Vérifiez votre domaine avec un certificat X.509 Vérifiez votre domaine à l'aide d'un DNS TXT enregistrement

Vérifier le contrôle de domaine

Avant de transférer une plage d'adresses IP à AWS, vous devez utiliser l'une des options décrites dans cette section pour vérifier que vous contrôlez l'espace d'adresses IP. Plus tard, lorsque vous amenez la plage d'adresses IP à AWS, cela AWS confirme que vous contrôlez la plage d'adresses IP. Cette validation garantit que les clients ne peuvent pas utiliser des plages d'adresses IP appartenant à d'autres personnes, évitant ainsi les problèmes de routage et de sécurité.

Vous pouvez utiliser deux méthodes pour vérifier que vous contrôlez la plage :

Certificat X.509 : si votre plage d'adresses IP est enregistrée auprès d'un registre Internet compatible RDAP (tel queARIN, RIPE etAPNIC), vous pouvez utiliser un certificat X.509 pour vérifier la propriété de votre domaine.
DNSTXTenregistrement : que votre registre Internet soit compatible ou nonRDAP, vous pouvez utiliser un jeton de vérification et un DNS TXT enregistrement pour vérifier la propriété de votre domaine.

Table des matières

Vérifiez votre domaine avec un certificat X.509
Vérifiez votre domaine à l'aide d'un DNS TXT enregistrement

Vérifiez votre domaine avec un certificat X.509

Cette section décrit comment vérifier votre domaine à l'aide d'un certificat X.509 avant de porter votre plage d'adresses IP àIPAM.

Pour vérifier votre domaine à l'aide d'un certificat X.509

Suivez les trois étapes de la section Conditions d'intégration requises pour votre plage d'BYOIPadresses dans le guide de EC2l'utilisateur Amazon.

Note
Lorsque vous créez leROAs, pour, IPv4 CIDRs vous devez définir la longueur maximale d'un préfixe d'adresse IP sur/24. En IPv6 CIDRs effet, si vous les ajoutez à un pool publicitaire, la longueur maximale d'un préfixe d'adresse IP doit être de. /48 Cela vous garantit une flexibilité totale pour répartir votre adresse IP publique entre AWS les régions. IPAMapplique la longueur maximale que vous avez définie. La longueur maximale est la plus petite annonce de longueur de préfixe que vous autorisez pour cet acheminement. Par exemple, si vous déplacez un /20 CIDR bloc vers AWS, en définissant la longueur maximale à/24, vous pouvez diviser le plus grand bloc comme vous le souhaitez (par exemple avec /21/22, ou/24) et distribuer ces petits CIDR blocs dans n'importe quelle région. Si vous définissez la longueur maximale sur /23, vous ne serez pas en mesure de diviser et de publier un bloc /24 à partir du bloc plus grand. Notez également qu'il /24 s'agit du plus petit IPv4 bloc et /48 du plus petit IPv6 bloc que vous pouvez annoncer depuis une région sur Internet.
Effectuez les étapes 1 et 2 uniquement dans la section Proposer une plage d'adresses pouvant faire l'objet d'une publicité publique AWS dans le Guide de EC2 l'utilisateur Amazon, et ne fournissez pas encore la plage d'adresses (étape 3). Sauvez le text_message terrainsigned_message. Vous en aurez besoin plus tard dans ce processus.

Lorsque vous avez terminé ces étapes, continuez avec Utilisez votre propre adresse IP IPAM en utilisant à la fois la console AWS de gestion et le AWS CLI ouUtilisez votre propre adresse IP CIDR pour n'IPAMutiliser que le AWS CLI.

Vérifiez votre domaine à l'aide d'un DNS TXT enregistrement

Suivez les étapes décrites dans cette section pour vérifier votre domaine à l'aide d'un DNS TXT enregistrement avant de transférer votre plage d'adresses IP àIPAM.

Vous pouvez utiliser DNS TXT des enregistrements pour vérifier que vous contrôlez une plage d'adresses IP publiques. DNSTXTles enregistrements sont un type d'DNSenregistrement qui contient des informations sur votre nom de domaine. Cette fonctionnalité vous permet d'importer les adresses IP enregistrées auprès de n'importe quel registre Internet (par exemple JPNICLACNIC, etAFRINIC), et pas seulement celles qui prennent en charge RDAP les validations basées sur des enregistrements (telles queARIN, RIPE et). APNIC

Important

Avant de pouvoir continuer, vous devez déjà en avoir créé un IPAM dans le niveau gratuit ou avancé. Si vous n'en avez pasIPAM, complétez Créez un IPAM d'abord.

Table des matières

Étape 1 : Créez un ROA si vous n'en avez pas
Étape 2. Création d'un jeton de vérification
Étape 3. Configurez la DNS zone et TXT enregistrez

Étape 1 : Créez un ROA si vous n'en avez pas

Vous devez disposer d'une autorisation d'origine de route (ROA) dans votre registre Internet régional (RIR) pour les plages d'adresses IP que vous souhaitez promouvoir. Si vous n'en avez pas ROA dans votreRIR, complétez 3. Créez un ROA objet RIR dans votre Amazon EC2 User Guide. Ignorez les autres étapes.

La plage d'IPv4adresses la plus précise que vous pouvez apporter est /24. La plage d'IPv6adresses la plus précise que vous pouvez apporter est /48 pour celles CIDRs qui sont publiables et /60 pour celles CIDRs qui ne le sont pas.

Étape 2. Création d'un jeton de vérification

Un jeton de vérification est une valeur aléatoire AWS générée que vous pouvez utiliser pour prouver le contrôle d'une ressource externe. Par exemple, vous pouvez utiliser un jeton de vérification pour vérifier que vous contrôlez une plage d'adresses IP publiques lorsque vous placez une plage d'adresses IP sur AWS (BYOIP).

Suivez les étapes décrites dans cette section pour créer un jeton de vérification dont vous aurez besoin ultérieurement dans ce didacticiel pour accéder à votre plage d'adresses IPIPAM. Suivez les instructions ci-dessous pour la AWS console ou le AWS CLI.

AWS Management Console

Pour créer un jeton de vérification

Ouvrez la IPAM console à l'adresse https://console.aws.amazon.com/ipam/.
Dans la console AWS de gestion, choisissez la AWS région dans laquelle vous avez créé votreIPAM.
Dans le volet de navigation de gauche, choisissez IPAMs.
Choisissez votre, IPAM puis cliquez sur l'onglet Jetons de vérification.
Sélectionnez Créer un jeton de vérification.
Après avoir créé le jeton, laissez cet onglet de navigateur ouvert. Vous aurez besoin de la valeur du jeton, du nom du jeton à l'étape suivante et de l'identifiant du jeton à une étape ultérieure.

Notez ce qui suit :

Une fois que vous avez créé un jeton de vérification, vous pouvez le réutiliser pour plusieurs jetons BYOIP CIDRs que vous fournissez auprès de vous IPAM dans les 72 heures. Si vous souhaitez en approvisionner davantage CIDRs après 72 heures, vous avez besoin d'un nouveau jeton.
Vous pouvez créer jusqu'à 100 jetons. Si vous atteignez cette limite, supprimez les jetons expirés.

Command line

Demande qui IPAM crée un jeton de vérification que vous utiliserez pour la DNS configuration avec create-ipam-external-resource-verification-token :


aws ec2 create-ipam-external-resource-verification-token --ipam-id ipam-id

Cela renverra un jeton IpamExternalResourceVerificationTokenId et avec TokenName etTokenValue, ainsi que le délai d'expiration (NotAfter) du jeton.


{ 
    "IpamExternalResourceVerificationToken": { 
        "IpamExternalResourceVerificationTokenId": "ipam-ext-res-ver-token-0309ce7f67a768cf0", 
        "IpamId": "ipam-0f9e8725ac3ae5754", 
        "TokenValue": "a34597c3-5317-4238-9ce7-50da5b6e6dc8", 
        "TokenName": "86950620", 
        "NotAfter": "2024-05-19T14:28:15.927000+00:00", 
        "Status": "valid", 
        "Tags": [], 
        "State": "create-in-progress" }
}

Notez ce qui suit :

Une fois que vous avez créé un jeton de vérification, vous pouvez le réutiliser pour plusieurs jetons BYOIP CIDRs que vous fournissez auprès de vous IPAM dans les 72 heures. Si vous souhaitez en approvisionner davantage CIDRs après 72 heures, vous avez besoin d'un nouveau jeton.
Vous pouvez consulter vos jetons à l'aide de describe-ipam-external-resource-verification-tokens.
Vous pouvez créer jusqu'à 100 jetons. Si vous atteignez la limite, vous pouvez supprimer les jetons expirés à l'aide de delete-ipam-external-resource-verification-token.

Étape 3. Configurez la DNS zone et TXT enregistrez

Suivez les étapes décrites dans cette section pour configurer la DNS zone et TXT enregistrer. Si vous n'utilisez pas Route53DNS, suivez la documentation fournie par votre DNS fournisseur pour configurer une DNS zone et ajouter un TXT enregistrement.

Si vous utilisez Route53, notez ce qui suit :

Pour créer une zone de recherche inversée dans la AWS console, consultez la section Création d'une zone hébergée publique dans le guide du développeur Amazon Route 53 ou utilisez la AWS CLI commande create-hosted-zone.
Pour créer un enregistrement dans la zone de recherche inversée de la AWS console, consultez la section Création d'enregistrements à l'aide de la console Amazon Route 53 dans le manuel du développeur Amazon Route 53 ou utilisez la AWS CLI commande change-resource-record-sets.
Une fois que vous avez créé votre zone hébergée, déléguez-la RIR aux serveurs de noms fournis par Route53 (par exemple pour LACNICou APNIC).

Que vous utilisiez un autre DNS fournisseur ou Route53, lorsque vous configurez l'TXTenregistrement, tenez compte des points suivants :

Le nom de l'enregistrement doit être le nom de votre jeton.
Le type d'enregistrement doit êtreTXT.
ResourceRecord La valeur doit être la valeur du jeton.

Exemple :

Nom: 86950620.113.0.203.in-addr.arpa
Type : TXT
ResourceRecords Valeur : a34597c3-5317-4238-9ce7-50da5b6e6dc8

Où :

86950620est le nom du jeton de vérification.
113.0.203.in-addr.arpaest le nom de la zone de recherche inversée.
TXTest le type d'enregistrement.
a34597c3-5317-4238-9ce7-50da5b6e6dc8est la valeur du jeton de vérification.

Note

En fonction de la taille du préfixe à utiliserBYOIP, IPAM un ou plusieurs enregistrements d'authentification doivent être créés dans leDNS. Ces enregistrements d'authentification sont du type enregistrement TXT et doivent être placés dans la zone inverse du préfixe lui-même ou de son préfixe parent.

En effetIPv4, les enregistrements d'authentification doivent s'aligner sur les plages situées à la limite d'un octet qui constitue le préfixe.
- Exemples
- Pour 198.18.123.0/24, qui est déjà aligné à la limite d'un octet, vous devez créer un enregistrement d'authentification unique à l'adresse suivante :
  - token-name.123.18.198.in-addr.arpa. IN TXT “token-value”
- Pour 198.18.12.0/22, qui lui-même n'est pas aligné sur la limite des octets, vous devez créer quatre enregistrements d'authentification. Ces enregistrements doivent couvrir les sous-réseaux 198.18.12.0/24, 198.18.13.0/24, 198.18.14.0/24 et 198.18.15.0/24 qui sont alignés à la limite d'un octet. Les DNS entrées correspondantes doivent être :
  - token-name.12.18.198.in-addr.arpa. IN TXT “token-value”
  - token-name.13.18.198.in-addr.arpa. IN TXT “token-value”
  - token-name.14.18.198.in-addr.arpa. IN TXT “token-value”
  - token-name.15.18.198.in-addr.arpa. IN TXT “token-value”
- Pour 198.18.0.0/16, qui est déjà aligné à la limite d'un octet, vous devez créer un enregistrement d'authentification unique :
  - token-name.18.198.in-addr.arpa. IN TXT “token-value”
En effetIPv6, les enregistrements d'authentification doivent s'aligner sur les plages situées à la limite du nibble qui constituent le préfixe. Les valeurs de nibble valides sont par exemple 32, 36, 40, 44, 48, 52, 56 et 60.
- Exemples
  - Pour 2001:0 db8 : :/40, qui est déjà aligné à la limite de nibble, vous devez créer un enregistrement d'authentification unique :
    
    token-name.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”
  - Pour 2001:0 db 8:80 : :/42, qui n'est elle-même pas alignée à la limite de nibble, vous devez créer quatre enregistrements d'authentification. Ces enregistrements doivent couvrir les sous-réseaux 2001:db 8:80 : :/44, 2001:db 8:90 : :/44, 2001:db8:a0 : :/44 et 2001:db8:b0 : :/44 qui sont alignés sur une limite de nibble. Les DNS entrées correspondantes doivent être :
    
    token-name.8.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”
    
    token-name.9.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”
    
    token-name.a.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
    
    token-name.b.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
  - Pour la plage non annoncée 2001:db 8:0:1000 : :/54, qui n'est elle-même pas alignée à une limite de nibble, vous devez créer quatre enregistrements d'authentification. Ces enregistrements doivent couvrir les sous-réseaux 2001:db 8:0:1000 : :/56, 2001:db 8:0:1100 : :/56, 2001:db 8:0:1200 : :/56 et 2001:db 8:0:1300 : :/56 qui sont alignés à une limite de nibble. Les DNS entrées correspondantes doivent être :
    
    token-name.0.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
    
    token-name.1.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
    
    token-name.2.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
    
    token-name.3.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
- Pour valider le nombre correct de nombres hexadécimaux entre le nom du jeton et la chaîne « ip6.arpa », multipliez le nombre par quatre. Le résultat doit correspondre à la longueur du préfixe. Par exemple, pour un préfixe /56, vous devez avoir 14 chiffres hexadécimaux.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Transférez vos adresses IP à IPAM

BYOIPavec AWS console et CLI