Tutorial: criar um IPAM e grupos usando o console

Neste tutorial, você cria um IPAM, integra com o AWS Organizations, cria grupos de endereços IP e cria uma VPC com um CIDR de um grupo do IPAM.

Este tutorial mostra como você pode usar o IPAM para organizar o espaço de endereços IP com base em diferentes necessidades de desenvolvimento. Depois de concluir este tutorial, você terá um grupo de endereços IP para recursos de pré-produção. Em seguida, você pode criar outros grupos com base em suas necessidades de roteamento e segurança, como um grupo para recursos de produção.

Embora você possa usar o IPAM como um único usuário, a integração com o AWS Organizations permite que você gerencie endereços IP em todas as contas em sua organização. Este tutorial aborda a integração do IPAM a contas em uma organização. Não aborda como Integrar o IPAM a contas fora de sua organização.

nota

Para os fins deste tutorial, as instruções solicitarão que você atribua um nome aos recursos do IPAM de uma maneira específica, crie recursos do IPAM em determinadas regiões e use intervalos CIDR de endereços IP específicos para seus grupos. O objetivo é agilizar as opções disponíveis no IPAM e fazer com que você comece a usá-lo rapidamente. Depois de concluir este tutorial, você pode decidir criar um novo IPAM e configurá-lo de forma diferente.

Pré-requisitos

Antes de começar, é preciso ter configurado uma conta do AWS Organizations com ao menos uma conta de membro. Para obter instruções, consulte Criar e gerenciar uma organização no Guia do usuário do AWS Organizations.

Como o AWS Organizations se integra ao IPAM

Esta seção mostra um exemplo das contas do AWS Organizations usadas neste tutorial. Há três contas em sua organização que você usa ao se integrar ao IPAM neste tutorial:

• A conta de gerenciamento (chamada example-management-account na imagem a seguir) para fazer login no console do IPAM e delegar um administrador do IPAM. Não é possível utilizar a conta de gerenciamento da organização como seu administrador do IPAM.

• Uma conta de membro (chamada example-member-account-1 na imagem a seguir) como conta de administrador do IPAM. A conta de administrador do IPAM é responsável por criar um IPAM e usá-lo para gerenciar e monitorar o uso de endereços IP em toda a organização. Qualquer conta de membro em sua organização pode ser delegada como administrador do IPAM.

• Uma conta de membro (chamada example-member-account-2 a seguir) como conta de desenvolvedor. Essa conta cria uma VPC com um CIDR alocado de um grupo do IPAM.

Além das contas, você precisará do ID da unidade organizacional (ou-fssg-q5brfv9c na imagem anterior) que contém a conta de membro que você usará como conta de desenvolvedor. Você precisa desse ID para que, em uma etapa posterior, ao compartilhar seu grupo de IPAM, seja possível compartilhá-lo com essa UO.

nota

Para obter mais informações sobre tipos de conta AWS Organizations, como contas de gerenciamento e de membros, consulte terminologia e conceitos do AWS Organizations.

Etapa 1: delegar um administrador do IPAM

Nesta etapa, você delegará uma conta de membro do AWS Organizations como administrador do IPAM. Quando você delega um administrador do IPAM, um perfil vinculado ao serviço é criado automaticamente em cada uma das suas contas de membro do AWS Organizations. O IPAM monitora o uso de endereços IP nessas contas assumindo o perfil vinculado ao serviço em cada conta de membro. Em seguida, ele pode descobrir os recursos e seus CIDRs, independentemente da sua unidade organizacional.

Você não pode concluir essa etapa a menos que tenha as permissões necessárias do AWS Identity and Access Management (IAM). Para ter mais informações, consulte Integrar o IPAM a contas em uma organização da AWS Organizations.

Para delegar uma conta de administrador do IPAM

1. Use a conta de gerenciamento do AWS Organizations e abra o console do IPAM em https://console.aws.amazon.com/ipam/.

2. No Console de Gerenciamento da AWS, escolha a Região da AWS em que você deseja trabalhar com o IPAM.

3. No painel de navegação, selecione Organization settings (Configurações da organização).

4. Escolha Delegar. A opção Delegar só estará disponível se você estiver conectado ao console como a conta de gerenciamento do AWS Organizations.

5. Insira o ID da conta da AWS para uma conta de membro da organização. O administrador do IPAM deve ser uma conta de membro do AWS Organizations, não a conta de gerenciamento.

   

6. Escolha Salvar alterações. As informações do administrador delegado são preenchidas com detalhes relacionados à conta do membro.

Etapa 2: criar um IPAM

Nesta etapa, você criará um IPAM. Quando você cria um IPAM, são criados automaticamente dois escopos para o IPAM: o escopo privado destinado a todo o espaço privado e o escopo público destinado a todos os espaços públicos. Os escopos, juntamente com grupos e alocações, são componentes-chave do seu IPAM. Para ter mais informações, consulte Como funciona o IPAM.

Para criar um IPAM

1. Usando a conta de membro do AWS Organizations delegada como administrador do IPAM na etapa anterior, abra o console do IPAM em https://console.aws.amazon.com/ipam/.

2. No Console de Gerenciamento da AWS, escolha a Região da AWS em que você deseja criar o IPAM. Crie o IPAM em sua principal região de operações.

3. Na página inicial do serviço, selecione Create IPAM (Criar IPAM).

4. Selecione Allow Amazon VPC IP Address Manager to replicate data from source account(s) into the IPAM delegate account (Permitir que o IP Address Manager da Amazon VPC replique dados das contas de origem para a conta delegada do IPAM). Se você não selecionar essa opção, não poderá criar um IPAM.

   

5. Em Regiões operacionais, escolha as regiões da AWS nas quais esse IPAM pode gerenciar e descobrir recursos. A região da AWS na qual você está criando seu IPAM é selecionada automaticamente como uma das regiões operacionais. Neste tutorial, a região de origem do nosso IPAM é us-east-1, então escolheremos us-west-1 e us-west-2 como regiões operacionais adicionais. Caso se esqueça de uma região operacional, você poderá editar as suas configurações do IPAM posteriormente e adicionar ou remover regiões.

   

6. Escolha Create IPAM (Criar IPAM).

   

Etapa 3: criar um grupo do IPAM de nível superior

Neste tutorial, você cria uma hierarquia de grupos iniciando pelo grupo do IPAM de nível superior. Nas etapas seguintes, você criará um par de grupos regionais e um grupo de desenvolvimento de pré-produção em um dos grupos regionais.

Para obter mais informações sobre hierarquias de grupo que você pode criar com o IPAM, consulte Exemplo de planos de grupo do IPAM.

Para criar um grupo de nível superior

1. Use a conta de administrador do IPAM e abra o console do IPAM em https://console.aws.amazon.com/ipam/.

2. No painel de navegação, selecione Grupos.

3. Escolha o escopo privado.

   

4. Selecione Criar.

5. Em Escopo do IPAM, deixe o escopo privado selecionado.

6. (Opcional) Adicionar uma Tag de nome e uma descrição para o grupo, por exemplo, “Grupo global”.

7. Em Tipo de origem, escolha Escopo do IPAM. Como esse é nosso grupo de nível superior, ele não terá um grupo de origem.

8. Em Address family (Família de endereços), escolha IPv4.

9. Em Planejamento de recursos, deixe a opção de Planejar espaço IP dentro do escopo selecionada. Para obter informações detalhadas sobre como utilizar essa opção para planejar o espaço IP de sub-redes em uma VPC, consulte Tutorial: Planejar o espaço de endereço IP da VPC para alocações IP de sub-rede.

10. Para Locale (Localidade), escolha None (Nenhum). Localidades são as regiões da AWS em que você quer disponibilizar esse grupo do IPAM para alocações. Você definirá a localidade para os grupos regionais que criar na próxima seção deste tutorial.

    

11. Escolha um CIDR para provisionar para o grupo. Neste exemplo, provisionamos 10.0.0.0/16.

    

12. Deixe a opção Definir as configurações da regra de alocação deste grupo desativada. Esse é o nosso grupo de nível superior, e você não alocará CIDRs para as VPCs diretamente nesse grupo. Em vez disso, você os alocará em um subgrupo criado nesse grupo.

    

13. Selecione Criar. O grupo é criado e o CIDR está em um estado de Provisão pendente:

    

14. Aguarde até que o estado seja Provisionado antes de prosseguir para a próxima etapa.

    

Agora que o seu grupo de nível superior foi criado, você criará grupos regionais em us-west-1 e us-west-2.

Etapa 4: criar grupos regionais do IPAM

Esta seção mostra como organizar os endereços IP usando dois grupos regionais. Neste tutorial, estamos seguindo um dos exemplos de planos de grupo do IPAM e criando dois grupos regionais que podem ser usados pelas contas dos membros em sua organização para alocar CIDRs para suas VPCs.

Para criar um grupo regional

1. Use a conta de administrador do IPAM e abra o console do IPAM em https://console.aws.amazon.com/ipam/.

2. No painel de navegação, selecione Grupos.

3. Escolha o escopo privado.

   

4. Selecione Criar.

5. Em Escopo do IPAM, deixe o escopo privado selecionado.

6. (Opcional) Adicione uma Tag de nome e uma descrição para o grupo, por exemplo, Grupo regional us-west-1.

   

7. Em Tipo de origem, selecione Grupo do IPAM selecione o grupo de nível superior (“Grupo global”) criado em Etapa 3: criar um grupo do IPAM de nível superior. Em seguida, em Localidade, escolha us-west-1.

   

8. Em Planejamento de recursos, deixe a opção de Planejar espaço IP dentro do escopo selecionada. Para obter informações detalhadas sobre como utilizar essa opção para planejar o espaço IP de sub-redes em uma VPC, consulte Tutorial: Planejar o espaço de endereço IP da VPC para alocações IP de sub-rede.

9. Em CIDRs para provisão, insira 10.0.0.0/18, que fornecerá a esse grupo cerca de 16.000 endereços IP disponíveis.

   

10. Deixe a opção Definir as configurações da regra de alocação deste grupo desativada. Você não alocará CIDRs para as VPCs diretamente desse grupo. Em vez disso, você os alocará em um subgrupo criado nesse grupo.

    

11. Selecione Criar.

12. Retorne à visualização de Grupos para ver a hierarquia dos grupos do IPAM criados.

    

13. Repita as etapas nesta seção e crie um segundo grupo regional na localidade us-west-2 com o CIDR 10.0.64.0/18 provisionado para ele. Ao concluir esse processo, você terá três grupos em uma hierarquia semelhante a esta:

    

Etapa 5: criar um grupo de desenvolvimento pré-produção

Siga as etapas desta seção para criar um grupo de desenvolvimento para recursos de pré-produção em um dos seus grupos regionais.

Para criar um grupo de desenvolvimento de pré-produção

1. Da mesma forma que você fez na seção anterior, usando a conta de administrador do IPAM, crie um grupo chamado Grupo de pré-produção, mas desta vez use o Grupo regional us-west-1 como o grupo de origem.

   

2. Especifique um CIDR de 10.0.0.0/20 para provisionar, o que fornecerá a esse grupo cerca de 4.000 endereços IP.

   

3. Alterne a opção para Definir as configurações da regra de alocação deste grupo. Faça o seguinte:

   1. Em Gerenciamento do CIDR, em Importar automaticamente recursos descobertos, deixe selecionada a opção padrão Não permitir. Essa opção permitirá que o IPAM importe automaticamente os CIDRs de recursos descobertos no local do grupo. Uma descrição detalhada dessa opção está fora do escopo deste tutorial, mas você pode ler mais sobre a opção em Criar um grupo de IPv4 de nível superior.

   2. Em Conformidade da máscara de rede, escolha /24 para o comprimento mínimo, padrão e máximo da máscara de rede. Uma descrição detalhada dessa opção está fora do escopo deste tutorial, mas você pode ler mais sobre a opção em Criar um grupo de IPv4 de nível superior. É importante observar que a VPC criada posteriormente com um CIDR nesse grupo será limitada a /24 com base no que definimos aqui.

   3. Em Conformidade de tags, insira ambiente/pré-produção. Essa tag será necessária para que as VPCs aloquem espaço no grupo. Posteriormente, demonstraremos como isso funciona.

   

4. Selecione Criar.

5. A hierarquia do grupo agora inclui um subgrupo adicional no Grupo regional us-west-1:

   

Agora você pode compartilhar o grupo do IPAM com outra conta de membro em sua organização e permitir que essa conta aloque um CIDR do grupo para criar uma VPC.

Etapa 6: compartilhar o grupo do IPAM

Siga as etapas nesta seção para compartilhar o grupo do IPAM de pré-produção usando o AWS Resource Access Manager (RAM).

Esta seção consiste em duas subseções:

• Etapa 6.1. Habilitar o compartilhamento de recursos no AWS RAM: esta etapa deve ser realizada pela conta de gerenciamento do AWS Organizations.

• Etapa 6.2. Compartilhar um grupo do IPAM usando o AWS RAM: esta etapa deve ser realizada pelo administrador do IPAM.

Etapa 6.1. Habilitar o compartilhamento de recursos no AWS RAM

Depois de criar seu IPAM, você desejará compartilhar grupos de endereços IP com outras contas em sua organização. Antes de compartilhar um grupo do IPAM, conclua as etapas nesta seção para habilitar o compartilhamento de recursos com o AWS RAM.

Para habilitar o compartilhamento de recursos

1. Com a conta de gerenciamento do AWS Organizations, abra o console do AWS RAM em https://console.aws.amazon.com/ram/.

2. No painel de navegação esquerdo, escolha Configurações, depois Habilitar compartilhamento com o AWS Organizations e escolha Salvar configurações.

   

Agora você pode compartilhar um grupo do IPAM com outros membros da organização.

Etapa 6.2. Compartilhar um grupo do IPAM usando o AWS RAM

Nesta seção, você compartilhará o grupo de desenvolvimento de pré-produção com outra conta de membro do AWS Organizations. Para obter instruções completas sobre o compartilhamento de grupos do IPAM, incluindo informações sobre as permissões necessárias do IAM, consulte Compartilhar um grupo do IPAM usando o AWS RAM.

Para compartilhar um grupo do IPAM usando o AWS RAM

1. Use a conta de administrador do IPAM e abra o console do IPAM em https://console.aws.amazon.com/ipam/.

2. No painel de navegação, selecione Grupos.

3. Escolha o escopo privado, o grupo do IPAM de pré-produção e Ações > Visualizar detalhes.

4. Em Resource sharing (Compartilhamento de recursos), escolha Create resource share (Criar compartilhamento de recursos). O console do AWS RAM será aberto. Você compartilhará o grupo usando o AWS RAM.

5. Escolha Create a resource share (Criar um compartilhamento de recursos).

   

   O console do AWS RAM será aberto.

6. No console do AWS RAM, escolha Criar um compartilhamento de recursos novamente.

7. Adicione um Nome para o recurso compartilhado.

8. Em Selecionar tipo de recurso, escolha Grupos do IPAM e, em seguida, escolha o ARN do grupo de desenvolvimento de pré-produção.

   

9. Escolha Próximo.

10. Deixe a permissão padrão AWSRAMDefaultPermissionsIpamPool selecionada. Os detalhes das opções de permissão estão fora do escopo deste tutorial, mas você pode descobrir mais sobre essas opções em Compartilhar um grupo do IPAM usando o AWS RAM.

    

11. Escolha Próximo.

12. Em Entidades principais, escolha Permitir compartilhamento somente dentro da sua organização. Insira o ID da sua da unidade organizacional do AWS Organizations (conforme mencionado em Como o AWS Organizations se integra ao IPAM) e escolha Adicionar.

    

13. Escolha Próximo.

14. Revise as opções de compartilhamento de recursos e as entidades principais com as quais você compartilhará e escolha Criar.

Agora que o grupo foi compartilhado, vá para a próxima etapa para criar uma VPC com um CIDR alocado em um grupo do IPAM.

Etapa 7: criar uma VPC com um CIDR alocado em um grupo do IPAM

Siga as etapas nesta seção para criar uma VPC com um CIDR alocado no grupo de pré-produção. Essa etapa deve ser concluída pela conta de membro na UO com a qual o grupo do IPAM foi compartilhado na seção anterior (chamada example-member-account-2 em Como o AWS Organizations se integra ao IPAM). Para obter mais informações sobre as permissões do IAM necessárias para criar VPCs, consulte exemplos de políticas da Amazon VPC no Guia do usuário da Amazon VPC.

Para criar uma VPC com um CIDR alocado em um grupo do IPAM

1. Usando a conta de membro, abra o console da VPC em https://console.aws.amazon.com/vpc/ como a conta de membro que você usará como conta de desenvolvedor.

2. Escolha Criar VPC.

3. Faça o seguinte:

   1. Insira um nome, como Exemplo de VPC.

   2. Escolha o bloco CIDR IPv4 alocado pelo IPAM.

   3. Em Grupo IPv4 do IPAM, escolha o ID do grupo de pré-produção.

   4. Escolha um comprimento de Máscara de rede. Como você limitou o comprimento da máscara de rede disponível para esse grupo a /24 (em Etapa 5: criar um grupo de desenvolvimento pré-produção), a única opção de máscara de rede disponível é /24.

      

4. Para fins de demonstração, em Tags, não adicione nenhuma tag adicional no momento. Ao criar o grupo de pré-produção (em 5. Criar um grupo de desenvolvimento de pré-produção), você adicionou uma regra de alocação que exigia que todas as VPCs criadas com CIDRs nesse grupo tivessem uma tag de ambiente/pré-produção. Deixe a tag de ambiente/pré-produção desativada por enquanto para que você possa ver que aparece um erro informando que uma tag necessária não foi adicionada.

5. Escolha Criar VPC.

6. Aparece um erro informando que uma tag necessária não foi adicionada. O erro aparece porque você definiu uma regra de alocação ao criar o grupo de pré-produção (em Etapa 5: criar um grupo de desenvolvimento pré-produção). A regra de alocação exigia que todas as VPCs criadas com CIDRs nesse grupo tivessem uma tag de ambiente/pré-produção.

   

7. Agora, em Tags, adicione a tag ambiente/pré-produção e escolha Criar VPC novamente.

   

8. A VPC é criada com sucesso e está em conformidade com a regra de tag no grupo de pré-produção:

   

No painel Recursos do console do IPAM, o administrador do IPAM poderá ver e gerenciar a VPC e seu CIDR alocado. Observe que a VPC leva algum tempo para aparecer no painel Recursos.

Etapa 8: limpeza

Neste tutorial, você criou um IPAM com um administrador delegado, criou vários grupos e habilitou uma conta de membro em sua organização para alocar um CIDR da VPC em um grupo.

Siga as etapas desta seção para limpar os recursos criados neste tutorial.

Para limpar os recursos criados neste tutorial

1. Usando a conta de membro que criou a VPC de exemplo, exclua a VPC. Para obter instruções detalhadas, consulte Excluir sua VPC no Guia do usuário da Amazon Virtual Private Cloud.

2. Com a conta de administrador do IPAM, exclua o exemplo de compartilhamento de recursos no console do AWS RAM. Para obter instruções detalhadas, consulte Excluir um compartilhamento de recursos no AWSAWS RAM no Guia do usuário do AWS Resource Access Manager.

3. Usando a conta de administrador do IPAM, faça login no console do RAM e desative o compartilhamento com o AWS Organizations que você habilita em Etapa 6.1. Habilitar o compartilhamento de recursos no AWS RAM.

4. Use a conta de administrador do IPAM e exclua o exemplo de IPAM ao selecionar o IPAM no console do IPAM e escolher Ações > Excluir. Para obter instruções detalhadas, consulte Excluir um IPAM.

5. Quando for solicitada a exclusão do IPAM, escolha Excluir em cascata. Isso excluirá todos os escopos e grupos dentro do IPAM antes de excluir o IPAM.

   

6. Insira excluir e escolha Excluir.

7. Usando a conta de gerenciamento do AWS Organizations, faça login no console do IPAM, escolha Configurações e remova a conta de administrador delegado.

8. (Opcional) Quando você integra o IPAM ao AWS Organizations, o IPAM cria automaticamente um perfil vinculado ao serviço em cada conta de membro. Com o uso de cada uma das contas de membro do AWS Organizations, faça login no IAM e exclua o perfil vinculado ao serviço AWSServiceRoleForIPAM em cada conta de membro.

9. A limpeza está completa.