Pasos para otorgar la autorización Paso 1: Cree un objeto de ROA Paso 2: Creación de un certificado X.509 autofirmado Paso 3: Cree un mensaje de autorización firmada

Prepárese para traer su rango de direcciones IP a su cuenta de AWS: autorización

Para asegurarnos de que usted sea la única persona que puede traer su espacio de dirección IP a Amazon, necesitamos dos autorizaciones:

Debe autorizar a Amazon para anunciar el rango de direcciones IP.
Debe demostrar que es el propietario del rango de direcciones IP y que, por lo tanto, tiene la autoridad para transferirlo a AWS.

nota
Cuando utiliza BYOIP para llevar un rango de direcciones IP a AWS, no puede transferir la propiedad de ese rango de direcciones a otra cuenta o empresa mientras lo anunciamos. Tampoco puede transferir directamente un rango de direcciones IP de una cuenta de AWS a otra. Para transferir la propiedad o realizar transferencias entre cuentas de AWS, debe desaprovisionar el rango de direcciones y, a continuación, el nuevo propietario debe seguir los pasos para añadir el rango de direcciones a su cuenta de AWS.

Para autorizar a Amazon a anunciar el rango de direcciones IP, debe proporcionar a Amazon un mensaje de autorización firmado. Utilice una autorización de origen de ruta, o ROA, para proporcionar esta autorización. Una ROA es una declaración criptográfica sobre sus anuncios de ruta que puede crear a través de su Registro regional de Internet o RIR. Una ROA contiene el rango de direcciones IP, los Números de Sistema Autónomo (ASN) que pueden anunciar el rango de direcciones IP y una fecha de vencimiento. La ROA da permiso a Amazon para anunciar un rango de direcciones IP de un Sistema Autónomo (AS) específico.

Sin embargo, no permite que su cuenta de AWS traiga el rango de direcciones IP a AWS. Para conceder esta autorización, debe publicar un certificado X.509 autofirmado en los comentarios del Protocolo de Acceso a Datos de Registro (RDAP) para el rango de direcciones IP. El certificado contiene una clave pública que AWS utiliza para verificar la firma del contexto de autorización que proporcionó. Conserve su clave privada en un lugar seguro y utilícela para firmar el mensaje del contexto de autorización.

En las siguientes secciones se proporcionan instrucciones detalladas para realizar estas tareas de autorización. Los comandos de estos pasos son compatibles con Linux. Si usa Windows, puede acceder al Windows Subsystem for Linux para ejecutar comandos de Linux.

Pasos para otorgar la autorización

Paso 1: Cree un objeto de ROA
Paso 2: Creación de un certificado X.509 autofirmado
Paso 3: Cree un mensaje de autorización firmada

Paso 1: Cree un objeto de ROA

Cree un objeto de ROA para permitir que el ASN de Amazon 16509 anuncie su rango de direcciones IP, así como también los ASN que cuentan actualmente con autorización para anunciar el rango de direcciones IP. La ROA debe contener la dirección IP /24 a la que quiera traer a AWS y su longitud máxima debe ser /24.

Para obtener más información sobre la creación de una solicitud de ROA, consulte las siguientes secciones, en función del lugar donde haya registrado el rango de direcciones IP:

Paso 2: Creación de un certificado X.509 autofirmado

Creación de un par de claves y un certificado X.509 autofirmado y, a continuación, agréguelo al registro de RDAP para su RIR. En los siguientes pasos se describe cómo realizar estas tareas.

nota

Los comandos openssl en estos pasos requieren la versión 1.0.2 o posterior de OpenSSL.

Crear y agregar un certificado X.509

Genere un par de claves RSA de 2048 bits con el siguiente comando.
```
openssl genrsa -out private.key 2048
```
Cree un certificado X.509 público a partir del par de claves con el siguiente comando.
```
openssl req -new -x509 -key private.key -days 365 | tr -d "\n" > publickey.cer
```
En este ejemplo, el certificado vence en 365 días. Pasada dicha cantidad de días, no será fiable. Cuando ejecute el comando, asegúrese de establecer la opción –days en el valor deseado para un vencimiento correcto. Cuando se le pida otra información, puede aceptar los valores predeterminados.
Actualice el registro de RDAP para su RIR con el certificado X.509 mediante los siguientes pasos, en función de su RIR.
1. Use el comando siguiente para ver el certificado.
```
cat publickey.cer
```
2. Agregue el certificado que creó anteriormente al registro de RDAP para su RIR. Asegúrese de incluir las cadenas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE----- antes y después de la parte codificada. Todo este contenido debe estar en una sola línea larga. El procedimiento para actualizar el RDAP depende de su RIR:
  - Para ARIN, utilice el portal del administrador de cuentas para agregar el certificado en la sección “Comentarios públicos” del objeto “Información de red” que representa su rango de direcciones. No lo añada a la sección de comentarios de su organización.
  - Para RIPE, agregue el certificado como un nuevo campo “descr” al objeto “inetnum” o “inet6num” que representa su rango de direcciones. Por lo general, se encuentran en la sección “Mis recursos” del portal de bases de datos de RIPE. No lo agregue a la sección de comentarios de la organización ni al campo “comentarios” de los objetos anteriores.
  - Para APNIC, envíe el certificado por correo electrónico a helpdesk@apnic.net para agregarla manualmente al campo “observaciones”. Envíe el correo electrónico con el contacto autorizado de APNIC para las direcciones IP.
  Puede eliminar el certificado del registro de su RIR una vez que se haya completado la siguiente etapa de aprovisionamiento.

Paso 3: Cree un mensaje de autorización firmada

Crear el mensaje de autorización firmado para permitir que Amazon anuncie su rango de dirección IP.

El formato del mensaje es el siguiente, donde la fecha YYYYMMDD es la fecha de vencimiento del mensaje.


1|aws|aws-account|address-range|YYYYMMDD|SHA256|RSAPSS

Crear un mensaje de autorización firmada

Cree un mensaje de autorización en texto sin formato y guárdelo en una variable denominada text_message, como se muestra en el ejemplo siguiente. Reemplace el número de cuenta de ejemplo, el rango de dirección IP, y la fecha de vencimiento con sus propios valores.
```
text_message="1|aws|123456789012|203.0.113.0/24|20191201|SHA256|RSAPSS"
```
Firme el mensaje de autorización en text_message con el par de clave que creó en la sección anterior.

Guarde el mensaje en una variable denominada signed_message, como se muestra en el siguiente ejemplo.


signed_message=$(echo $text_message | tr -d "\n" | openssl dgst -sha256 -sigopt 
						rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private.key -keyform PEM | openssl base64 | 
						tr -- '+=/' '-_~' | tr -d "\n")

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Requisitos

Aprovisionar el rango de direcciones