Definición de la estrategia de asignación de IPv4 pública con políticas de IPAM - Amazon Virtual Private Cloud

Definición de la estrategia de asignación de IPv4 pública con políticas de IPAM

Una política de IPAM es un conjunto de reglas que definen cómo se asignan a los recursos de AWS las direcciones IPv4 públicas de los grupos de IPAM. Cada regla asigna un servicio de AWS a los grupos de IPAM que el servicio utilizará para obtener las direcciones IP. Una sola política puede tener varias reglas y aplicarse a varias regiones de AWS. Si el grupo de IPAM se queda sin direcciones, los servicios recurren a las direcciones IP proporcionadas por Amazon. Una política se puede aplicar a una cuenta de AWS individual o a una entidad dentro de AWS Organizations. Si usa el modelo “traiga su propia IP (BYOIP)”, podrá reducir los costos de IPv4 pública de AWS.

Cuándo usar las políticas de IPAM

Use las políticas de IPAM para:

  • Reducir los costos de IPv4 pública mediante el uso de direcciones BYOIP

  • Controlar de forma centralizada qué grupos de IP utilizan los recursos de AWS

  • Garantizar una asignación de IP coherente en la organización

Funcionamiento

Cuando crea un recurso de AWS que necesita una dirección IP pública en una cuenta con políticas de IPAM aplicadas:

  • IPAM comprueba las reglas de política en orden.

  • Si una regla coincide con el tipo de recurso, IPAM asigna una dirección IP del grupo especificado.

  • Si el grupo está vacío y el desbordamiento está habilitado, Amazon proporciona una dirección IP.

  • Si ninguna regla coincide, se aplica el comportamiento predeterminado.

Servicios y recursos admitidos

Puede crear políticas de IPAM para definir cómo se asignan las direcciones IPv4 públicas de los grupos de IPAM a los siguientes servicios y recursos de AWS:

  • Direcciones IP elásticas (EIP)

  • Puertas de enlace NAT regionales

importante

En el caso de las EIP, si al asignarles una dirección IPv4 pública selecciona un grupo de IPAM específico, esa selección anulará la política de IPAM.

Requisitos previos

Terminología

Política de IPAM

Una política de IPAM es un conjunto de reglas que definen cómo se asignan a los recursos de AWS las direcciones IPv4 públicas de los grupos de IPAM. Cada regla asigna un servicio de AWS a los grupos de IPAM que el servicio utilizará para obtener las direcciones IP. Una sola política puede tener varias reglas y aplicarse a varias regiones de AWS. Si el grupo de IPAM se queda sin direcciones, los servicios recurren a las direcciones IP proporcionadas por Amazon. Una política se puede aplicar a una cuenta de AWS individual o a una entidad dentro de AWS Organizations. Una política se puede aplicar a una cuenta de AWS individual o a una entidad dentro de AWS Organizations.

Reglas de asignación

Configuraciones opcionales dentro de una política de IPAM que asignan tipos de recursos de AWS a grupos de IPAM específicos. Si no se define ninguna regla, los tipos de recursos utilizan de forma predeterminada las direcciones IP proporcionadas por Amazon.

Target

Una cuenta de AWS individual o una entidad dentro de una organización de AWS a la que se puede aplicar una política de IPAM.

Paso 1: creación de una política de IPAM

Uso de la consola de AWS:

Siga estos pasos para crear una política de IPAM mediante la consola de AWS:

  1. Abra la consola de IPAM en https://console.aws.amazon.com/ipam/.

  2. En el panel de navegación izquierdo, elija Políticas.

  3. Elija Create Policy (Crear política).

  4. Introduzca un nombre para la política (opcional).

  5. Seleccione el IPAM que desea asociar a esta política.

  6. (Opcional) Añada etiquetas.

  7. Elija Crear política.

Uso de AWS CLI:

Utilice el comando create-ipam-policy.

Paso 2: agregar reglas de asignación

Después de crear la política, debe agregar reglas de asignación que definan cómo se asignan las direcciones IP:

Uso de la consola de AWS:

Siga estos pasos para agregar reglas de asignación mediante la consola de AWS:

  1. En el panel de navegación izquierdo, elija Políticas.

  2. Elija la política que creó en el paso anterior.

  3. En la página de detalles de la política, seleccione la pestaña Reglas de asignación.

  4. Seleccione Crear reglas de asignación.

  5. Realice la Configuración del servicio:

    • Configuración regional: seleccione la región de AWS (us-east-1) o la zona local donde desea que se aplique esta política.

    • Tipo de recurso: seleccione el servicio o el tipo de recurso de AWS para esta política (direcciones IP elásticas).

  6. Realice la Configuración de reglas:

    • Grupo de IPAM: seleccione el grupo de IPAM que proporcionará las direcciones IP.

    • Revise los detalles del grupo (configuración regional, origen de IP pública, espacio disponible y rangos CIDR disponibles).

  7. (Opcional) Seleccione Agregar nueva regla para crear reglas adicionales.

  8. Seleccione Crear regla de asignación.

Uso de AWS CLI:

Utilice el comando modify-ipam-policy-allocation-rules.

Paso 3: Habilitar la política

Especifique qué cuentas deben utilizar esta política.

Uso de la consola de AWS:

Siga estos pasos para habilitar la política mediante la consola de AWS:

  1. En la página de detalles de la política, seleccione la pestaña Destinos.

  2. Seleccione Administrar destinos de la política.

  3. Realice una de las siguientes acciones:

    • Para el uso en una sola cuenta (IPAM no integrado con AWS Organizations), seleccione Habilitar para la cuenta.

    • Para IPAM integrado con AWS Organizations (cuando es el administrador delegado):

      • En la sección Estructura organizativa, seleccione las cuentas o las unidades organizativas donde desea aplicar esta política.

      • Marque la casilla Habilitado para cada destino.

      • Elija Save changes (Guardar cambios).

      • Importante: habilitar esta política reemplazará cualquier política de IPAM activa en las cuentas o unidades organizativas seleccionadas.

Uso de AWS CLI:

Use el comando enable-ipam-policy según la configuración:

Para el uso en una sola cuenta (IPAM no integrado con AWS Organizations):

aws ec2 enable-ipam-policy \
    --ipam-policy-id ipam-policy-12345678

Para IPAM integrado con AWS Organizations (cuando es el administrador delegado):

aws ec2 enable-ipam-policy \
    --ipam-policy-id ipam-policy-12345678 \
    --organization-target-id 123456789012
importante

Al habilitar esta política, se sustituirá cualquier política de IPAM activa en las cuentas o unidades organizativas seleccionadas.

Paso 4: (opcional) aplicación a nivel de la organización

Si ha habilitado esta política de IPAM en una entidad de AWS Organizations, use políticas declarativas para agregar administración y gobernanza centralizadas además de las políticas de IPAM.

Lo que esto aporta:

Aplicar esto a nivel de la organización proporciona los siguientes beneficios:

  • Administración centralizada de políticas en todas las cuentas de la organización

  • Aplicación automática sin necesidad de configuración por cuenta

  • Controles de gobernanza para evitar cambios de políticas a nivel de la cuenta

Requisitos previos:

Antes de configurar la aplicación a nivel de la organización, asegúrese de contar con lo siguiente:

  • AWS Organizations con todas las características habilitadas

  • IPAM en la cuenta de administración de la organización o en la cuenta del administrador delegado

  • Permisos adecuados para Organizations e IPAM

Para obtener instrucciones detalladas sobre cómo configurar la aplicación a nivel de la organización con políticas declarativas, consulte Introducción a las políticas declarativas en la Guía del usuario de AWSOrganizations.

Paso 5: probar la política

Habilite un recurso nuevo del tipo que configuró (por ejemplo, una EIP) en una de las cuentas de destino. El recurso usará automáticamente una dirección IP del grupo de IPAM.

importante

En el caso de las EIP, si al asignarles una dirección IPv4 pública selecciona un grupo de IPAM específico, esa selección anulará la política de IPAM.

Paso 6: supervisar el uso

Compruebe el grupo de IPAM en la consola para ver las direcciones IP asignadas a los recursos.