# Definición de la estrategia de asignación de IPv4 pública con políticas de IPAM Una política de IPAM es un conjunto de reglas que definen cómo se asignan a los recursos de AWS las direcciones IPv4 públicas de los grupos de IPAM. Cada regla asigna un servicio de AWS a los grupos de IPAM que el servicio utilizará para obtener las direcciones IP. Una sola política puede tener varias reglas y aplicarse a varias regiones de AWS. Si el grupo de IPAM se queda sin direcciones, los servicios recurren a las direcciones IP proporcionadas por Amazon. Una política se puede aplicar a una cuenta de AWS individual o a una entidad dentro de AWS Organizations. Si usa el modelo “[traiga su propia IP (BYOIP)](https://docs.aws.amazon.com/vpc/latest/ipam/tutorials-byoip-ipam.html)”, podrá reducir los costos de IPv4 pública de AWS. **Cuándo usar las políticas de IPAM** Use las políticas de IPAM para: + Reducir los costos de IPv4 pública mediante el uso de direcciones BYOIP + Controlar de forma centralizada qué grupos de IP utilizan los recursos de AWS + Garantizar una asignación de IP coherente en la organización **Funcionamiento** Cuando crea un recurso de AWS que necesita una dirección IP pública en una cuenta con políticas de IPAM aplicadas: + IPAM comprueba las reglas de política en orden. + Si una regla coincide con el tipo de recurso, IPAM asigna una dirección IP del grupo especificado. + Si el grupo está vacío y el desbordamiento está habilitado, Amazon proporciona una dirección IP. + Si ninguna regla coincide, se aplica el comportamiento predeterminado. **Servicios y recursos admitidos** Puede crear políticas de IPAM para definir cómo se asignan las direcciones IPv4 públicas de los grupos de IPAM a los siguientes servicios y recursos de AWS: + Direcciones IP elásticas (EIP) + Equilibradores de carga de aplicación (ALB) + Amazon Relational Database Service (RDS) + Puertas de enlace NAT regionales **importante** Si al crear un recurso de AWS selecciona un grupo de IPAM específico o un ID de asignación de EIP, esa selección anulará la política de IPAM. **Requisitos previos** + Un [IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/create-ipam.html) en la cuenta de administrador delegado con el [nivel avanzado](https://docs.aws.amazon.com/vpc/latest/ipam/mod-ipam-tier.html) habilitado + Un [grupo de IPAM público](https://docs.aws.amazon.com/vpc/latest/ipam/create-top-ipam.html) con direcciones IPv4 + [Permisos de IAM](https://docs.aws.amazon.com/vpc/latest/ipam/iam-ipam.html) para operaciones de IPAM y EC2 **Terminología** **Política de IPAM** Una política de IPAM es un conjunto de reglas que definen cómo se asignan a los recursos de AWS las direcciones IPv4 públicas de los grupos de IPAM. Cada regla asigna un servicio de AWS a los grupos de IPAM que el servicio utilizará para obtener las direcciones IP. Una sola política puede tener varias reglas y aplicarse a varias regiones de AWS. Si el grupo de IPAM se queda sin direcciones, los servicios recurren a las direcciones IP proporcionadas por Amazon. Una política se puede aplicar a una cuenta de AWS individual o a una entidad dentro de AWS Organizations. Una política se puede aplicar a una cuenta de AWS individual o a una entidad dentro de AWS Organizations. **Reglas de asignación** Configuraciones opcionales dentro de una política de IPAM que asignan tipos de recursos de AWS a grupos de IPAM específicos. Si no se define ninguna regla, los tipos de recursos utilizan de forma predeterminada las direcciones IP proporcionadas por Amazon. **Target** Una cuenta de AWS individual o una entidad dentro de una organización de AWS a la que se puede aplicar una política de IPAM. **Paso 1: creación de una política de IPAM** **Uso de la consola de AWS:** Siga estos pasos para crear una política de IPAM mediante la consola de AWS: 1. Abra la consola de IPAM en [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/). 1. En el panel de navegación izquierdo, elija **Políticas**. 1. Elija **Create Policy** (Crear política). 1. Introduzca un **nombre** para la política (opcional). 1. Seleccione el **IPAM** que desea asociar a esta política. 1. (Opcional) Añada etiquetas. 1. Elija **Create Policy** (Crear política). **Uso de AWS CLI:** Utilice el comando [create-ipam-policy](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-ipam-policy.html). **Paso 2: agregar reglas de asignación** Después de crear la política, debe agregar reglas de asignación que definan cómo se asignan las direcciones IP: **Uso de la consola de AWS:** Siga estos pasos para agregar reglas de asignación mediante la consola de AWS: 1. En el panel de navegación izquierdo, elija **Políticas**. 1. Elija la política que creó en el paso anterior. 1. En la página de detalles de la política, seleccione la pestaña **Reglas de asignación**. 1. Seleccione **Crear reglas de asignación**. 1. Realice la **Configuración del servicio**: + **Configuración regional**: seleccione la región de AWS (us-east-1) o la zona local donde desea que se aplique esta política. + **Tipo de recurso**: seleccione el servicio o tipo de recurso de AWS para esta política (direcciones IP elásticas, instancias de bases de datos de RDS, equilibradores de carga de aplicación o puertas de enlace NAT en modo de disponibilidad regional). 1. Realice la **Configuración de reglas**: + **Grupo de IPAM**: seleccione el grupo de IPAM que proporcionará las direcciones IP. + Revise los detalles del grupo (configuración regional, origen de IP pública, espacio disponible y rangos CIDR disponibles). 1. (Opcional) Seleccione **Agregar nueva regla** para crear reglas adicionales. 1. Seleccione **Crear regla de asignación**. **Uso de AWS CLI:** Utilice el comando [modify-ipam-policy-allocation-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-ipam-policy-allocation-rules.html). **Paso 3: Habilitar la política** Especifique qué cuentas deben utilizar esta política. **Uso de la consola de AWS:** Siga estos pasos para habilitar la política mediante la consola de AWS: 1. En la página de detalles de la política, seleccione la pestaña **Destinos**. 1. Seleccione **Administrar destinos de la política**. 1. Realice una de las siguientes acciones: + Para el uso en una sola cuenta (IPAM no integrado con AWS Organizations), seleccione **Habilitar para la cuenta**. + Para IPAM integrado con AWS Organizations (cuando es el administrador delegado): + En la sección **Estructura organizativa**, seleccione las cuentas o las unidades organizativas donde desea aplicar esta política. + Marque la casilla **Habilitado** para cada destino. + Elija **Save changes (Guardar cambios)**. + **Importante**: habilitar esta política reemplazará cualquier política de IPAM activa en las cuentas o unidades organizativas seleccionadas. **Uso de AWS CLI:** Use el comando [enable-ipam-policy](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ipam-policy.html) según la configuración: Para el uso en una sola cuenta (IPAM no integrado con AWS Organizations): ``` aws ec2 enable-ipam-policy \ --ipam-policy-id ipam-policy-12345678 ``` En IPAM integrado con AWS Organizations (cuando es el administrador delegado), establezca una política que se dirija a una cuenta de la organización de AWS: ``` aws ec2 enable-ipam-policy \ --ipam-policy-id ipam-policy-12345678 \ --organization-target-id 123456789012 ``` En IPAM integrado con AWS Organizations (cuando es el administrador delegado), establezca una política que se dirija a una unidad organizativa: ``` aws ec2 enable-ipam-policy \ --ipam-policy-id ipam-policy-12345678 \ --organization-target-id ou-123 ``` **importante** Al habilitar esta política, se sustituirá cualquier política de IPAM activa en las cuentas o unidades organizativas seleccionadas. **Paso 4: probar la política** Cree un recurso nuevo del tipo que configuró (por ejemplo, una EIP) en una de las cuentas de destino. El recurso usará automáticamente una dirección IP del grupo de IPAM. **importante** Si al crear un recurso de AWS selecciona un grupo de IPAM específico o un ID de asignación de EIP, esa selección anulará la política de IPAM. **Paso 5: supervisar el uso** Compruebe el [grupo de IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/monitor-cidr-usage-ipam.html) en la consola para ver las direcciones IP asignadas a los recursos.