# Traga seu próprio CIDR IPv6 para o IPAM usando o Console de Gerenciamento da AWS
<a name="tutorials-byoip-ipam-console-ipv6"></a>

Siga as etapas deste tutorial para trazer um CIDR IPv6 para o IPAM e alocar uma VPC com o CIDR usando o Console de Gerenciamento e a AWS CLI da AWS.

Se você não precisar anunciar seus endereços IPv6 pela Internet, poderá provisionar um endereço GUA IPv6 privado para um IPAM. Para obter mais informações, consulte [Habilitar o provisionamento de CIDRs de GUA IPv6 privado](enable-prov-ipv6-gua.md).

**Importante**  
Para este tutorial, é necessário que você já tenha concluído as etapas nas seguintes seções:  
[Integrar o IPAM a contas em uma organização da AWS Organizations](enable-integ-ipam.md).
[Criar um IPAM](create-ipam.md).
Cada etapa deste tutorial deve ser executada por uma das três contas do AWS Organizations:  
A conta de gerenciamento
A conta de membro configurada para ser o administrador do IPAM em [Integrar o IPAM a contas em uma organização da AWS Organizations](enable-integ-ipam.md). Neste tutorial, essa conta será chamada de conta IPAM.
A conta de membro em sua organização que alocará CIDRs de um grupo do IPAM. Neste tutorial, essa conta será chamada de conta de membro.

**Topics**
+ [Etapa 1: criar um grupo do IPAM de nível superior](#tutorials-byoip-ipam-ipv6-console-1)
+ [Etapa 2. Criar um grupo regional dentro de um grupo de nível superior](#tutorials-byoip-ipam-ipv6-console-2)
+ [Etapa 3. Compartilhar o grupo regional](#tutorials-byoip-ipam-ipv4-console-4-deux)
+ [Etapa 4: criar uma VPC](#tutorials-byoip-ipam-ipv6-console-4)
+ [Etapa 5: anunciar o CIDR](#tutorials-byoip-ipam-ipv6-console-5)
+ [Etapa 6: limpeza](#tutorials-byoip-ipam-ipv6-console-cleanup)

## Etapa 1: criar um grupo do IPAM de nível superior
<a name="tutorials-byoip-ipam-ipv6-console-1"></a>

Como você vai criar um grupo de IPAM de nível superior com um grupo regional dentro, e vamos alocar espaço para um recurso do grupo regional, você definirá a localidade no grupo regional e não no grupo de nível superior. Você adicionará a localidade ao grupo regional ao criá-lo em uma etapa posterior. A integração do IPAM com o BYOIP exige que a localidade seja definida em qualquer grupo que será usado para o CIDR do BYOIP.

Esta etapa deve ser executada pela conta do IPAM.

**Para criar um grupo**

1. Abra o console do IPAM em [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/). 

1. No painel de navegação, selecione **Pools** (Grupos).

1. Por padrão, quando você cria um grupo, o escopo privado padrão é selecionado. Escolha o escopo público. Para obter mais informações sobre escopos, consulte [Como funciona o IPAM](how-it-works-ipam.md).

1. Selecione **Criar**.

1. (Opcional) Adicione uma **Name tag** (Etiqueta de nome) e uma **Description** (Descrição) para o grupo.

1. Em **Tipo de origem**, escolha **Escopo do IPAM**.

1. Em **Address family** (Família de endereços), escolha **IPv6**.

1. Em **Planejamento de recursos**, deixe a opção de **Planejar espaço IP dentro do escopo** selecionada. Para obter informações detalhadas sobre como utilizar essa opção para planejar o espaço IP de sub-redes em uma VPC, consulte [Tutorial: Planejar o espaço de endereço IP da VPC para alocações IP de sub-rede](tutorials-subnet-planning.md).

1. Em **Locale** (Local), escolha **None** (Nenhum). Você definirá a localidade no grupo Regional.

   A localidade é a Região da AWS em que você quer disponibilizar esse grupo do IPAM para alocações. Por exemplo, um CIDR pode ser alocado apenas para uma VPC de um grupo do IPAM que compartilhe uma localidade com a Região da VPC. Observe que, ao escolher uma localidade para um grupo, não será possível modificá-la. Se a região de origem do IPAM não estiver disponível devido a uma interrupção e o grupo tiver um local diferente da região de origem do IPAM, o grupo ainda poderá ser usado para alocar endereços IP.
**nota**  
Se você estiver criando apenas um único grupo e não um grupo de nível superior com grupos regionais nele, escolha uma localidade que disponibilize o grupo para alocações.

1. Em **Fonte de IP público**, a opção **BYOIP** é selecionada por padrão.

1. Em **CIDRs para provisionar**, faça um dos seguintes procedimentos:
   + Se você [verificou seu controle do domínio com um certificado X.509](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-cert), deverá incluir o CIDR, a mensagem de BYOIP e a assinatura do certificado que criou nessa etapa para que possamos confirmar que você controla o espaço público. 
   + Se você [verificou seu controle do domínio com um registro TXT do DNS](tutorials-byoip-ipam-domain-verification-methods.md#tutorials-byoip-ipam-domain-verification-dns-txt), deverá incluir o CIDR e token de verificação do IPAM criado nessa etapa para que possamos confirmar que você controla o espaço público.

   Observe que, ao provisionar um CIDR IPv6 a um grupo dentro do grupo de nível superior, o intervalo de endereços IPv6 /48 é o intervalo mais específico que você trazer para CIDRs anunciáveis publicamente e /60 para CIDRs que não são anunciáveis publicamente.
**Importante**  
Embora a maior parte do provisionamento seja concluída em até 2 horas, a conclusão do processo de provisionamento pode levar até 1 semana para intervalos que permitam anúncios públicos.

1. Desmarque a opção **Definir as configurações da regra de alocação deste grupo**.

1. (Opcional) Escolha **Tags** (Etiquetas) para o grupo.

1. Selecione **Criar**.

Certifique-se de que esse CIDR tenha sido provisionado antes de continuar. Você pode ver o estado do provisionamento na guia **CIDRs** na página de detalhes do grupo.

## Etapa 2. Criar um grupo regional dentro de um grupo de nível superior
<a name="tutorials-byoip-ipam-ipv6-console-2"></a>

Crie um grupo regional dentro de um grupo de nível superior. Um local é necessário no grupo e deve ser uma das regiões operacionais que você configurou ao criar o IPAM.

Esta etapa deve ser executada pela conta do IPAM.

**Para criar um grupo regional dentro de um grupo de nível superior**

1. Abra o console do IPAM em [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/). 

1. No painel de navegação, selecione **Pools** (Grupos).

1. Por padrão, quando você cria um grupo, o escopo privado padrão é selecionado. Se você não quiser usar o escopo privado padrão, no menu suspenso na parte superior do painel de conteúdo, escolha o escopo que deseja usar. Para obter mais informações sobre escopos, consulte [Como funciona o IPAM](how-it-works-ipam.md).

1. Selecione **Criar**.

1. (Opcional) Adicionar uma **Name tag** (Etiqueta de nome) e uma descrição para o grupo.

1. Em **Origem**, escolha o grupo de nível superior que você criou na seção anterior.

1. Em **Planejamento de recursos**, deixe a opção de **Planejar espaço IP dentro do escopo** selecionada. Para obter informações detalhadas sobre como utilizar essa opção para planejar o espaço IP de sub-redes em uma VPC, consulte [Tutorial: Planejar o espaço de endereço IP da VPC para alocações IP de sub-rede](tutorials-subnet-planning.md).

1. Escolha o local para o grupo. A escolha de uma localidade garante que não haja dependências inter-regionais entre seu grupo e os recursos alocados a partir dele. As opções disponíveis são provenientes das regiões operacionais que você escolheu ao criar seu IPAM. Neste tutorial, usaremos `us-east-2` como o local para o grupo regional.

   A localidade é a Região da AWS em que você quer disponibilizar esse grupo do IPAM para alocações. Por exemplo, um CIDR pode ser alocado apenas para uma VPC de um grupo do IPAM que compartilhe uma localidade com a Região da VPC. Observe que, ao escolher uma localidade para um grupo, não será possível modificá-la. Se a região de origem do IPAM não estiver disponível devido a uma interrupção e o grupo tiver um local diferente da região de origem do IPAM, o grupo ainda poderá ser usado para alocar endereços IP.

1. Em **Service** (Serviço), escolha **EC2 (EIP/VPC)**. O serviço selecionado determina o serviço da AWS no qual o CIDR poderá ser publicado. Atualmente, a única opção é **EC2 (EIP/VPC)**, o que significa que os CIDRs alocados desse grupo poderão ser anunciados para o serviço Amazon EC2 e para o serviço Amazon VPC (para CIDRs associados a VPCs).

1. Em **CIDRs to provision** (CIDRs a provisionar), escolha a CIDR que será provisionada para o grupo. Observe que, ao provisionar um CIDR IPv6 a um grupo dentro do grupo de nível superior, o intervalo de endereços IPv6 /48 é o intervalo mais específico que você trazer para CIDRs anunciáveis publicamente e /60 para CIDRs que não são anunciáveis publicamente.

1. Marque a opção **Definir as configurações da regra de alocação deste grupo** e escolha regras de alocação opcionais para este grupo:
   + **Importar recursos descobertos automaticamente**: essa opção não está disponível se **Locale** (Localidade) estiver definida como **None** (Nenhum). Se selecionado, o IPAM busca continuamente por recursos no intervalo de CIDRs desse grupo e os importa automaticamente para seu IPAM. Observe o seguinte:
     + Os CIDRs que serão alocados para esses recursos ainda não devem ser alocados para outros recursos para que a importação seja bem-sucedida.
     + O IPAM importará um CIDR, independentemente de sua conformidade com as regras de alocação do grupo, para que um recurso possa ser importado e posteriormente marcado como não compatível.
     + Se o IPAM descobrir vários CIDRs que se sobrepõem, importará apenas o maior deles.
     + Se o IPAM descobrir vários CIDRs com CIDRs correspondentes, importará aleatoriamente apenas um deles.
   + **Comprimento mínimo da máscara de rede**: o comprimento mínimo da máscara de rede necessário para que as alocações CIDR nesse grupo do IPAM sejam compatíveis e o bloco CIDR de maior tamanho que pode ser alocado a partir do grupo. O comprimento mínimo da máscara de rede deve ser menor que o comprimento máximo da máscara de rede. Os possíveis comprimentos de máscara de rede para endereços IPv4 são de `0` a `32`. Os possíveis comprimentos de máscara de rede para endereços IPv6 são de `0` a `128`.
   + **Comprimento padrão da máscara de rede**: um comprimento de máscara de rede padrão para alocações adicionadas a esse grupo.
   + **Comprimento máximo da máscara de rede**: o comprimento máximo da máscara de rede que será necessário para alocações de CIDR nesse grupo. Esse valor dita o bloco CIDR de menor tamanho que poderá ser alocado a partir do grupo. Certifique-se de que esse valor seja de no mínimo **/48**.
   + **Requisitos de marcação**: as tags necessárias para que os recursos aloquem espaço do grupo. Se os recursos tiverem suas tags alteradas depois de terem alocado espaço ou se as regras de marcação de alocação forem alteradas no grupo, o recurso poderá ser marcado como não compatível.
   + **Localidade**: a localidade que será necessária para recursos que usam CIDRs desse grupo. Recursos importados automaticamente que não tiverem essa localidade serão marcados como não compatíveis. Os recursos que não são importados automaticamente para o grupo não terão permissão para alocar espaço do grupo, a menos que estejam nessa localidade.

1. (Opcional) Escolha **Tags** (Etiquetas) para o grupo.

1. Ao terminar de configurar o grupo, escolha **Create pool** (Criar grupo).

Certifique-se de que esse CIDR tenha sido provisionado antes de continuar. Você pode ver o estado do provisionamento na guia **CIDRs** na página de detalhes do grupo.

## Etapa 3. Compartilhar o grupo regional
<a name="tutorials-byoip-ipam-ipv4-console-4-deux"></a>

 Siga as etapas nesta seção para compartilhar o grupo de IPAM usando o AWS Resource Access Manager (RAM). 

### Habilitar o compartilhamento de recursos no AWS RAM
<a name="61-enable-resource-sharing-in-aws-ram-deux"></a>

 Depois de criar seu IPAM, você desejará compartilhar o grupo regional com outras contas em sua organização. Antes de compartilhar um grupo do IPAM, conclua as etapas nesta seção para habilitar o compartilhamento de recursos com o AWS RAM. Se você estiver usando a AWS CLI para habilitar o compartilhamento de recursos, use a opção `--profile management-account`.

**Para habilitar o compartilhamento de recursos**

1. Com a conta gerencial do AWS Organizations, abra o console do AWS RAM em [https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/).

1. No painel de navegação esquerdo, escolha **Configurações**, depois **Habilitar compartilhamento com o AWS Organizations** e escolha **Salvar configurações**.

 Agora você pode compartilhar um grupo do IPAM com outros membros da organização.

### Compartilhar um grupo do IPAM usando o AWS RAM
<a name="62-share-an-ipam-pool-using-aws-ram-deux"></a>

 Nesta seção, você compartilhará o grupo regional com outra conta de membro do AWS Organizations. Para obter instruções completas sobre o compartilhamento de grupos do IPAM, incluindo informações sobre as permissões necessárias do IAM, consulte [Compartilhar um grupo do IPAM usando o AWS RAM](share-pool-ipam.md). Se você estiver usando a AWS CLI para habilitar o compartilhamento de recursos, use a opção `--profile ipam-account`.

**Para compartilhar um grupo do IPAM usando o AWS RAM**

1. Use a conta de administrador do IPAM e abra o console do IPAM em [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/).

1. No painel de navegação, selecione **Grupos**.

1. Escolha o escopo privado, o grupo de IPAM e **Ações** > **Visualizar detalhes**.

1. Em **Resource sharing** (Compartilhamento de recursos), escolha **Create resource share** (Criar compartilhamento de recursos). O console do AWS RAM será aberto. Você compartilhará o grupo usando o AWS RAM.

1. Escolha **Create a resource share (Criar um compartilhamento de recursos)**.

1. No console do AWS RAM, escolha **Criar um compartilhamento de recursos** novamente.

1. Adicione um **Nome** para o recurso compartilhado.

1. Em **Selecionar tipo de recurso**, escolha **Grupos do IPAM** e, em seguida, escolha o ARN do grupo que deseja compartilhar.

1. Escolha **Próximo**.

1. Escolha a permissão **AWSRAMPermissionIpamPoolByoipCidrImport**. Os detalhes das opções de permissão estão fora do escopo deste tutorial, mas você pode descobrir mais sobre essas opções em [Compartilhar um grupo do IPAM usando o AWS RAM](share-pool-ipam.md).

1. Escolha **Próximo**.

1. Em **Entidades principais** > **Selecionar tipo de entidade principal**, escolha **Conta da AWS** e insira o ID da conta que trará um intervalo de endereços IP para o IPAM e escolha **Adicionar**.

1. Escolha **Próximo**.

1. Revise as opções de compartilhamento de recursos e as entidades principais com as quais você compartilhará e escolha **Criar**.

1. Para permitir que a conta da **member-account** aloque o endereço IP CIDRS do grupo do IPAM, crie um segundo compartilhamento de recursos com `AWSRAMDefaultPermissionsIpamPool`. O valor para `--resource-arns` é o ARN do grupo do IPAM criado na seção anterior. O valor para `--principals` é o ID de **member-account**. O valor para `--permission-arns` é o ARN da permissão `AWSRAMDefaultPermissionsIpamPool`.

## Etapa 4: criar uma VPC
<a name="tutorials-byoip-ipam-ipv6-console-4"></a>

Conclua as etapas descritas em [Crie uma VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) no *Guia do usuário da Amazon VPC*.

Esta etapa deve ser executada pela conta de membro.

**nota**  
Ao abrir o VPC no Console de Gerenciamento da AWS, a região da AWS em que você cria a VPC deve corresponder à opção `Locale` escolhida ao criar o grupo que será usado para o CIDR de BYOIP.
Ao chegar à etapa de escolher um CIDR para a VPC, você terá a opção de usar um CIDR de um grupo do IPAM. Escolha o grupo regional que você criou neste tutorial.

Ao criar a VPC, a AWS aloca um CIDR no grupo do IPAM para a VPC. Você pode visualizar a alocação no IPAM escolhendo um grupo no painel de conteúdo do console do IPAM e exibindo a guia **Allocations** (Alocações) do grupo.

## Etapa 5: anunciar o CIDR
<a name="tutorials-byoip-ipam-ipv6-console-5"></a>

As etapas nesta seção devem ser realizadas pela conta do IPAM. Após criar a VPC, você pode começar a anunciar o CIDR que trouxe para a AWS que está no grupo que tem **EC2 Service (EIP/VPC)** [Serviço EC2 (EIP/VPC)] configurado. Neste tutorial, esse é o seu grupo regional. Por padrão, o CIDR não é anunciado, o que significa que não é acessível publicamente pela Internet.

Esta etapa deve ser executada pela conta do IPAM.

**Para anunciar o CIDR**

1. Abra o console do IPAM em [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/). 

1. No painel de navegação, selecione **Pools** (Grupos).

1. Por padrão, quando você cria um grupo, o escopo privado padrão é selecionado. Escolha o escopo público. Para obter mais informações sobre escopos, consulte [Como funciona o IPAM](how-it-works-ipam.md).

1. Escolha o grupo regional que você criou neste tutorial.

1. Escolha a guia **CIDRs**.

1. Selecione o CIDR de BYOIP e escolha **Actions** (Ações) >**Advertise** (Anunciar).

1. Escolha **Advertise CIDR** (Anunciar CIDR).

Como resultado, o CIDR BYOIP é anunciado e o valor na coluna **Advertising** (Publicidade) muda de **Withdrawn** (Retirado) para **Advertised** (Anunciado).

## Etapa 6: limpeza
<a name="tutorials-byoip-ipam-ipv6-console-cleanup"></a>

Siga as etapas desta seção para limpar os recursos que você provisionou e criou neste tutorial.

**Etapa 1: retirar o CIDR da publicidade**

Esta etapa deve ser executada pela conta do IPAM.

1. Abra o console do IPAM em [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/). 

1. No painel de navegação, selecione **Pools** (Grupos).

1. Por padrão, quando você cria um grupo, o escopo privado padrão é selecionado. Escolha o escopo público.

1. Escolha o grupo regional que você criou neste tutorial.

1. Escolha a guia **CIDRs**.

1. Selecione o CIDR de BYOIP e escolha **Actions** (Ações) >**Withdraw from advertising** (Retirar da publicidade).

1. Selecione **Withdraw CIDR** (Retirar CIDR).

Como resultado, o CIDR de BYOIP é anunciado e o valor na coluna **Advertising** (Publicidade) muda de **Advertised** (Anunciado) para **Withdrawn** (Retirado).

**Etapa 2: excluir a VPC**

Esta etapa deve ser executada pela conta de membro.
+ Conclua as etapas descritas em [Excluir a VPC](https://docs.aws.amazon.com/vpc/latest/userguide/delete-vpc.html) no *Guia do usuário da Amazon VPC* para excluir a VPC. Ao abrir a VPC no Console de Gerenciamento da AWS, a região da AWS da qual você excluir a VPC deve corresponder à opção `Locale` escolhida ao criar o grupo que será usado para o CIDR de BYOIP. Neste tutorial, esse é o seu grupo regional.

  Quando você exclui a VPC, leva algum tempo para o IPAM descobrir que o recurso foi excluído e desalocar o CIDR alocado para a VPC. Não é possível prosseguir para a próxima etapa na limpeza até você ver que o IPAM removeu a alocação do grupo na guia **Allocations** (Alocações) de detalhes do grupo.

**Etapa 3: excluir os compartilhamentos do RAM e desabilitar a integração do RAM com o AWS Organizations**

Esta etapa deve ser executada pela conta do IPAM e pela conta gerencial, respectivamente.
+ Conclua as etapas em [Excluir um compartilhamento de recursos no AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-delete.html) e [Desabilitar o compartilhamento de recursos com o AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/security-disable-sharing-with-orgs.html) no *Guia do usuário do AWS RAM*, nessa ordem, para excluir o compartilhamento do RAM e desabilitar a integração do RAM com o AWS Organizations.

**Etapa 4: desprovisionar os CIDRs do grupo regional e do grupo de nível superior**

Esta etapa deve ser executada pela conta do IPAM.
+ Conclua as etapas em [Desprovisionar CIDRs de um grupo](depro-pool-cidr-ipam.md) para desprovisionar os CIDRs do grupo regional e, em seguida, do grupo de nível superior, nessa ordem.

**Etapa 5: excluir o grupo regional e o grupo de nível superior**

Esta etapa deve ser executada pela conta do IPAM.
+ Conclua as etapas em [Excluir um grupo](delete-pool-ipam.md) para excluir o grupo regional e, em seguida, o grupo de nível superior, nessa ordem.