도메인 제어 확인

IP 주소 범위를 AWS로 가져오려면 먼저 이 섹션에 설명된 옵션 중 하나를 사용하여 IP 주소 공간을 제어하는지 확인해야 합니다. 나중에 IP 주소 범위를 AWS로 가져오면 AWS가 IP 주소 범위를 제어할 수 있는지 확인합니다. 이 검증을 통해 고객이 다른 사람의 IP 범위를 사용할 수 없도록 하여 라우팅 및 보안 문제를 방지할 수 있습니다.

범위를 제어하는지 확인하는 데 사용할 수 있는 두 가지 방법이 있습니다.

X.509 인증서: IP 주소 범위가 RDAP를 지원하는 인터넷 레지스트리(예: ARIN, RIPE, APNIC)에 등록된 경우 X.509 인증서로 도메인 제어를 확인할 수 있습니다.
DNS TXT 레코드: 인터넷 레지스트리가 RDAP를 지원하는지 여부에 관계없이 확인 토큰과 DNS TXT 레코드를 사용하여 도메인의 소유권을 확인할 수 있습니다.

X.509 인증서로 도메인 확인

이 섹션에서는 IP 주소 범위를 IPAM으로 가져오기 전에 X.509 인증서로 도메인을 확인하는 방법에 대해 설명합니다.

X.509 인증서로 도메인을 확인하려면

Amazon EC2 사용 설명서의 BYOIP 주소 범위에 대한 온보딩 사전 조건의 단계를 완료합니다.

참고
ROA를 생성할 때 IPv4 CIDR의 경우 IP 주소 접두사의 최대 길이를 /24로 설정해야 합니다. IPv6 CIDR의 경우 알릴 수 있는 풀에 해당 CIDR을 추가하면 IP 주소 접두사의 최대 길이는 /48여야 합니다. 이렇게 하면 퍼블릭 IP 주소를 AWS 리전 전체에 걸쳐 충분히 유연하게 분할할 수 있습니다. IPAM은 사용자가 설정한 최대 길이를 적용합니다. 최대 길이는 이 라우팅에 허용되는 가장 작은 접두사 길이 알림입니다. 예를 들어 /20 CIDR 블록을 AWS로 가져오는 경우 최대 길이를 /24로 설정하여 원하는 대로 더 큰 블록(예: /21, /22 또는 /24)을 분할하고, 더 작은 CIDR 블록을 모든 리전에 배포할 수 있습니다. 최대 길이를 /23으로 설정하는 경우 더 큰 블록의 /24를 분할하여 알릴 수 없게 됩니다. 또한, /24는 가장 작은 IPv4 블록이며 /48은 리전에서 인터넷으로 알릴 수 있는 가장 작은 IPv6 블록입니다.
Amazon EC2 사용자 가이드에 있는 AWS의 공개적으로 알릴 수 있는 주소 범위 프로비저닝에서 1단계와 2단계만 완료하고 주소 범위 프로비저닝(3단계)은 아직 완료하지 마세요. text_message 및 signed_message를 저장합니다. 이 정보는 이 절차의 뒷부분에서 필요합니다.

이 단계를 완료했으면 AWS 관리 콘솔과 AWS CLI를 모두 사용하여 IPAM으로 고유 IP 가져오기 또는 AWS CLI만 사용하여 IPAM으로 고유 IP CIDR 가져오기을(를) 계속 진행합니다.

DNS TXT 레코드로 도메인 확인

IP 주소 범위를 IPAM으로 가져오기 전에 DNS TXT 레코드로 도메인을 확인하려면 이 섹션의 단계를 완료합니다.

DNS TXT 레코드를 사용하여 퍼블릭 IP 주소 범위를 제어하고 있는지 확인할 수 있습니다. DNS TXT 레코드는 도메인 이름에 대한 정보가 포함된 DNS 레코드의 한 유형입니다. 이 기능을 사용하면 RDAP(Registration Data Access Protocol) 레코드 기반 검증을 지원하는 레지스트리(예: ARIN, RIPE 및 APNIC)뿐만 아니라 모든 인터넷 레지스트리(예: JPNIC, LACNIC, AFRINIC)에 등록된 IP 주소를 가져올 수 있습니다.

중요

계속하려면 프리 티어 또는 고급 티어에서 이미 IPAM을 생성한 상태여야 합니다. IPAM이 없으면 먼저 IPAM 생성을(를) 완료합니다.

내용

1단계: ROA가 없는 경우 ROA 생성
단계 2. 확인 토큰 생성
단계 3. DNS 영역 및 TXT 레코드를 설정합니다.

1단계: ROA가 없는 경우 ROA 생성

알리려는 IP 주소 범위에 대해 리전 인터넷 레지스트리(RIR)에 ROA(Route Origin Authorization)가 있어야 합니다. RIR에 ROA가 없는 경우 3을 완료합니다. Amazon EC2 사용 설명서를 참조하여 RIR에 ROA 객체를 생성합니다. 다른 단계는 무시합니다.

가져올 수 있는 가장 구체적인 IPv4 주소 범위는 /24입니다. 가져올 수 있는 가장 구체적인 IPv6 주소 범위는 공개적으로 알려지는 CIDR의 경우 /48이고, 공개적으로 알려지지 않는 CIDR의 경우 /60입니다.

단계 2. 확인 토큰 생성

확인 토큰은 외부 리소스에 대한 제어를 증명하는 데 사용할 수 있는 AWS에서 생성한 임의의 값입니다. 예를 들어, 확인 토큰을 사용하여 IP 주소 범위를 AWS(BYOIP)로 가져올 때 퍼블릭 IP 주소 범위를 제어하는지 검증할 수 있습니다.

이 섹션의 단계를 완료하여 이 자습서의 뒷부분에서 IP 주소 범위를 IPAM으로 가져오는 데 필요한 확인 토큰을 생성합니다. AWS 콘솔 또는 AWS CLI에 대한 아래 지침을 사용합니다.

AWS Management Console

확인 토큰을 생성하려면

https://console.aws.amazon.com/ipam/에서 IPAM 콘솔을 엽니다.
AWS 관리 콘솔에서 IPAM을 생성한 AWS 리전을 선택합니다.
왼쪽 탐색 창에서 IPAM을 선택합니다.
IPAM을 선택한 다음 확인 토큰 탭을 선택합니다.
확인 토큰 생성을 선택합니다.
토큰을 생성한 후에는 이 브라우저 탭을 열어 둡니다. 다음 단계에서는 토큰 값, 토큰 이름, 이후 단계에서는 토큰 ID가 필요합니다.

유의할 사항:

확인 토큰을 생성하면 72시간 이내에 IPAM에서 프로비저닝한 여러 BYOIP CIDR에 토큰을 재사용할 수 있습니다. 72시간 후에 더 많은 CIDR을 프로비저닝하려면 새 토큰이 필요합니다.
최대 100개의 토큰을 생성할 수 있습니다. 한도에 도달하면 만료된 토큰을 삭제합니다.

Command line

create-ipam-external-resource-verification-token을 사용하여 DNS 구성에 사용할 확인 토큰을 생성하도록 IPAM에 요청합니다.


aws ec2 create-ipam-external-resource-verification-token --ipam-id ipam-id

그러면 IpamExternalResourceVerificationTokenId와 TokenName 및 TokenValue 값을 가진 토큰 그리고 토큰의 만료 시간(NotAfter)이 함께 반환됩니다.


{ 
    "IpamExternalResourceVerificationToken": { 
        "IpamExternalResourceVerificationTokenId": "ipam-ext-res-ver-token-0309ce7f67a768cf0", 
        "IpamId": "ipam-0f9e8725ac3ae5754", 
        "TokenValue": "a34597c3-5317-4238-9ce7-50da5b6e6dc8", 
        "TokenName": "86950620", 
        "NotAfter": "2024-05-19T14:28:15.927000+00:00", 
        "Status": "valid", 
        "Tags": [], 
        "State": "create-in-progress" }
}

유의할 사항:

확인 토큰을 생성하면 72시간 이내에 IPAM에서 프로비저닝한 여러 BYOIP CIDR에 토큰을 재사용할 수 있습니다. 72시간 후에 더 많은 CIDR을 프로비저닝하려면 새 토큰이 필요합니다.
describe-ipam-external-resource-verification-tokens를 사용하여 토큰을 확인할 수 있습니다.
최대 100개의 토큰을 생성할 수 있습니다. 한도에 도달하면 delete-ipam-external-resource-verification-token을 사용하여 만료된 토큰을 삭제할 수 있습니다.

단계 3. DNS 영역 및 TXT 레코드를 설정합니다.

DNS 영역과 TXT 레코드를 설정하려면 이 단원의 단계를 완료합니다. Route53을 DNS로 사용하지 않는 경우 DNS 공급자가 제공한 설명서에 따라 DNS 영역을 설정하고 TXT 레코드를 추가합니다.

Route53을 사용하는 경우 다음 사항에 유의합니다.

AWS 콘솔에서 역방향 조회 영역을 생성하려면 Amazon Route 53 개발자 안내서의 퍼블릭 호스팅 영역 생성을 참조하거나 AWS CLI 명령 create-hosted-zone을 사용합니다.
AWS 콘솔의 역방향 조회 영역에서 레코드를 생성하려면 Amazon Route 53 개발자 안내서의 Amazon Route 53 콘솔을 사용하여 레코드 생성을 참조하거나 AWS CLI 명령 change-resource-record-sets를 사용합니다.
호스팅 영역 생성을 완료한 후에는 RIR의 호스팅 영역을 Route53에서 제공하는 이름 서버(예: LACNIC 또는 APNIC)에 위임합니다.

다른 DNS 공급자를 사용하든 Route53을 사용하든 관계없이 TXT 레코드를 설정할 때는 다음 사항에 유의합니다.

레코드 이름은 토큰 이름이어야 합니다.
레코드 유형은 TXT여야 합니다.
ResourceRecord 값은 토큰 값이어야 합니다.

예시

이름: 86950620.113.0.203.in-addr.arpa
유형: TXT
ResourceRecords 값: a34597c3-5317-4238-9ce7-50da5b6e6dc8

위치:

86950620은 확인 토큰 이름입니다.
113.0.203.in-addr.arpa는 역방향 조회 영역 이름입니다.
TXT는 레코드 유형입니다.
a34597c3-5317-4238-9ce7-50da5b6e6dc8은 확인 토큰 값입니다.

참고

BYOIP를 사용하여 IPAM으로 가져올 접두사의 크기에 따라 DNS에 하나 이상의 인증 레코드를 생성해야 합니다. 이러한 인증 레코드는 레코드 유형이 TXT이므로 접두사 자체 또는 상위 접두사의 역방향 영역에 배치해야 합니다.

IPv4의 경우 인증 레코드는 접두사를 구성하는 옥텟 경계에 있는 범위에 맞춰 정렬되어야 합니다.
- 예시
- 이미 옥텟 경계에 정렬되어 있는 198.18.123.0/24의 경우, 다음 주소에서 단일 인증 레코드를 생성해야 합니다.
  - token-name.123.18.198.in-addr.arpa. IN TXT “token-value”
- 자체적으로 옥텟 경계와 정렬되지 않는 198.18.12.0/22의 경우, 4개의 인증 레코드를 생성해야 합니다. 이러한 레코드는 옥텟 경계에 정렬된 서브넷 198.18.12.0/24, 198.18.13.0/24, 198.18.14.0/24, 198.18.15.0/24를 포함해야 합니다. 해당 DNS 항목은 다음과 같아야 합니다.
  - token-name.12.18.198.in-addr.arpa. IN TXT “token-value”
  - token-name.13.18.198.in-addr.arpa. IN TXT “token-value”
  - token-name.14.18.198.in-addr.arpa. IN TXT “token-value”
  - token-name.15.18.198.in-addr.arpa. IN TXT “token-value”
- 이미 옥텟 경계에 정렬된 198.18.0.0/16의 경우 단일 인증 레코드를 생성해야 합니다.
  - token-name.18.198.in-addr.arpa. IN TXT “token-value”
IPv6의 경우 인증 레코드는 접두사를 구성하는 니블 경계의 범위에 맞게 정렬되어야 합니다. 유효한 니블 값은 예를 들어 32, 36, 40, 44, 48, 52, 56, 60입니다.
- 예시
  - 이미 니블 경계에 정렬되어 있는 2001:0db8::/40의 경우 단일 인증 레코드를 생성해야 합니다.
    
    token-name.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”
  - 자체적으로 니블 경계에 정렬되지 않는 2001:0db8:80::/42의 경우 4개의 인증 레코드를 생성해야 합니다. 이러한 레코드는 니블 경계에 정렬된 서브넷 2001:db8:80::/44, 2001:db8:90::/44, 2001:db8:a0::/44, 2001:db8:b0::/44를 포함해야 합니다. 해당 DNS 항목은 다음과 같아야 합니다.
    
    token-name.8.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”
    
    token-name.9.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”
    
    token-name.a.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
    
    token-name.b.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
  - 자체적으로 니블 경계를 넘지 않는 2001:db8:0:1000::/54의 알려지지 않는 범위의 경우 4개의 인증 레코드를 생성해야 합니다. 이러한 레코드는 니블 경계에 정렬된 서브넷 2001:db8:0:1000::/56, 2001:db8:0:1100::/56, 2001:db8:0:1200::/56, 2001:db 8:0:1300::/56을 포함해야 합니다. 해당 DNS 항목은 다음과 같아야 합니다.
    
    token-name.0.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
    
    token-name.1.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
    
    token-name.2.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
    
    token-name.3.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
- 토큰 이름과 "ip6.arpa" 문자열 사이의 16진수가 올바른지 확인하려면 숫자에 4를 곱합니다. 결과는 접두사 길이와 일치해야 합니다. 예를 들어 /56 접두사의 경우 16진수 14자리여야 합니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

IPAM으로 IP 주소 가져오기

AWS 콘솔 및 CLI를 사용한 BYOIP