Verificación del control de dominio - Amazon Virtual Private Cloud

Verificación del control de dominio

Antes de ajustar un rango de direcciones IP a AWS, debe usar una de las opciones descritas en esta sección para comprobar que controla el espacio de direcciones IP. Después, cuando lleve un rango de direcciones IP a AWS, AWS valida que usted controla el rango de direcciones IP. Esta validación garantiza que los clientes no puedan utilizar rangos de IP que pertenezcan a otros, lo que evita problemas de enrutamiento y seguridad.

Hay dos métodos que puede utilizar para verificar que controla el rango:

  • Certificado X.509: si su rango de direcciones IP está registrado en un registro de Internet compatible con el RDAP (como ARIN, RIPE y APNIC), puede usar un certificado X.509 para verificar la propiedad de su dominio.

  • Registro TXT de DNS: independientemente de si su registro de Internet admite el RDAP, puede usar un token de verificación y un registro TXT de DNS para verificar la propiedad de su dominio.

Verificación de su dominio con un certificado X.509

En esta sección se describe cómo verificar su dominio con un certificado X.509 antes de incluir su rango de direcciones IP en IPAM.

Para verificar su dominio con un certificado X.509
  1. Complete los tres pasos en Requisitos previos de incorporación para su rango de direcciones BYOIP en la Guía del usuario de Amazon EC2.

    nota

    Al crear las ROA, para los CIDR IPv4 debe establecer la longitud máxima de un prefijo de dirección IP en /24. Para los CIDR IPv6, si los agregará a un grupo que se puede anunciar, la longitud máxima de un prefijo de dirección IP debe ser /48. Esto garantiza que tenga total flexibilidad para dividir su dirección IP pública entre regiones de AWS. IPAM impone la longitud máxima que establezca. La longitud máxima es el anuncio de longitud de prefijo más pequeño que permitirá para esta ruta. Por ejemplo, si trae un bloque de CIDR /20 a AWS, al establecer la longitud máxima en /24, puede dividir el bloque más grande de la forma que desee (por ejemplo, con /21, /22 o /24) y distribuir esos bloques de CIDR más pequeños en cualquier región. Si tuviera que establecer la longitud máxima en /23, no sería capaz de dividir y anunciar un /24 del bloque más grande. Además, tenga en cuenta que /24 es el bloque IPv4 más pequeño y /48 es el bloque IPv6 más pequeño que puede anunciar desde una región a Internet.

  2. Complete únicamente los pasos 1 y 2 en Aprovisionamiento de un intervalo de direcciones que se anuncie públicamente en AWS en la Guía del usuario de Amazon EC2 y no aprovisione el rango de direcciones (paso 3) todavía. Guarde text_message y signed_message. Las necesitará más adelante en este procedimiento.

Cuando haya completado estos pasos, continúe con Lleve su propia IP a IPAM por medio de la consola de administración de AWS y la CLI AWS o Lleve su propio CIDR IP a IPAM únicamente por medio de la CLI AWS.

Verificación de su dominio con un registro TXT de DNS

Complete los pasos de esta sección para verificar su dominio con un registro TXT de DNS antes de incluir su rango de direcciones IP en IPAM.

Puede usar los registros TXT de DNS para validar que controla un rango de direcciones IP públicas. Un registro TXT de DNS es un tipo de registro de DNS que contiene información acerca del nombre de su dominio. Esta característica le permite incluir las direcciones IP registradas en cualquier registro de Internet (como JPNIC, LACNIC y AFRINIC), no solo las que admiten validaciones basadas en registros del RDAP (Protocolo de acceso a datos de registro) (como ARIN, RIPE y APNIC).

importante

Para poder continuar, debe haber creado ya un IPAM en el nivel gratuito o avanzado. Si no tiene un IPAM, complete Creación de un IPAM primero.

Paso 1: cree un ROA si no dispone de uno

Debe tener una autorización de origen de ruta (ROA) en su registro regional de Internet (RIR) para los rangos de direcciones IP que desee anunciar. Si no tiene un ROA en su RIR, complete 3. Cree un objeto ROA en su RIR en la Guía del usuario de Amazon EC2. Ignore los demás pasos.

El intervalo de direcciones IPv4 más específico que puede traer es /24. El intervalo de direcciones IPv6 más específico que puede traer es /48 para los CIDR que se anuncian públicamente y /60 para los CIDR que no se anuncian públicamente.

Paso 2. Creación de un token de verificación

Un token de verificación es un valor aleatorio generado por AWS que puede usar para demostrar que tiene el control de un recurso externo. Por ejemplo, puede usar un token de verificación para validar que controla un rango de direcciones IP públicas al ajustar un rango de direcciones IP a AWS (BYOIP).

Complete los pasos de esta sección para crear un token de verificación que necesitará en un paso posterior de este tutorial para incorporar su rango de direcciones IP a IPAM. Use las instrucciones que aparecen a continuación para la consola de AWS o para la AWS CLI.

AWS Management Console
Para crear un token de verificación
  1. Abra la consola de IPAM en https://console.aws.amazon.com/ipam/.

  2. En la consola de administración AWS, elija la región AWS en la que desea crear el IPAM.

  3. En el panel de navegación izquierdo, elija IPAM.

  4. Elija su IPAM y, a continuación, seleccione la pestaña de tokens de verificación.

  5. Seleccione Crear token de verificación.

  6. Tras crear el token, deje abierta esta pestaña del navegador. Necesitará el valor del token, el nombre del token en el siguiente paso y el ID del token en un paso posterior.

Tenga en cuenta lo siguiente:

  • Una vez que haya creado un token de verificación, podrá reutilizarlo para varios CIDR de BYOIP que aprovisione desde su IPAM en un plazo de 72 horas. Si quiere aprovisionar más CIDR después de 72 horas, necesita un token nuevo.

  • Puede crear hasta 100 tokens. Si alcanza el límite, elimine los tokens caducados.

Command line
  • Solicite que IPAM cree un token de verificación que utilizará para la configuración del DNS con create-ipam-external-resource-verification-token:

    aws ec2 create-ipam-external-resource-verification-token --ipam-id ipam-id

    Esto devolverá un IpamExternalResourceVerificationTokenID y un token con TokenName y TokenValue y el tiempo de caducidad (NotAfter) del token.

    { "IpamExternalResourceVerificationToken": { "IpamExternalResourceVerificationTokenId": "ipam-ext-res-ver-token-0309ce7f67a768cf0", "IpamId": "ipam-0f9e8725ac3ae5754", "TokenValue": "a34597c3-5317-4238-9ce7-50da5b6e6dc8", "TokenName": "86950620", "NotAfter": "2024-05-19T14:28:15.927000+00:00", "Status": "valid", "Tags": [], "State": "create-in-progress" } }

Tenga en cuenta lo siguiente:

Paso 3. Configuración de la zona DNS y el registro TXT

Complete los pasos descritos en esta sección para configurar la zona DNS y el registro TXT. Si no utiliza Route53 como DNS, siga la documentación proporcionada por su proveedor de DNS para configurar una zona DNS y añadir un registro TXT.

Si utiliza Route53, tenga en cuenta lo siguiente:

Ya sea que utilice otro proveedor de DNS o Route53, al configurar el registro TXT, tenga en cuenta lo siguiente:

  • El nombre del registro debe ser el nombre de su token.

  • El tipo de registro debe ser TXT.

  • El valor ResourceRecord debe ser el valor del token.

Ejemplo:

  • Nombre: 86950620.113.0.203.in-addr.arpa

  • Tipo: TXT

  • Valor de ResourceRecords: a34597c3-5317-4238-9ce7-50da5b6e6dc8

Donde:

  • 86950620 es el nombre del token de verificación.

  • 113.0.203.in-addr.arpa es el nombre de la zona de búsqueda inversa.

  • TXT es el tipo de registro.

  • a34597c3-5317-4238-9ce7-50da5b6e6dc8 es el valor del token de verificación.

nota

Según el tamaño del prefijo que se va a llevar a IPAM con BYOIP, se deben crear uno o más registros de autenticación en el DNS. Estos registros de autenticación son del tipo de registro TXT y deben colocarse en la zona inversa del propio prefijo o de su prefijo principal.

  • En el caso de IPv4, los registros de autenticación deben alinearse con los rangos situados en el límite de un octeto que componen el prefijo.

    • Ejemplos

    • Para 198.18.123.0/24, que ya está alineado en el límite de un octeto, necesitará crear un registro de autenticación único en:

      • token-name.123.18.198.in-addr.arpa. IN TXT “token-value

    • Para 198.18.12.0/22, que en sí mismo no está alineado con el límite del octeto, necesitará crear cuatro registros de autenticación. Estos registros deben cubrir las subredes 198.18.12.0/24, 198.18.13.0/24, 198.18.14.0/24 y 198.18.15.0/24, que están alineadas en el límite de un octeto. Las entradas de DNS correspondientes deben ser:

      • token-name.12.18.198.in-addr.arpa. IN TXT “token-value

      • token-name.13.18.198.in-addr.arpa. IN TXT “token-value

      • token-name.14.18.198.in-addr.arpa. IN TXT “token-value

      • token-name.15.18.198.in-addr.arpa. IN TXT “token-value

    • Para 198.18.0.0/16, que ya está alineado en el límite de un octeto, necesita crear un registro de autenticación único:

      • token-name.18.198.in-addr.arpa. IN TXT “token-value

  • En el caso de IPv6, los registros de autenticación deben alinearse con los rangos situados en el límite de nibble que componen el prefijo. Los valores de nibble válidos son, por ejemplo, 32, 36, 40, 44, 48, 52, 56 y 60.

    • Ejemplos

      • Para 2001:0db8::/40, que ya está alineado en el límite de nibble, necesita crear un registro de autenticación único:

        • token-name.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value

      • Para 2001:0db8:80::/42, que en sí mismo no está alineado con el límite de nibble, debe crear cuatro registros de autenticación. Estos registros deben cubrir las subredes 2001:db8:80::/44, 2001:db8:90::/44, 2001:db8:a0::/44, y 2001:db8:b0::/44, que están alineadas en un límite de nibble. Las entradas de DNS correspondientes deben ser:

        • token-name.8.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value

        • token-name.9.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value

        • token-name.a.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value

        • token-name.b.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value

      • Para el rango no anunciado 2001:db8:0:1000::/54, que en sí mismo no está alineado con un límite fijo, debe crear cuatro registros de autenticación. Estos registros deben cubrir las subredes 2001:db8:0:1000::/56, 2001:db8:0:1100::/56, 2001:db8:0:1200::/56 y 2001:db8:0:1300::/56, que están alineadas en un límite de nibble. Las entradas de DNS correspondientes deben ser:

        • token-name.0.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value

        • token-name.1.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value

        • token-name.2.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value

        • token-name.3.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value

    • Para validar el número correcto de números hexadecimales entre el nombre del token y la cadena “ip6.arpa”, multiplique el número por cuatro. El resultado debe coincidir con la longitud del prefijo. Por ejemplo, para un prefijo /56, debe tener 14 dígitos hexadecimales.

Cuando haya completado estos pasos, continúe con Lleve su propia IP a IPAM por medio de la consola de administración de AWS y la CLI AWS o Lleve su propio CIDR IP a IPAM únicamente por medio de la CLI AWS.