AWS アカウントに IP アドレス範囲を持ち込むために準備する - AWS Global Accelerator
認証を提供する手順ステップ 1: ROA オブジェクトを作成するステップ 2: 自己署名の X.509 証明書を作成するステップ 3: 署名付き認可メッセージを作成する

AWS アカウントに IP アドレス範囲を持ち込むために準備する

あなたのみが自分の IP アドレススペースを Amazon に持ち込めるようにするため、次の 2 つの認証が必要です。

  • Amazon が IP アドレス範囲をアドバタイズすることを許可する必要があります。

  • IP アドレス範囲を所有していることの証明を提供し、AWS に持ち込む権限を持っている必要があります。

    注記

    BYOIP を使用して IP アドレス範囲を AWS にする場合、そのアドレス範囲の所有権を別のアカウントまたは会社に移管することはできません。また、IP アドレス範囲をある AWS アカウントから別のアカウントに直接移管することはできません。所有権を移管したり、AWS アカウント間で移管したりするには、アドレス範囲のプロビジョニングを解除し、新しい所有者が自分の AWS アカウントにアドレス範囲を追加するステップに従う必要があります。

Amazon に IP アドレス範囲のアドバタイズを許可するには、署名付き認証メッセージを Amazon に提供します。Route Origin Authorization (ROA) を使用して、この承認を提供します。ROA は、利用している地域インターネットレジストリ (RIR) を介して作成できる、経路広告に関する電子署名付き証明書です。ROA には、IP アドレス範囲、その IP アドレス範囲を公開することを許可された AS 番号 (ASN)、および有効期限が含まれています。ROA は、Amazon が特定の自律システム (AS) で IP アドレス範囲をアドバタイズすることを許可します。

ROA はその AWS アカウントに対して、IP アドレス範囲を AWS に持ち込むことを承認するわけではありません。この認証を提供するには、IP アドレス範囲の Registry Data Access Protocol (RDAP) リマークスで自己署名の X.509 証明書を発行する必要があります。証明書にはパブリックキーが含まれており、AWS はこれを使用してお客様が提供する認可コンテキスト署名を確認します。プライベートキーを安全に管理し、これを使用して認可コンテキストメッセージに署名してください。

以下のセクションでは、これらの手順を完了するための詳細な手順について説明します。これらの手順のコマンドは、Linux でサポートされています。Windows を使用する場合、「Windows Subsystem for Linux」をアクセスして、Linux コマンドを実行できます。

認証を提供する手順

ステップ 1: ROA オブジェクトを作成する

IP アドレス範囲をアドバタイズするために Amazon ASN 16509 を承認し、また、IP アドレス範囲をアドバタイズすることが現在許可されている ASN も承認するために、ROA オブジェクトを作成します。ROA には、AWS に持ち込む /24 IP アドレスが含まれ、最大長を /24 に設定する必要があります。

ROA リクエストの作成の詳細については、IP アドレス範囲を登録した場所に応じて、以下のセクションを参照してください:

ステップ 2: 自己署名の X.509 証明書を作成する

キーペアと自己署名の X.509 証明書を作成し、RIR の RDAP レコードに証明書を追加します。次の手順では、これらのタスクを実行する方法を説明します。

注記

これらの手順での openssl コマンドには、OpenSSL バージョン 1.0.2 以降が必要です。

X.509 証明書を作成して追加するには

  1. 次のコマンドを使用して RSA 2048 ビットのキーペアを生成します。

    openssl genrsa -out private.key 2048

  2. 次のコマンドを使用してキーペアからパブリック X.509 証明書を作成します。

    openssl req -new -x509 -key private.key -days 365 | tr -d "\n" > publickey.cer

    この例では、証明書は 365 日で期限切れになり、それ以降は信頼されません。コマンドを実行するときは、正しい有効期限の希望値に –days オプションを設定してください。他の情報の入力を求められたら、デフォルト値をそのまま使用します。

  3. RIR に応じて、次の手順を使用して、RIR の RDAP レコードを X.509 証明書で更新します。

    1. 次のコマンドを実行して、証明書を表示します。

      cat publickey.cer

    2. 以前に作成した証明書を、RIR の RDAP レコードに追加します。エンコードされた部分の前後の -----BEGIN CERTIFICATE----- および -----END CERTIFICATE----- 文字列を、必ず含めます。このコンテンツはすべて、長い 1 行にする必要があります。RDAP を更新する手順は、ご使用の RIR によって異なります。

      • ARIN の場合は、Account Manager ポータルを使用して、アドレス範囲を表す「ネットワーク情報」オブジェクトの「パブリックコメント」セクションに証明書を追加してください。組織の [comments] セクションには追加しないでください。

      • RIPE の場合は、証明書を新しい「descr」フィールドとして、アドレス範囲を表す「inetnum」または「inet6num」オブジェクトに追加します。これらは通常、RIPE Database ポータルの「マイリソース」セクションにあります。組織の [コメント] セクションや上記オブジェクトの「備考」フィールドには追加しないでください。

      • APNIC の場合は、証明書を電子メールで helpdesk@apnic.net に送信し、アドレス範囲の "remarks" フィールドに手動で追加します。APNIC の IP アドレスに関する正規連絡先に電子メールを送信します。

      以下のプロビジョニング段階が完了したら、RIR の記録から証明書を削除できます。

ステップ 3: 署名付き認可メッセージを作成する

Amazon が IP アドレス範囲をアドバタイズできるようにする署名付き認証メッセージを作成します。

メッセージの形式は以下のとおりです。日付 YYYYMMDD はメッセージの有効期限日になります。

1|aws|aws-account|address-range|YYYYMMDD|SHA256|RSAPSS

署名付き認可メッセージを作成するには

  1. 次に例を示すように、プレーンテキストの認可メッセージを作成し、text_message という名前の変数に保存します。サンプルのアカウント番号、IP アドレス範囲、および有効期限を独自の値に置き換えます。

    text_message="1|aws|123456789012|203.0.113.0/24|20191201|SHA256|RSAPSS"

  2. 前のセクションで作成したキーペア text_message を使用して、認証メッセージに署名します。

  3. 次の例に示すように、メッセージを signed_message という名前の変数に保存します。

    signed_message=$(echo $text_message | tr -d "\n" | openssl dgst -sha256 -sigopt 
						rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private.key -keyform PEM | openssl base64 | 
						tr -- '+=/' '-_~' | tr -d "\n")