Définir une stratégie IPv4 d'allocation publique avec les politiques de l'IPAM - Amazon Virtual Private Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Définir une stratégie IPv4 d'allocation publique avec les politiques de l'IPAM

Une politique IPAM est un ensemble de règles qui définissent la manière dont les IPv4 adresses publiques des pools IPAM sont allouées aux AWS ressources. Chaque règle associe un AWS service à des pools IPAM que le service utilisera pour obtenir des adresses IP. Une même politique peut comporter plusieurs règles et être appliquée à plusieurs AWS régions. Si le pool IPAM est à court d'adresses, les services se rabattent sur les adresses IP fournies par Amazon. Une politique peut être appliquée à un AWS compte individuel ou à une entité au sein d' AWS Organizations. Si vous apportez votre propre adresse IP (BYOIP), cela permet de réduire vos dépenses AWS publiques IPv4 .

Quand utiliser les politiques IPAM

Utilisez les politiques IPAM pour :

  • Réduisez les IPv4 coûts publics en utilisant des adresses BYOIP

  • Contrôlez de manière centralisée les pools IP utilisés par vos AWS ressources

  • Garantissez une allocation IP cohérente au sein de votre organisation

Fonctionnement

Lorsque vous créez une AWS ressource qui a besoin d'une adresse IP publique dans un compte avec des politiques IPAM appliquées :

  • L'IPAM vérifie l'ordre de vos règles de politique.

  • Si une règle correspond au type de ressource, IPAM alloue une adresse IP à partir du pool spécifié.

  • Si le pool est vide et que le débordement est activé, Amazon fournit une adresse IP.

  • Si aucune règle ne correspond, le comportement par défaut s'applique.

Services et ressources pris en charge

Vous pouvez créer des politiques IPAM pour définir comment les IPv4 adresses publiques des pools IPAM sont allouées aux AWS services et ressources suivants :

  • Adresses IP élastiques (EIPs)

  • Passerelles NAT régionales

Important

En EIPs effet, si vous choisissez un pool IPAM spécifique lorsque vous leur attribuez une IPv4 adresse publique, cela remplacera la politique IPAM.

Conditions préalables

Terminologie

Politique IPAM

Une politique IPAM est un ensemble de règles qui définissent la manière dont les IPv4 adresses publiques des pools IPAM sont allouées aux AWS ressources. Chaque règle associe un AWS service à des pools IPAM que le service utilisera pour obtenir des adresses IP. Une même politique peut comporter plusieurs règles et être appliquée à plusieurs AWS régions. Si le pool IPAM est à court d'adresses, les services se rabattent sur les adresses IP fournies par Amazon. Une politique peut être appliquée à un AWS compte individuel ou à une entité au sein d' AWS Organizations. Une politique peut être appliquée à un AWS compte individuel ou à une entité au sein d' AWS Organizations.

Règles d'allocation

Configurations facultatives au sein d'une politique IPAM qui mappent AWS des types de ressources à des pools IPAM spécifiques. Si aucune règle n'est définie, les types de ressources utilisent par défaut les adresses IP fournies par Amazon.

Cible

AWS Compte individuel ou entité au sein d'une AWS organisation auquel une politique IPAM peut être appliquée.

Étape 1 : créer une politique IPAM

À l'aide de AWS la console :

Procédez comme suit pour créer une politique IPAM à l'aide de la AWS console :

  1. Ouvrez la console IPAM à https://console.aws.amazon.com/ipam/l'adresse.

  2. Dans le volet de navigation de gauche, choisissez Politiques.

  3. Choisissez Créer une politique.

  4. Entrez un nom pour votre police (facultatif).

  5. Sélectionnez l'IPAM à associer à cette politique.

  6. (Facultatif) Ajoutez des balises.

  7. Choisissez Create Policy (Créer une politique).

À l'aide de la AWS CLI :

Utilisez la commande create-ipam-policy.

Étape 2 : Ajouter des règles d'allocation

Après avoir créé la politique, vous devez ajouter des règles d'allocation qui définissent le mode d'allocation des adresses IP :

À l'aide de AWS la console :

Procédez comme suit pour ajouter des règles d'allocation à l'aide de la AWS console :

  1. Dans le volet de navigation de gauche, choisissez Politiques.

  2. Choisissez la politique que vous avez créée à l'étape précédente.

  3. Sur la page des détails de votre politique, choisissez l'onglet Règles d'allocation.

  4. Choisissez Créer des règles de répartition.

  5. Configurez la configuration du service :

    • Lieu : Choisissez la AWS région (us-east-1) ou la zone locale dans laquelle vous souhaitez que cette politique s'applique.

    • Type de ressource : sélectionnez le type de AWS service ou de ressource pour cette politique (adresses IP élastiques).

  6. Configuration des règles :

    • Pool IPAM : sélectionnez le pool IPAM qui fournira les adresses IP.

    • Vérifiez les détails du pool (paramètres régionaux, source IP publique, espace disponible et plages d'adresses CIDR disponibles).

  7. (Facultatif) Choisissez Ajouter une nouvelle règle pour créer des règles supplémentaires.

  8. Choisissez Créer une règle d'allocation.

À l'aide de la AWS CLI :

Utilisez la commande modify-ipam-policy-allocation-rules.

Étape 3 : activer la politique

Spécifiez les comptes qui doivent utiliser cette politique.

À l'aide de AWS la console :

Procédez comme suit pour activer la politique à l'aide de la AWS console :

  1. Sur la page des détails de votre politique, choisissez l'onglet Cibles.

  2. Choisissez Gérer les objectifs de politique.

  3. Effectuez l’une des actions suivantes :

    • Pour utiliser un seul compte (IPAM n'est pas intégré à AWS Organizations), choisissez Enable pour votre compte.

    • Pour l'intégration d'IPAM à AWS Organizations (lorsque vous êtes l'administrateur délégué) :

      • Dans la section Structure organisationnelle, sélectionnez les comptes ou les unités organisationnelles auxquels vous souhaitez appliquer cette politique.

      • Cochez la case Activé pour chaque cible.

      • Choisissez Save Changes (Enregistrer les modifications).

      • Important : l'activation de cette stratégie remplacera toutes les politiques IPAM actives sur les comptes ou unités organisationnelles sélectionnés.

À l'aide de la AWS CLI :

Utilisez la enable-ipam-policycommande en fonction de votre configuration :

Pour l'utilisation d'un seul compte (IPAM non intégré à AWS Organizations) :

aws ec2 enable-ipam-policy \
    --ipam-policy-id ipam-policy-12345678

Pour l'intégration d'IPAM à AWS Organizations (lorsque vous êtes l'administrateur délégué) :

aws ec2 enable-ipam-policy \
    --ipam-policy-id ipam-policy-12345678 \
    --organization-target-id 123456789012
Important

L'activation de cette stratégie remplacera toutes les politiques IPAM actives sur les comptes ou unités organisationnelles sélectionnés.

Étape 4 : (Facultatif) Application à l'échelle de l'organisation

Si vous avez activé cette politique IPAM sur une entité AWS Organizations, utilisez des politiques déclaratives pour ajouter une gestion et une gouvernance centralisées à vos politiques IPAM.

Ce que cela ajoute :

L'application de la loi à l'échelle de l'organisation offre les avantages suivants :

  • Gestion centralisée des politiques sur tous les comptes de l'organisation

  • Application automatique sans configuration par compte

  • Contrôles de gouvernance pour empêcher les changements de politique au niveau du compte

Prérequis :

Avant de mettre en place une mise en œuvre à l'échelle de l'organisation, assurez-vous de disposer des éléments suivants :

  • AWS Organisations dont toutes les fonctionnalités sont activées

  • IPAM dans le compte de gestion de l'organisation ou le compte administrateur délégué

  • Autorisations appropriées pour les Organizations et l'IPAM

Pour obtenir des instructions détaillées sur la configuration de l'application des politiques déclaratives à l'échelle de l'organisation, voir Getting started with declarative policies dans le Guide de l'utilisateur des AWS Organizations.

Étape 5 : Testez votre politique

Activez une nouvelle ressource du type que vous avez configuré (comme un EIP) dans l'un des comptes cibles. La ressource utilisera automatiquement une adresse IP de votre pool IPAM.

Important

En EIPs effet, si vous choisissez un pool IPAM spécifique lorsque vous leur attribuez une IPv4 adresse publique, cela remplacera la politique IPAM.

Étape 6 : Surveiller l'utilisation

Vérifiez votre pool IPAM dans la console pour voir les adresses IP allouées à vos ressources.