Verifica il controllo del dominio - Amazon Virtual Private Cloud
Verifica il tuo dominio con un certificato X.509Verifica il tuo dominio con un DNS TXT record

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Verifica il controllo del dominio

Prima di aggiungere un intervallo di indirizzi IP a AWS, è necessario utilizzare una delle opzioni descritte in questa sezione per verificare di controllare lo spazio degli indirizzi IP. Successivamente, quando si porta l'intervallo di indirizzi IP a AWS, AWS verifica che sia l'utente a controllare l'intervallo di indirizzi IP. Questa convalida garantisce che i clienti non possano utilizzare intervalli IP appartenenti ad altri, prevenendo problemi di routing e sicurezza.

È possibile utilizzare due metodi per verificare il controllo dell'intervallo:

  • Certificato X.509: se l'intervallo di indirizzi IP è registrato in un registro Internet che supporta RDAP (ad esempioARIN, RIPE andAPNIC), è possibile utilizzare un certificato X.509 per verificare la proprietà del dominio.

  • DNSTXTrecord: indipendentemente dal fatto che il tuo registro Internet supporti o menoRDAP, puoi utilizzare un token di verifica e un DNS TXT record per verificare la proprietà del tuo dominio.

Verifica il tuo dominio con un certificato X.509

Questa sezione descrive come verificare il dominio con un certificato X.509 prima di estendere l'intervallo di indirizzi IP a. IPAM

Per verificare il dominio con un certificato X.509

  1. Completa i tre passaggi indicati nella sezione Prerequisiti di onboarding per il tuo intervallo di BYOIP indirizzi nella Amazon EC2 User Guide.

    Nota

    Quando crei ilROAs, for IPv4 CIDRs devi impostare la lunghezza massima del prefisso di un indirizzo IP su. /24 Infatti IPv6CIDRs, se li stai aggiungendo a un pool pubblicizzabile, la lunghezza massima del prefisso di un indirizzo IP deve essere. /48 Ciò garantisce la massima flessibilità per dividere l'indirizzo IP pubblico tra AWS le regioni. IPAMimpone la lunghezza massima impostata. La lunghezza massima è il più piccolo avviso di lunghezza del prefisso che puoi consentire per questo percorso. Ad esempio, se porti un /20 CIDR blocco a AWS, impostando la lunghezza massima su/24, puoi dividere il blocco più grande come preferisci (ad esempio con /21/22, o/24) e distribuire quei CIDR blocchi più piccoli in qualsiasi regione. Se hai impostato la lunghezza massima su /23, non puoi dividere e pubblicizzare un /24 dal blocco più grande. Inoltre, tieni presente che /24 è il IPv4 blocco più piccolo ed /48 è il IPv6 blocco più piccolo su cui puoi fare pubblicità da una regione a Internet.

  2. Completa i passaggi 1 e 2 solo nella sezione Fornisci un intervallo di indirizzi pubblicizzabile pubblicamente AWS nella Amazon EC2 User Guide e non fornire ancora l'intervallo di indirizzi (passaggio 3). Salva la manotext_message. signed_message Ti serviranno più avanti in questo processo.

Dopo aver completato questi passaggi, continua con Porta il tuo IP personale a IPAM utilizzare sia la console di AWS gestione che il AWS CLI oPorta il tuo IP CIDR a IPAM usare solo il AWS CLI.

Verifica il tuo dominio con un DNS TXT record

Completa i passaggi descritti in questa sezione per verificare il dominio con un DNS TXT record prima di estendere l'intervallo di indirizzi IP aIPAM.

Puoi utilizzare DNS TXT i record per confermare che controlli un intervallo di indirizzi IP pubblico. DNSTXTi record sono un tipo di DNS record che contiene informazioni sul nome di dominio dell'utente. Questa funzionalità consente di inserire gli indirizzi IP registrati in qualsiasi registro Internet (comeJPNIC, andAFRINIC)LACNIC, non solo quelli che supportano le convalide basate su record RDAP (Registration Data Access Protocol) (comeARIN, RIPE and). APNIC

Importante

Prima di continuare, devi averne già creato uno IPAM nel livello Gratuito o Avanzato. Se non ne hai unoIPAM, completalo Crea un IPAM prima.

Passaggio 1: crea un ROA file se non ne hai uno

È necessario disporre di una Route Origin Authorization (ROA) nel Registro Internet regionale (RIR) per gli intervalli di indirizzi IP che desideri pubblicizzare. Se non ne hai uno ROA nel tuoRIR, completa 3. Crea un ROA oggetto RIR nella tua Amazon EC2 User Guide. Ignora gli altri passaggi.

L'intervallo di IPv4 indirizzi più specifico che puoi utilizzare è /24. L'intervallo di IPv6 indirizzi più specifico che puoi inserire è /48 per gli indirizzi pubblicizzabili pubblicamente e /60 per CIDRs quelli CIDRs che non sono pubblicizzabili pubblicamente.

Fase 2: Crea un token di verifica

Un token di verifica è un valore casuale AWS generato in modo casuale che puoi utilizzare per dimostrare il controllo di una risorsa esterna. Ad esempio, puoi utilizzare un token di verifica per confermare che controlli un intervallo di indirizzi IP pubblico quando porti un intervallo di indirizzi IP a AWS ()BYOIP.

Completa i passaggi di questa sezione per creare un token di verifica, che ti servirà in un passaggio successivo di questo tutorial per estendere l'intervallo di indirizzi IP aIPAM. Utilizza le istruzioni seguenti per la AWS console o per il AWS CLI.

AWS Management Console
Per creare un token di verifica

  1. Apri la IPAM console all'indirizzo https://console.aws.amazon.com/ipam/.

  2. Nella console di AWS gestione, scegli la AWS regione in cui hai creato il tuoIPAM.

  3. Nel riquadro di navigazione a sinistra, scegli IPAMs.

  4. Scegli il tuo IPAM e poi scegli la scheda Token di verifica.

  5. Seleziona Crea token di verifica.

  6. Dopo aver creato il token, lascia aperta questa scheda del browser. Avrai bisogno del valore del token, del nome del token nel passaggio successivo e dell'ID del token in un passaggio successivo.

Tieni presente quanto segue:

  • Dopo aver creato un token di verifica, puoi riutilizzarlo per più BYOIP CIDRs token forniti da te IPAM entro 72 ore. Se desideri effettuare il provisioning di altri token CIDRs dopo 72 ore, ti serve un nuovo token.

  • Puoi creare fino a 100 token. Se raggiungi il limite, elimina i token scaduti.

Command line

  • Richiesta che IPAM crea un token di verifica che utilizzerai per la DNS configurazione con create-ipam-external-resource -verification-token:

    aws ec2 create-ipam-external-resource-verification-token --ipam-id ipam-id

    Ciò restituirà un token IpamExternalResourceVerificationTokenId and con e TokenName e e TokenValue l'ora di scadenza (NotAfter) del token.

    { 
    "IpamExternalResourceVerificationToken": { 
        "IpamExternalResourceVerificationTokenId": "ipam-ext-res-ver-token-0309ce7f67a768cf0", 
        "IpamId": "ipam-0f9e8725ac3ae5754", 
        "TokenValue": "a34597c3-5317-4238-9ce7-50da5b6e6dc8", 
        "TokenName": "86950620", 
        "NotAfter": "2024-05-19T14:28:15.927000+00:00", 
        "Status": "valid", 
        "Tags": [], 
        "State": "create-in-progress" }
}

Tieni presente quanto segue:

Fase 3. Configura la zona e registra DNS TXT

Completa i passaggi descritti in questa sezione per configurare la DNS zona e TXT registrare. Se non utilizzi Route53 come tuoDNS, segui la documentazione fornita dal tuo DNS provider per configurare una DNS zona e aggiungere un TXT record.

Se utilizzi Route53, tieni presente quanto segue:

Sia che utilizzi un altro DNS provider o Route53, quando configuri il TXT record, tieni presente quanto segue:

  • Il nome del record dovrebbe essere il nome del token.

  • Il tipo di record deve essereTXT.

  • ResourceRecord Il valore deve essere il valore del token.

Esempio:

  • Nome: 86950620.113.0.203.in-addr.arpa

  • Tipo: TXT

  • ResourceRecords Valore: a34597c3-5317-4238-9ce7-50da5b6e6dc8

Dove:

  • 86950620è il nome del token di verifica.

  • 113.0.203.in-addr.arpaè il nome della zona di ricerca inversa.

  • TXTè il tipo di record.

  • a34597c3-5317-4238-9ce7-50da5b6e6dc8è il valore del token di verifica.

Nota

A seconda della dimensione del prefisso da assegnare IPAMBYOIP, è necessario creare uno o più record di autenticazione in. DNS Questi record di autenticazione sono del tipo di record TXT e devono essere collocati nella zona inversa del prefisso stesso o del prefisso principale.

  • InfattiIPv4, i record di autenticazione devono essere allineati agli intervalli in corrispondenza del limite di ottetti che costituiscono il prefisso.

    • Examples (Esempi)

    • Per 198.18.123.0/24, che è già allineato al limite di un ottetto, è necessario creare un singolo record di autenticazione su:

      • token-name.123.18.198.in-addr.arpa. IN TXT “token-value

    • Per 198.18.12.0/22, che a sua volta non è allineato al limite dell'ottetto, è necessario creare quattro record di autenticazione. Questi record devono coprire le sottoreti 198.18.12.0/24, 198.18.13.0/24, 198.18.14.0/24 e 198.18.15.0/24 che sono allineate al limite di un ottetto. Le voci corrispondenti DNS devono essere:

      • token-name.12.18.198.in-addr.arpa. IN TXT “token-value

      • token-name.13.18.198.in-addr.arpa. IN TXT “token-value

      • token-name.14.18.198.in-addr.arpa. IN TXT “token-value

      • token-name.15.18.198.in-addr.arpa. IN TXT “token-value

    • Per 198.18.0.0/16, che è già allineato al limite di un ottetto, è necessario creare un singolo record di autenticazione:

      • token-name.18.198.in-addr.arpa. IN TXT “token-value

  • InfattiIPv6, i record di autenticazione devono allinearsi agli intervalli al limite del nibble che costituiscono il prefisso. I valori nibble validi sono ad esempio 32, 36, 40, 44, 48, 52, 56 e 60.

    • Examples (Esempi)

      • Per 2001:0 db8: :/40, che è già allineato al limite di nibble, è necessario creare un singolo record di autenticazione:

        • token-name.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value

      • Per 2001:0 db 8:80: :/42, che a sua volta non è allineato al limite di nibble, è necessario creare quattro record di autenticazione. Questi record devono coprire le sottoreti 2001:db 8:80: :/44, 2001:db 8:90: :/44, 2001:db8:a0: :/44 e 2001:db8:b0: :/44 che sono allineate su un confine nibble. Le voci corrispondenti DNS devono essere:

        • token-name.8.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value

        • token-name.9.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value

        • token-name.a.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value

        • token-name.b.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value

      • Per l'intervallo non pubblicizzato 2001:db 8:0:1000: :/54, che a sua volta non è allineato a un limite di nibble, è necessario creare quattro record di autenticazione. Questi record devono coprire le sottoreti 2001:db 8:0:1000: :/56, 2001:db 8:0:1100: :/56, 2001:db 8:0:1200: :/56 e 2001:db 8:0:1300: :/56 che sono allineate su un confine nibble. Le voci corrispondenti DNS devono essere:

        • token-name.0.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value

        • token-name.1.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value

        • token-name.2.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value

        • token-name.3.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value

    • Per convalidare il numero corretto di numeri esadecimali tra il nome del token e la stringa «ip6.arpa», moltiplicate il numero per quattro. Il risultato deve corrispondere alla lunghezza del prefisso. Ad esempio, per un prefisso /56 dovresti avere 14 cifre esadecimali.

Una volta completati questi passaggi, continua con o. Porta il tuo IP personale a IPAM utilizzare sia la console di AWS gestione che il AWS CLI Porta il tuo IP CIDR a IPAM usare solo il AWS CLI