Intégrez votre plage d'adresses pour une utilisation sur Amazon EC2 - Amazon Elastic Compute Cloud
Fournir une plage d'adresses pouvant faire l'objet d'une publicité publique en AWSFournir une plage d'IPv6adresses qui ne fait pas l'objet d'une publicité publiqueFaites connaître la plage d'adresses via AWSMise hors service de la plage d’adressesValidez votre BYOIP

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Intégrez votre plage d'adresses pour une utilisation sur Amazon EC2

Le processus d'intégration BYOIP inclut les tâches suivantes, en fonction de vos besoins.

Fournir une plage d'adresses pouvant faire l'objet d'une publicité publique en AWS

Lorsque vous configurez une plage d'adresses à utiliser avec AWS, vous confirmez que vous contrôlez la plage d'adresses et que vous autorisez Amazon à en faire la publicité. Nous vérifions également que vous contrôlez la plage d’adresses via un message d’autorisation signé. Ce message est signé avec la paire de clés X.509 auto-signée que vous avez utilisée lors de la mise à jour de l'RDAPenregistrement avec le certificat X.509. AWS nécessite un message d'autorisation signé cryptographiquement qu'il présente auRIR. RIRAuthentifie la signature par rapport au certificat que vous avez ajouté et vérifie RDAP les détails de l'autorisation par rapport auROA.

Pour allouer la plage d’adresses
  1. Composer un message

    Composez le message d’autorisation en texte brut. Le format du message est le suivant, où la date est la date d’expiration du message : 

    1|aws|account|cidr|YYYYMMDD|SHA256|RSAPSS

    Remplacez le numéro de compte, la plage d’adresses et la date d’expiration par vos propres valeurs pour créer un message semblable au suivant :

    text_message="1|aws|0123456789AB|198.51.100.0/24|20211231|SHA256|RSAPSS"

    Il ne faut pas le confondre avec un ROA message qui a une apparence similaire.

  2. Signer un message

    Signez le message en texte brut à l’aide de la clé privée que vous avez créée précédemment. La signature renvoyée par cette commande est une longue chaîne que vous devrez utiliser à l’étape suivante.

    Important

    Nous vous recommandons de copier et de coller cette commande. À l’exception du contenu du message, ne modifiez ni ne remplacez aucune des valeurs.

    signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")
  3. Approvisionner une adresse

    Utilisez la AWS CLI provision-byoip-cidrcommande pour provisionner la plage d'adresses. La commande --cidr-authorization-context utilise les chaînes de message et de signature que vous avez créées précédemment.

    Important

    Vous devez spécifier la AWS région dans laquelle la BYOIP plage doit être provisionnée si elle est différente de votre configuration du AWS CLIDefault region name.

    aws ec2 provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message" --region us-east-1

    La mise en service d’une plage d’adresses est une opération asynchrone : l’appel est immédiatement renvoyé, mais la plage d’adresses ne peut pas être utilisée tant que son statut ne bascule pas de pending-provision à provisioned.

  4. Surveiller la progression

    Bien que la plupart des approvisionnements soient effectués dans les deux heures, le processus d'approvisionnement pour les gammes pouvant faire l'objet d'une publicité publique peut prendre jusqu'à une semaine. Utilisez la describe-byoip-cidrscommande pour suivre les progrès, comme dans cet exemple :

    aws ec2 describe-byoip-cidrs --max-results 5 --region us-east-1

    S’il y a des problèmes pendant la mise en service et que l’état passe à failed-provision, vous devez exécuter à nouveau la commande provision-byoip-cidr une fois que les problèmes ont été résolus.

Fournir une plage d'IPv6adresses qui ne fait pas l'objet d'une publicité publique

Par défaut, une plage d’adresses est allouée pour être publiquement publiée sur Internet. Vous pouvez fournir une plage d'IPv6adresses qui ne fera pas l'objet d'une publicité publique. Pour les acheminements qui ne sont pas publiquement annoncés, le processus d’approvisionnement se termine généralement en quelques minutes. Lorsque vous associez un IPv6 CIDR bloc d'une plage d'adresses non publique à unVPC, celui-ci n'est IPv6 CIDR accessible que via des options de connectivité hybrides prenant en chargeIPv6, telles que AWS Direct ConnectAWS Site-to-Site VPN, ou Amazon VPC Transit Gateways.

A n'ROAest pas obligatoire pour fournir une plage d'adresses non publiques.

Important

  • Vous ne pouvez spécifier si une plage d’adresses est publiquement publiée que pendant l’allocation. Vous ne pouvez pas modifier l’état annoncé ultérieurement.

  • Amazon VPC ne prend pas en charge les adresses locales uniques (ULA)CIDRs. Tous VPCs doivent être uniques IPv6CIDRs. Deux ne VPCs peuvent pas avoir la même IPv6 CIDR portée.

Pour fournir une plage d'IPv6adresses qui ne fera pas l'objet d'une publicité publique, utilisez la provision-byoip-cidrcommande suivante.

aws ec2 provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message" --no-publicly-advertisable --region us-east-1

Faites connaître la plage d'adresses via AWS

Une fois que la plage d’adresses est mise en service, elle est prête à être publiée. Vous devez publier la plage d’adresses exacte que vous avez mise en service. Vous ne pouvez pas publier seulement une portion de la plage d’adresses mise en service.

Si vous avez fourni une plage d'IPv6adresses qui ne sera pas publiée publiquement, vous n'avez pas besoin de suivre cette étape.

Nous vous recommandons de cesser de faire de la publicité pour la plage d'adresses ou toute partie de cette plage depuis d'autres sites avant de la diffuser AWS. Si vous continuez à faire de la publicité pour votre plage d'adresses IP, en tout ou en partie, à partir d'autres sites, nous ne serons pas en mesure de fournir une assistance fiable ou de résoudre les problèmes. Plus précisément, nous ne pouvons pas garantir que le trafic vers la plage d'adresses ou une partie de cette plage entrera dans notre réseau.

Pour minimiser les temps d'arrêt, vous pouvez configurer vos AWS ressources pour utiliser une adresse de votre pool d'adresses avant qu'elle ne soit publiée, puis arrêter de la publier depuis son emplacement actuel et commencer à en faire la publicité par le biais AWS de cette adresse. Pour plus d’informations sur l’allocation d’une adresse IP Elastic à partir de votre groupe d’adresses, consultez allouer une adresse IP Elastic ;.

Limites

  • Vous pouvez exécuter la commande advertise-byoip-cidr au moins une fois tous les 10 secondes, même si vous spécifiez des plages d’adresses différentes à chaque fois.

  • Vous pouvez exécuter la commande withdraw-byoip-cidr au moins une fois tous les 10 secondes, même si vous spécifiez des plages d’adresses différentes à chaque fois.

Pour publier la plage d'adresses, utilisez la advertise-byoip-cidrcommande suivante.

aws ec2 advertise-byoip-cidr --cidr address-range --region us-east-1

Pour arrêter de publier la plage d'adresses, utilisez la withdraw-byoip-cidrcommande suivante.

aws ec2 withdraw-byoip-cidr --cidr address-range --region us-east-1

Mise hors service de la plage d’adresses

Pour arrêter d'utiliser votre plage d'adresses AWS, libérez d'abord toutes les adresses IP élastiques et dissociez les IPv6 CIDR blocs encore alloués du pool d'adresses. Ensuite, arrêtez la publicité de la plage d’adresses et enfin, mettez hors service la plage d’adresses.

Vous ne pouvez pas mettre hors service une partie de la plage d’adresses. Si vous souhaitez utiliser une plage d'adresses plus spécifique avec AWS, déprovisionnez l'ensemble de la plage d'adresses et configurez une plage d'adresses plus spécifique.

(IPv4) Pour libérer chaque adresse IP élastique, utilisez la commande release-address suivante.

aws ec2 release-address --allocation-id eipalloc-12345678abcabcabc --region us-east-1

(IPv6) Pour dissocier un IPv6 CIDR bloc, utilisez la disassociate-vpc-cidr-blockcommande suivante.

aws ec2 disassociate-vpc-cidr-block --association-id vpc-cidr-assoc-12345abcd1234abc1 --region us-east-1

Pour arrêter de publier la plage d'adresses, utilisez la withdraw-byoip-cidrcommande suivante.

aws ec2 withdraw-byoip-cidr --cidr address-range --region us-east-1

Pour déprovisionner la plage d'adresses, utilisez la deprovision-byoip-cidrcommande suivante.

aws ec2 deprovision-byoip-cidr --cidr address-range --region us-east-1

La mise hors service d’une plage d’adresses peut prendre jusqu’à un jour.

Validez votre BYOIP

  1. Valider la paire de clés x.509 auto-signée

    Vérifiez que le certificat a été chargé et est valide via la commande whois.

    PourARIN, utilisez whois -h whois.arin.net r + 2001:0DB8:6172::/48 pour rechercher l'RDAPenregistrement correspondant à votre plage d'adresses. Recherchez la NetRange (plage réseau) dans la section Public Comments dans la sortie de commande. Le certificat doit être ajouté dans la section Public Comments pour la plage d’adresses.

    Vous pouvez inspecter le Public Comments contenant le certificat à l’aide de la commande suivante :

    whois -h whois.arin.net r + 2001:0DB8:6172::/48 | grep Comments | grep BEGIN

    Cela renvoie une sortie avec le contenu de la clé, qui devrait être similaire à ce qui suit :

    Public Comments:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

    PourRIPE, utilisez whois -r -h whois.ripe.net 2001:0DB8:7269::/48 pour rechercher l'RDAPenregistrement correspondant à votre plage d'adresses. Recherchez l’object inetnum (plage réseau) dans la section descr dans la sortie de commande. Le certificat doit être ajouté en tant que nouveau champ descr pour la plage d’adresses.

    Vous pouvez inspecter le descr contenant le certificat à l’aide de la commande suivante :

    whois -r -h whois.ripe.net 2001:0DB8:7269::/48 | grep descr | grep BEGIN

    Cela renvoie une sortie avec le contenu de la clé, qui devrait être similaire à ce qui suit :

    descr:
-----BEGIN CERTIFICATE-----MIID1zCCAr+gAwIBAgIUBkRPNSLrPqbRAFP8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-----END CERTIFICATE-----

    PourAPNIC, utilisez whois -h whois.apnic.net 2001:0DB8:6170::/48 pour rechercher l'RDAPenregistrement correspondant à votre plage d'BYOIPadresses. Recherchez l’object inetnum (plage réseau) dans la section remarks dans la sortie de commande. Le certificat doit être ajouté en tant que nouveau champ remarks pour la plage d’adresses.

    Vous pouvez inspecter le remarks contenant le certificat à l’aide de la commande suivante :

    whois -h whois.apnic.net 2001:0DB8:6170::/48 | grep remarks | grep BEGIN

    Cela renvoie une sortie avec le contenu de la clé, qui devrait être similaire à ce qui suit :

    remarks:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

  2. Valider la création d'un ROA objet

    Validez la création réussie des ROA objets à l'aide RIPEstat des donnéesAPI. Assurez-vous de tester votre plage d'adresses par rapport aux adresses Amazon ASNs 16509 et 14618, ainsi qu'à celles ASNs qui sont actuellement autorisées à faire de la publicité pour la plage d'adresses.

    Vous pouvez inspecter les ROA objets provenant de différents Amazon ASNs avec votre plage d'adresses à l'aide de la commande suivante :

    curl --location --request GET "https://stat.ripe.net/data/rpki-validation/data.json?resource=ASN&prefix=CIDR

    Dans cet exemple de sortie, le résultat de la réponse est "status": "valid" pour Amazon ASN 16509. Cela indique que l'ROAobjet de la plage d'adresses a été créé avec succès :

    {
    "messages": [],
    "see_also": [],
    "version": "0.3",
    "data_call_name": "rpki-validation",
    "data_call_status": "supported",
    "cached": false,
    "data": {
        "validating_roas": [
            {
                "origin": "16509",
                "prefix": "2001:0DB8::/32",
                "max_length": 48,
                "validity": "valid"
            },
            {
                "origin": "14618",
                "prefix": "2001:0DB8::/32",
                "max_length": 48,
                "validity": "invalid_asn"
            },
            {
                "origin": "64496",
                "prefix": "2001:0DB8::/32",
                "max_length": 48,
                "validity": "invalid_asn"
            }
        ],
        "status": "valid",
        "validator": "routinator",
        "resource": "16509",
        "prefix": "2001:0DB8::/32"
    },
    "query_id": "20230224152430-81e6384e-21ba-4a86-852a-31850787105f",
    "process_time": 58,
    "server_id": "app116",
    "build_version": "live.2023.2.1.142",
    "status": "ok",
    "status_code": 200,
    "time": "2023-02-24T15:24:30.773654"
}

Le statut “unknown” indique que l'ROAobjet de la plage d'adresses n'a pas été créé. Un statut de “invalid_asn” indique que l'ROAobjet de la plage d'adresses n'a pas été créé correctement.