Amazon EC2 に自分の IP アドレスを持ち込む (BYOIP) - Amazon Elastic Compute Cloud

Amazon EC2 に自分の IP アドレスを持ち込む (BYOIP)

オンプレミスのネットワークから、パブリックにルーティング可能な IPv4 または IPv6 アドレス範囲の一部または全部を AWS アカウントに持ち込むことができます。アドレス範囲は引き続き管理でき、AWS を通じてインターネット上でアドレス範囲をアドバタイズできます。アドレス範囲を Amazon EC2 に持ち込むと、そのアドレス範囲がアドレスプールとして AWS アカウントに表示されます。

注記

このドキュメントでは、自分の IP アドレス範囲を Amazon EC2 でのみ使用するために持ち込む方法について説明します。AWS Global Acceleratorで使用するために独自の IP アドレス範囲を使用するには、「AWS Global Accelerator デベロッパーガイド」の「独自 IP アドレス (BYOIP) の使用」を参照してください。Amazon VPC IP Address Manager で使用する独自の IP アドレス範囲を導入するには、「Amazon VPC IPAM ユーザーガイド」の「チュートリアル: BYOIP アドレス CIDR を IPAM へ」を参照してください。

IP アドレス範囲を AWS に設定すると、AWS は IP アドレス範囲がユーザーによって制御されていることを検証します。範囲を制御していることを示すためには、次の 2 つの方法を使用できます。

  • IP アドレス範囲が RDAP をサポートするインターネットレジストリ (ARIN、RIPE、APNIC など) に登録されている場合、このページのプロセスを使用して X.509 証明書でドメインの制御を確認できます。証明書は、プロビジョニングプロセスの間のみ有効である必要があります。プロビジョニングが完了したら、RIR の記録から証明書を削除できます。

  • インターネットレジストリが RDAP をサポートしているかどうかにかかわらず、Amazon VPC IPAM を使用すると DNS TXT レコードでドメインの制御を確認できます。このプロセスについては、「Amazon VPC IPAM ユーザーガイド」の「チュートリアル: IP アドレスを IPAM に移行する」を参照してください。

詳細については、AWS オンラインテックトークの自分の IP アドレス使用の詳細を参照してください。

BYOIP の定義

  • X.509 自己署名証明書 — ネットワーク内のデータを暗号化および認証するために最も一般的に使用される証明書標準。これは、RDAP レコードからの IP スペースの制御を検証するために AWS によって使用される証明書です。X.509 証明書の詳細については、「RFC 3280」を参照してください。

  • AS 番号 (ASN) — 明確に定義された単一のルーティングポリシーを維持する 1 つ以上のネットワークオペレーターによって実行される IP プレフィックスのグループを定義するグローバル一意識別子。

  • 地域インターネットレジストリ (RIR) — 世界のある地域内の IP アドレスと ASN の割り当てと登録を管理する組織。

  • レジストリデータアクセスプロトコル (RDAP) — RIR 内の現在の登録データを照会する、読み取り専用プロトコルです。クエリされた RIR データベース内のエントリは「RDAP レコード」と呼ばれます。特定のレコードタイプは、RIR が提供するメカニズムを使用して顧客により更新される必要があります。これらのレコードは、RIR 内のアドレス空間の制御を確認するために AWS によりクエリされます。

  • Route Origin Authorization (ROA) — お客様が特定の自律システムで IP アドバタイズメントを認証するために RIR によって作成されたオブジェクト。概要については、ARIN ウェブサイトの「Route Origin Authorizations (ROAs)」(ルートオリジン認証 (ROA)) を参照してください。

  • ローカルインターネットレジストリ (LIR) — RIR からの IP アドレスのブロックをお客様に割り当てるインターネットサービスプロバイダーなどの組織。

要件とクォータ

  • アドレス範囲は、地域インターネットレジストリ (RIR) に登録する必要があります。地理的リージョンに関するポリシーについては、RIR を参照してください。BYOIP は、現在、American Registry for Internet Numbers (ARIN)、Réseaux IP Européens Network Coordination Centre (RIPE) または Asia-Pacific Network Information Centre (APNIC) への登録をサポートしています。アドレス範囲は、事業体または機関エンティティについて登録を受ける必要があり、個人については登録を受けられない場合があります。

  • 取得できる最も具体的な IPv4 アドレス範囲は /24 です。

  • 提供できる最も具体的な IPv6 アドレス範囲は、パブリックにアドバタイズ可能な CIDR の場合は /48、パブリックにアドバタイズ可能でない CIDR の場合は /56 です。

  • ROA はパブリックにアドバタイズ可能でない CIDR 範囲には必要ありませんが、RDAP レコードは更新する必要があります。

  • 各アドレス範囲は、一度に 1 つの AWS リージョンで使用できます。

  • AWS リージョンごとに合計 5 つの BYOIP IPv4 および IPv6 アドレス範囲を AWS アカウントに取り込むことができます。Service Quotas コンソールを使用して BYOIP CIDR のクォータを調整することはできませんが、「AWS 全般のリファレンス」の「AWS サービスクォータ」で説明されているように、AWS サポートセンターに連絡してクォータの引き上げをリクエストすることはできます。

  • Amazon VPC IP Address Manager (IPAM) を使用し、IPAM と AWS RAM Organizationsを統合しない限り、AWS を使用する他のアカウントとIPアドレス範囲を共有することはできません。詳細については、Amazon VPC IP アドレス管理ユーザーガイドAWS Organizations と IPAM を統合するを参照してください。

  • IP アドレス範囲内のアドレスには、消去履歴が含まれている必要があります。弊社は、IP アドレス範囲に評価が低いまたは悪意のある挙動に関連付けられている IP アドレスが含まれている場合、当該範囲の評価を調査したり、当該範囲を拒否する権利を留保したりすることがあります。

  • レガシーアドレススペース、つまり Regional Internet Registry (RIR) システムの形成前に Internet Assigned Numbers Authority's (IANA) の中央レジストリによって配布された IPv4 アドレススペースには、引き続き対応する ROA オブジェクトが必要です。

  • LIR では、手動プロセスを使用してレコードを更新するのが一般的です。LIR によっては、デプロイに数日かかることがあります。

  • 大規模な CIDR ブロックには、単一の ROA オブジェクトと RDP レコードが必要です。単一のオブジェクトとレコードを使用して、その範囲から AWS まで (複数の AWS リージョンにまたがることもできます) 複数の小さな CIDR ブロックを使用できます。

  • BYOIP は、Wavelength Zones または AWS Outposts ではサポートされていません。

  • RADb やその他の IRR の BYOIP を手動で変更しないでください。BYOIP は RADb を自動的に更新します。BYOIP ASN を含む手動変更を行うと、BYOIP プロビジョニング操作が失敗します。

  • IPv4 アドレス範囲を AWS に設定すると、最初のアドレス (ネットワークアドレス) と最後のアドレス (ブロードキャストアドレス) を含む、範囲内のすべての IP アドレスを使用できます。

リージョナルな可用性

BYOIP 機能は現在、AWS中国リージョンを除くすべての商用リージョンで利用できます

Local Zone の可用性

Local Zone は、地理的にユーザーに近い場所に位置する AWS リージョンを拡張したものです。Local Zones は「ネットワークボーダーグループ」にグループ化されます。AWS で、ネットワークボーダーグループは、AWS がパブリック IP アドレスをアドバタイズするアベイラビリティーゾーン (AZ)、Local Zones、Wavelength Zones のコレクションです。Local Zones は、AWS ネットワークとこれらのゾーンのリソースにアクセスするお客様との間のレイテンシーや物理的距離を最小限に抑えるために、AWS リージョン内の AZ とは異なるネットワークボーダーグループを持つ場合があります。

--network-border-group オプションを使用すると、以下の Local Zone ネットワークボーダーグループに BYOIPv4 アドレス範囲をプロビジョニングしてアドバタイズできます。

  • af-south-1-los-1

  • ap-northeast-1-tpe-1

  • ap-south-1-ccu-1

  • ap-south-1-del-1

  • ap-southeast-1-bkk-1

  • ap-southeast-1-mnl-1

  • ap-southeast-2-akl-1

  • ap-southeast-2-per-1

  • eu-central-1-ham-1

  • eu-central-1-waw-1

  • eu-north-1-cph-1

  • eu-north-1-hel-1

  • me-south-1-mct-1

  • us-east-1-atl-2

  • us-east-1-bos-1

  • us-east-1-bue-1

  • us-east-1-chi-2

  • us-east-1-dfw-2

  • us-east-1-iah-2

  • us-east-1-lim-1

  • us-east-1-mci-1

  • us-east-1-mia-2

  • us-east-1-msp-1

  • us-east-1-nyc-1

  • us-east-1-phl-1

  • us-east-1-qro-1

  • us-east-1-scl-1

  • us-west-2-den-1

  • us-west-2-hnl-1

  • us-west-2-las-1

  • us-west-2-lax-1

  • us-west-2-pdx-1

  • us-west-2-phx-2

  • us-west-2-sea-1

Local Zones を有効にしている場合 (「Enable a Local Zone」を参照)、BYOIPv4 CIDR のプロビジョニングとアドバタイズをするときにネットワークボーダーグループを選択できます。EIP とそれが関連付けられている AWS リソースは同じネットワークボーダーグループに属している必要があるため、ネットワークボーダーグループは慎重に選択してください。

注記

現時点では、Local Zones で BYOIPv6 アドレス範囲をプロビジョニングまたはアドバタイズすることはできません。