Amazon EC2 に自分の IP アドレスを持ち込む (BYOIP)

IP アドレス範囲を AWS に設定すると、AWS は IP アドレス範囲がユーザーによって制御されていることを検証します。範囲を制御していることを示すためには次の 2 つの方法を使用できます。

• IP アドレス範囲が RDAP をサポートするインターネットレジストリ (ARIN、RIPE、APNIC など) に登録されている場合、このページのプロセスを使用して X.509 証明書でドメインの制御を確認できます。証明書はプロビジョニングプロセスの間のみ有効である必要があります。プロビジョニングが完了したら、RIR の記録から証明書を削除できます。

• インターネットレジストリが RDAP をサポートしているかどうかにかかわらず、Amazon VPC IPAM を使用すると DNS TXT レコードでドメインの制御を確認できます。このプロセスについては「Amazon VPC IPAM ユーザーガイド」の「チュートリアル: IP アドレスを IPAM に移行する」を参照してください。

• X.509 自己署名証明書 — ネットワーク内のデータを暗号化および認証するために最も一般的に使用される証明書標準。これはRDAP レコードからの IP スペースの制御を検証するために AWS によって使用される証明書です。X.509 証明書の詳細については「RFC 3280」を参照してください。

• AS 番号 (ASN) — 明確に定義された単一のルーティングポリシーを維持する 1 つ以上のネットワークオペレーターによって実行される IP プレフィックスのグループを定義するグローバル一意識別子。

• 地域インターネットレジストリ (RIR) — 世界のある地域内の IP アドレスと ASN の割り当てと登録を管理する組織。

• レジストリデータアクセスプロトコル (RDAP) — RIR 内の現在の登録データを照会する、読み取り専用プロトコルです。クエリされた RIR データベース内のエントリは「RDAP レコード」と呼ばれます。特定のレコードタイプはRIR が提供するメカニズムを使用して顧客により更新される必要があります。これらのレコードはRIR 内のアドレス空間の制御を確認するために AWS によりクエリされます。

• Route Origin Authorization (ROA) — お客様が特定の自律システムで IP アドバタイズメントを認証するために RIR によって作成されたオブジェクト。概要についてはARIN ウェブサイトの「Route Origin Authorizations (ROAs)」(ルートオリジン認証 (ROA)) を参照してください。

• ローカルインターネットレジストリ (LIR) — RIR からの IP アドレスのブロックをお客様に割り当てるインターネットサービスプロバイダーなどの組織。

• アドレス範囲は地域インターネットレジストリ (RIR) に登録する必要があります。地理的リージョンに関するポリシーについてはRIR を参照してください。BYOIP は現在、American Registry for Internet Numbers (ARIN)、Réseaux IP Européens Network Coordination Centre (RIPE) または Asia-Pacific Network Information Centre (APNIC) への登録をサポートしています。アドレス範囲は事業体または機関エンティティについて登録を受ける必要があり、個人については登録を受けられない場合があります。

• 取得できる最も具体的な IPv4 アドレス範囲は /24 です。

• 提供できる最も具体的な IPv6 アドレス範囲はパブリックにアドバタイズ可能な CIDR の場合は /48、パブリックにアドバタイズ可能でない CIDR の場合は /60 です。

• ROA はパブリックにアドバタイズ可能でない CIDR 範囲には必要ありませんが、RDAP レコードは更新する必要があります。

• 各アドレス範囲は一度に 1 つの AWS リージョンで使用できます。

• AWS リージョンごとに合計 5 つの BYOIP IPv4 および IPv6 アドレス範囲を AWS アカウントに取り込むことができます。Service Quotas コンソールを使用して BYOIP CIDR のクォータを調整することはできませんが、「AWS 全般のリファレンス」の「AWS サービスクォータ」で説明されているように、AWS サポートセンターに連絡してクォータの引き上げをリクエストすることはできます。

• Amazon VPC IP Address Manager (IPAM) を使用し、IPAM と AWS RAM Organizationsを統合しない限り、AWS を使用する他のアカウントとIPアドレス範囲を共有することはできません。詳細についてはAmazon VPC IP アドレス管理ユーザーガイドのAWS Organizations と IPAM を統合するを参照してください。

• IP アドレス範囲内のアドレスには消去履歴が含まれている必要があります。弊社はIP アドレス範囲に評価が低いまたは悪意のある挙動に関連付けられている IP アドレスが含まれている場合、当該範囲の評価を調査したり、当該範囲を拒否する権利を留保したりすることがあります。

• レガシーアドレススペース、つまり Regional Internet Registry (RIR) システムの形成前に Internet Assigned Numbers Authority's (IANA) の中央レジストリによって配布された IPv4 アドレススペースには引き続き対応する ROA オブジェクトが必要です。

• LIR では手動プロセスを使用してレコードを更新するのが一般的です。LIR によってはデプロイに数日かかることがあります。

• 大規模な CIDR ブロックには単一の ROA オブジェクトと RDP レコードが必要です。単一のオブジェクトとレコードを使用して、その範囲から AWS まで (複数の AWS リージョンにまたがることもできます) 複数の小さな CIDR ブロックを使用できます。

• BYOIP はWavelength Zones または AWS Outposts ではサポートされていません。

• RADb やその他の IRR の BYOIP を手動で変更しないでください。BYOIP は RADb を自動的に更新します。BYOIP ASN を含む手動変更を行うと、BYOIP プロビジョニング操作が失敗します。

• IPv4 アドレス範囲を AWS に設定すると、最初のアドレス (ネットワークアドレス) と最後のアドレス (ブロードキャストアドレス) を含む、範囲内のすべての IP アドレスを使用できます。

• af-south-1-los-1

• ap-northeast-1-tpe-1

• ap-south-1-ccu-1

• ap-south-1-del-1

• ap-southeast-1-bkk-1

• ap-southeast-1-mnl-1

• ap-southeast-2-akl-1

• ap-southeast-2-per-1

• eu-central-1-ham-1

• eu-central-1-waw-1

• eu-north-1-cph-1

• eu-north-1-hel-1

• me-south-1-mct-1

• us-east-1-atl-2

• us-east-1-bos-1

• us-east-1-bue-1

• us-east-1-chi-2

• us-east-1-dfw-2

• us-east-1-iah-2

• us-east-1-lim-1

• us-east-1-mci-1

• us-east-1-mia-2

• us-east-1-msp-1

• us-east-1-nyc-1

• us-east-1-nyc-2

• us-east-1-phl-1

• us-east-1-qro-1

• us-east-1-scl-1

• us-west-2-den-1

• us-west-2-hnl-1

• us-west-2-las-1

• us-west-2-lax-1

• us-west-2-pdx-1

• us-west-2-phx-2

• us-west-2-sea-1