングする際、持ち込みできる最も具体的な IPv6 アドレス範囲は、パブリックにアドバタイズ可能な CIDR の場合は /48 であり、パブリックにアドバタイズ可能でない CIDR の場合は /60 であることに注意してください。

このステップは、IPAM アカウントで実行する必要があります。

AWS CLI を使用して CIDR ブロックをリージョンプールに割り当てるには

  1. 以下のコマンドを実行して CIDR をプロビジョニングします。

    aws ec2 provision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --cidr 2605:9cc0:409::/48 --profile ipam-account

    出力に、CIDR のプロビジョンが保留されていることが示されます。

    {
    "IpamPoolCidr": {
        "Cidr": "2605:9cc0:409::/48",
        "State": "pending-provision"
    }
}

  2. 出力に、provisioned の状態が表示されるまで、次のコマンドを実行します。

    aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account

    次の出力例に、正しい状態が示されています。

    {
    "IpamPoolCidrs": [                                                        
        {                                                                     
            "Cidr": "2605:9cc0:409::/48",                                
            "State": "provisioned"                                            
        }                                                                     
    ]                                                                         
}

ステップ 7。リージョンプールを共有する

このセクションのステップに従い、AWS Resource Access Manager (RAM) を使用して IPAM プールを共有します。

AWS RAM 内でリソース共有を有効にする

IPAM を作成したら、リージョンプールを組織内の他のアカウントと共有する必要があります。IPAM プールを共有する前に、このセクションのステップを完了し、AWS RAM とのリソース共有を有効にします。AWS CLI を使用してリソース共有を有効にする場合は、--profile management-account オプションを使用します。

リソース共有を有効にするには

  1. AWS Organizations 管理アカウントを使って AWS RAM コンソール (https://console.aws.amazon.com/ram/) を開きます。

  2. ナビゲーションペインで [設定] を選択し、[AWS Organizations との共有を有効にする] を選択し、[設定の保存] を選択します。

これで、IPAM プールを組織の他のメンバーと共有できるようになりました。

AWS RAM を使用して IPAM プールを共有する

このセクションでは、リージョンプールを他の AWS Organizations メンバーアカウントと共有します。必要な IAM アクセス許可に関する情報を含め、IPAM プールの共有に関する詳細な手順については、「AWS RAM を使用して IPAM プールを共有する」を参照してください。AWS CLI を使用してリソース共有を有効にする場合は、--profile ipam-account オプションを使用します。

AWS RAM を使用して IPAM プールを共有するには

  1. IPAM の管理者アカウントを使って IPAM コンソール (https://console.aws.amazon.com/ipam/) を開きます。

  2. ナビゲーションペインで、[プール] を選択します。

  3. プライベートスコープを選択し、IPAM プールを選択して、[アクション] > [詳細を表示] の順に選択します。

  4. [Resource sharing] (リソース共有) で [Create resource share] (リソース共有の作成) を選択します。AWS RAM コンソールが開きます。AWS RAM を使用してプールを共有します。

  5. [リソースの共有の作成] を選択します。

  6. AWS RAM コンソールで、[リソースの共有を作成] を再度選択します。

  7. 共有リソースの [名前] を追加します。

  8. [リソースタイプを選択][IPAM プール] を選択し、次に共有したいプールの ARN を選択します。

  9. [Next] を選択します。

  10. AWSRAMPermissionIpamPoolByoipCidrImport 許可を選択します。アクセス許可オプションの詳細は本チュートリアルの対象外ですが、このオプションの詳細は「AWS RAM を使用して IPAM プールを共有する」にてご覧いただけます。

  11. [Next] を選択します。

  12. [プリンシパル] > [プリンシパルタイプを選択] で、[AWS アカウント] を選択し、IPAM に IP アドレス範囲を取り込むアカウントのアカウント ID を入力して、[追加] を選択します。

  13. [Next] を選択します。

  14. リソース共有オプションと共有先のプリンシパルを確認し、[作成] を選択します。

  15. IPAM プールからの IP アドレス CIDR の割り当てを member-account アカウントに許可するには、AWSRAMDefaultPermissionsIpamPool を使用して 2 つ目のリソース共有を作成します。--resource-arns の値は、前のセクションで作成した IPAM プールの ARN です。--principals の値は、member-account のアカウント ID です。--permission-arns の値は、AWSRAMDefaultPermissionsIpamPool アクセス許可の ARN です。

ステップ 8: IPv6 CIDR を使用して VPC を作成する

IPAM プール ID を使用して VPC を作成します。--cidr-block オプションを使用して IPv4 CIDR ブロックも VPC に関連付ける必要があります。関連付けを行わないとリクエストは失敗します。このセクションのコマンドを実行するときは、BYOIP CIDR に使用されるプールを作成したときに入力した --locale オプションと --region の値が一致する必要があります。

このステップは、メンバーアカウントで実行する必要があります。

AWS CLI を使用して IPv6 の CIDR で VPC を作成する

  1. 以下のコマンドを実行して CIDR をプロビジョニングします。

    aws ec2 create-vpc --region us-west-2 --ipv6-ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --cidr-block 10.0.0.0/16 --ipv6-netmask-length 56 --profile member-account

    出力には、作成されている VPC が表示されます。

    {
    "Vpc": {
        "CidrBlock": "10.0.0.0/16",
        "DhcpOptionsId": "dopt-2afccf50",
        "State": "pending",
        "VpcId": "vpc-00b5573ffc3b31a29",
        "OwnerId": "123456789012",
        "InstanceTenancy": "default",
        "Ipv6CidrBlockAssociationSet": [
            {
                "AssociationId": "vpc-cidr-assoc-01b5703d6cc695b5b",
                "Ipv6CidrBlock": "2605:9cc0:409::/56",
                "Ipv6CidrBlockState": {
                    "State": "associating"
                },
                "NetworkBorderGroup": "us-east-1",
                "Ipv6Pool": "ipam-pool-0053b7d2b4fc3f730"
            }
        ],
        "CidrBlockAssociationSet": [
            {
                "AssociationId": "vpc-cidr-assoc-09cccb07d4e9a0e0e",
                "CidrBlock": "10.0.0.0/16",
                "CidrBlockState": {
                    "State": "associated"
                }
            }
        ],
        "IsDefault": false
    }
}

  2. IPAM で VPC 割り当てを表示します。

    aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account

    出力には、IPAM の割り当てが表示されます。

    {
    "IpamPoolAllocations": [
        {
            "Cidr": "2605:9cc0:409::/56",
            "IpamPoolAllocationId": "ipam-pool-alloc-5f8db726fb9e4ff0a33836e649283a52",
            "ResourceId": "vpc-00b5573ffc3b31a29",
            "ResourceType": "vpc",
            "ResourceOwner": "123456789012"
        }
    ]
}

ステップ 9: CIDR のアドバタイズ

IPAM で CIDR を割り当てた VPC を作成したら、--aws-service ec2 が定義されたプールにある AWS に、取り込まれた CIDR のアドバタイズを開始できます。このチュートリアルでは、これはリージョンプールです。デフォルトでは、CIDR はアドバタイズされません。つまり、インターネット経由でパブリックにアクセスできません。このセクションのコマンドを実行するときは、BYOIP CIDR に使用されるリージョンプールを作成したときに入力した --locale オプションと --region の値が一致する必要があります。

このステップは、IPAM アカウントで実行する必要があります。

AWS CLI を使用して CIDR のアドバタイズを開始するには

  • 次のコマンドを実行して、CIDR をアドバタイズします。

    aws ec2 advertise-byoip-cidr --region us-west-2 --cidr 2605:9cc0:409::/48 --profile ipam-account

    出力に、CIDR がアドバタイズされたことが示されます。

    {
    "ByoipCidr": {                                                                 
        "Cidr": "2605:9cc0:409::/48",                                              
        "State": "advertised"                                                      
    }                                                                              
}

ステップ 10: クリーンアップ

このセクションのステップに従って、このチュートリアルでプロビジョンし、作成したリソースをクリーンアップします。このセクションのコマンドを実行するときは、BYOIP CIDR に使用されるリージョンプールを作成したときに入力した --locale オプションと --region の値が一致する必要があります。

AWS CLI を使用したクリーンアップ

  1. 次のコマンドを実行して、IPAM の VPC 割り当てを表示します。

    このステップは、IPAM アカウントで実行する必要があります。

    aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account

    出力に、IPAM での割り当てが示されます。

    {
    "IpamPoolAllocations": [
        {
            "Cidr": "2605:9cc0:409::/56",
            "IpamPoolAllocationId": "ipam-pool-alloc-5f8db726fb9e4ff0a33836e649283a52",
            "ResourceId": "vpc-00b5573ffc3b31a29",
            "ResourceType": "vpc",
            "ResourceOwner": "123456789012"
        }
    ]
}

  2. 次のコマンドを実行して、CIDR のアドバタイズを停止します。このステップのコマンドを実行するときは、BYOIP CIDR に使用されるリージョンプールを作成したときに入力した --locale オプションと --region の値が一致する必要があります。

    このステップは、IPAM アカウントで実行する必要があります。

    aws ec2 withdraw-byoip-cidr --region us-west-2 --cidr 2605:9cc0:409::/48 --profile ipam-account

    出力に、CIDR の状態が advertised から provisioned に変更されていることが示されます。

    {
    "ByoipCidr": {
        "Cidr": "2605:9cc0:409::/48",
        "State": "provisioned"
    }
}

  3. 次のコマンドを実行して、VPC を削除します。このセクションのコマンドを実行するときは、BYOIP CIDR に使用されるリージョンプールを作成したときに入力した --locale オプションと --region の値が一致する必要があります。

    このステップは、メンバーアカウントで実行する必要があります。

    aws ec2 delete-vpc --region us-west-2 --vpc-id vpc-00b5573ffc3b31a29 --profile member-account

    このコマンドの実行では出力は表示されません。

  4. 次のコマンドを実行して、IPAM の VPC 割り当てを表示します。IPAM が、VPC が削除されたことを検出してこの割り当てを削除するまでには、少し時間がかかることがあります。このセクションのコマンドを実行するときは、BYOIP CIDR に使用されるリージョンプールを作成したときに入力した --locale オプションと --region の値が一致する必要があります。

    このステップは、IPAM アカウントで実行する必要があります。

    aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account

    出力に、IPAM での割り当てが示されます。

    {
   "IpamPoolAllocations": [                                                                                      
        {                                                                                                        
            "Cidr": "2605:9cc0:409::/56",                                                                   
            "IpamPoolAllocationId": "ipam-pool-alloc-5f8db726fb9e4ff0a33836e649283a52",                                        
            "ResourceId": "vpc-00b5573ffc3b31a29",                                                               
            "ResourceType": "vpc",                                                                               
            "ResourceOwner": "123456789012"                                                                      
        }                                                                                                        
    ]                                                                                                            
}

    コマンドを再実行し、削除する割り当てを探します。割り当てが IPAM から削除されたことが表示されるまでは、IPAM プール CIDR のクリーンアップとプロビジョン解除を続行できません。

    aws ec2 get-ipam-pool-allocations --region us-west-2 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account

    出力に、IPAM から削除された割り当てが表示されます。

    {
    "IpamPoolAllocations": []
}

  5. RAM 共有を削除し、AWS Organizations との RAM 統合を無効にします。「AWS RAM ユーザーガイド」内にある「AWS RAM のリソース共有を削除」と「AWS Organizations とのリソース共有を無効化」に記載されているステップをこの順序で行い、RAM 共有を削除して、AWS Organizations との RAM 統合を無効にします。

    このステップは、IPAM アカウントと管理アカウントのそれぞれで実行する必要があります。AWS CLI を使用して RAM 共有を削除し、RAM 統合を無効にする場合は、 --profile ipam-account および --profile management-account オプションを使用します。

  6. 次のコマンドを実行して、リージョンプール CIDR のプロビジョンを解除します。

    このステップは、IPAM アカウントで実行する必要があります。

    aws ec2 deprovision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --cidr 2605:9cc0:409::/48 --profile ipam-account

    出力に、CIDR のプロビジョン解除が保留されていることが示されます。

    {
    "IpamPoolCidr": {
        "Cidr": "2605:9cc0:409::/48",
        "State": "pending-deprovision"
    }
}

    プロビジョン解除の完了には、しばらく時間がかかります。CIDR の状態が deprovisioned と表示されるまで、コマンドを実行し続けます。

    aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --cidr 2605:9cc0:409::/48 --profile ipam-account

    出力に、CIDR のプロビジョン解除が保留されていることが示されます。

    {
    "IpamPoolCidr": {
        "Cidr": "2605:9cc0:409::/48",
        "State": "deprovisioned"
    }
}

  7. 次のコマンドを実行して、リージョンプールを削除します。

    このステップは、IPAM アカウントで実行する必要があります。

    aws ec2 delete-ipam-pool --region us-east-1 --ipam-pool-id ipam-pool-0053b7d2b4fc3f730 --profile ipam-account

    出力に、削除状態が表示されます。

    {
    "IpamPool": {
        "OwnerId": "123456789012",
        "IpamPoolId": "ipam-pool-0053b7d2b4fc3f730",
        "SourceIpamPoolId": "ipam-pool-07f2466c7158b50c4",
        "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0053b7d2b4fc3f730",
        "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
        "IpamScopeType": "public",
        "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
        "Locale": "us-east-1",
        "PoolDepth": 2,
        "State": "delete-in-progress",
        "Description": "reg-ipv6-pool",
        "AutoImport": false,
        "Advertisable": true,
        "AddressFamily": "ipv6"
    }
}

  8. 次のコマンドを実行して、最上位プール CIDR のプロビジョンを解除します。

    このステップは、IPAM アカウントで実行する必要があります。

    aws ec2 deprovision-ipam-pool-cidr --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --cidr 2605:9cc0:409::/48 --profile ipam-account

    出力に、CIDR のプロビジョン解除が保留されていることが示されます。

    {
    "IpamPoolCidr": {
        "Cidr": "2605:9cc0:409::/48",
        "State": "pending-deprovision"
    }
}

    プロビジョン解除の完了には、しばらく時間がかかります。次のコマンドを実行して、プロビジョン解除のステータスを確認します。

    aws ec2 get-ipam-pool-cidrs --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --profile ipam-account

    [deprovisioned] (プロビジョン解除済) が表示されるまで待ってから、次のステップに進みます。

    {
    "IpamPoolCidr": {                                                                                            
        "Cidr": "2605:9cc0:409::/48",                                                                         
        "State": "deprovisioned"                                                                           
    }                                                                                                            
}

  9. 次のコマンドを実行して、最上位プールを削除します。

    このステップは、IPAM アカウントで実行する必要があります。

    aws ec2 delete-ipam-pool --region us-east-1 --ipam-pool-id ipam-pool-07f2466c7158b50c4 --profile ipam-account

    出力に、削除状態が表示されます。

    {
    "IpamPool": {
        "OwnerId": "123456789012",
        "IpamPoolId": "ipam-pool-0053b7d2b4fc3f730",
        "SourceIpamPoolId": "ipam-pool-07f2466c7158b50c4",
        "IpamPoolArn": "arn:aws:ec2::123456789012:ipam-pool/ipam-pool-0053b7d2b4fc3f730",
        "IpamScopeArn": "arn:aws:ec2::123456789012:ipam-scope/ipam-scope-0087d83896280b594",
        "IpamScopeType": "public",
        "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
        "Locale": "us-east-1",
        "PoolDepth": 2,
        "State": "delete-in-progress",
        "Description": "reg-ipv6-pool",
        "AutoImport": false,
        "Advertisable": true,
        "AddressFamily": "ipv6"
    }
}

  10. 次のコマンドを実行して、IPAM を削除します。

    このステップは、IPAM アカウントで実行する必要があります。

    aws ec2 delete-ipam --region us-east-1 --ipam-id ipam-090e48e75758de279 --profile ipam-account

    出力に、IPAM 応答が示されます。これは、IPAM が削除されたことを示します。

    {
    "Ipam": {
        "OwnerId": "123456789012",
        "IpamId": "ipam-090e48e75758de279",
        "IpamArn": "arn:aws:ec2::123456789012:ipam/ipam-090e48e75758de279",
        "PublicDefaultScopeId": "ipam-scope-0087d83896280b594",
        "PrivateDefaultScopeId": "ipam-scope-08b70b04fbd524f8d",
        "ScopeCount": 2,
        "OperatingRegions": [
            {                                                                         
                "RegionName": "us-east-1"                                             
            },
            {
                "RegionName": "us-west-2"
            }     
        ]
    }
}