Compartilhar um grupo do IPAM usando o AWS RAM - Amazon Virtual Private Cloud

Compartilhar um grupo do IPAM usando o AWS RAM

Siga as etapas nesta seção para compartilhar um grupo do IPAM usando o AWS Resource Access Manager (RAM). Quando você compartilha um grupo do IPAM com o RAM, as “entidades principais” podem alocar CIDRs do grupo para recursos da AWS, como VPCs, de suas respectivas contas. Uma entidade principal é um conceito no RAM que significa qualquer conta da AWS, perfil do IAM ou unidade organizacional no AWS Organizations. Para obter mais informações, consulte Compartilhamento dos seus recursos da AWS no Guia do usuário do AWS RAM.

nota

  • Só é possível compartilhar um grupo do IPAM com o AWS RAM se você integrou o IPAM ao AWS Organizations. Para ter mais informações, consulte Integrar o IPAM a contas em uma organização da AWS Organizations. Não será possível compartilhar um grupo do IPAM com o AWS RAM se você for um usuário do IPAM com uma única conta.

  • É necessário habilitar o compartilhamento de recursos com o AWS Organizations no AWS RAM. Para obter mais informações, consulte Habilitar compartilhamento de recursos com o AWS Organizations no Guia do usuário do AWS RAM.

  • O compartilhamento do RAM só está disponível na região da AWS inicial do IPAM. Você deve criar o compartilhamento na região da AWS em que o IPAM está, não na região do grupo do IPAM.

  • A conta que cria e exclui compartilhamentos de recursos do grupo do IPAM deve ter as seguintes permissões na política do IAM anexada ao perfil do IAM:

    • ec2:PutResourcePolicy

    • ec2:DeleteResourcePolicy

  • Você pode adicionar vários grupos do IPAM a um compartilhamento do RAM.

  • Embora seja possível compartilhar grupos do IPAM com qualquer conta da AWS externa a uma organização da AWS, o IPAM monitorará somente os endereços IP em contas externas à organização se o proprietário da conta tiver realizado o processo de compartilhamento da descoberta de recursos com o administrador delegado do IPAM, conforme descrito em Integrar o IPAM a contas fora de sua organização.

AWS Management Console
Para compartilhar um grupo do IPAM usando o RAM

  1. Abra o console do IPAM em https://console.aws.amazon.com/ipam/.

  2. No painel de navegação, selecione Pools (Grupos).

  3. Por padrão, o escopo privado padrão é selecionado. Se você não quiser usar o escopo privado padrão, no menu suspenso na parte superior do painel de conteúdo, escolha o escopo que deseja usar. Para obter mais informações sobre escopos, consulte Como funciona o IPAM.

  4. No painel de conteúdo, escolha o grupo que deseja compartilhar e escolha Actions (Ações) > View details (Visualizar os detalhes).

  5. Em Resource sharing (Compartilhamento de recursos), escolha Create resource share (Criar compartilhamento de recursos). Como resultado, o console do AWSRAM é exibido. Você criará o grupo compartilhado no AWS RAM.

  6. Escolha Create a resource share (Criar um compartilhamento de recursos).

  7. Adicione um Name (Nome) para o recurso compartilhado.

  8. Em Select resource type (Selecionar tipo de recurso), selecione grupos do IPAM e escolha um ou mais grupos do IPAM.

  9. Escolha Próximo.

  10. Escolha uma das permissões para o compartilhamento de recursos:

    • AWSRAMDefaultPermissionsIpamPool: escolha esta permissão para permitir que as entidades principais visualizem os CIDRs e as alocações no grupo do IPAM compartilhado e aloque/libere CIDRs no grupo.

    • AWSRAMPermissionIpamPoolByoipCidrImport: escolha esta permissão para que as entidades possam importar CIDRs de BYOIP para o grupo do IPAM compartilhado. Você precisará dessa permissão somente se tiver CIDRs de BYOIP existentes e quiser importá-los para o IPAM e compartilhá-los com as entidades principais. Para obter informações adicionais sobre CIDRs de BYOIP para IPAM, consulte Tutorial: transferir um CIDR IPv4 BYOIP para o IPAM.

  11. Escolha as entidades principais que têm permissão para acessar esse recurso. Se as entidades principais importarem CIDRs de BYOIP existentes para esse grupo do IPAM compartilhado, adicione a conta de proprietário CIDR de BYOIP como entidade principal.

  12. Revise as opções de compartilhamento de recursos e as entidades principais com as quais você compartilhará e escolha Create (Criar).

Command line

Os comandos nesta seção estão vinculados à Documentação de referência da AWS CLI. Lá você encontrará descrições detalhadas das opções que você pode usar ao executar os comandos.

Use os seguintes comandos da AWS CLI para compartilhar um grupo do IPAM usando o RAM:

  1. Obter o ARN do IPAM: describe-ipam-pools

  2. Criar o compartilhamento de recursos: create-resource-share

  3. Visualizar o compartilhamento de recursos: get-resource-shares

Como resultado da criação do compartilhamento de recursos no RAM, outras entidades principais já podem alocar CIDRs para recursos usando o grupo do IPAM. Para obter informações sobre recursos de monitoramento criados por entidades principais, consulte Monitorar o uso do CIDR por recurso. Para obter mais informações sobre como criar uma VPC e alocar um CIDR de um grupo do IPAM compartilhado, consulte Crie uma VPC no Guia do usuário da Amazon VPC.