# Tutorial: Traga o seu ASN para o IPAM
Se os seus aplicativos estiverem utilizando endereços IP confiáveis e Números de Sistemas Autônomos (ASNs) que seus parceiros ou clientes permitiram listar em suas redes, é possível executar esses aplicativos em AWS sem a necessidade de solicitar que seus parceiros ou clientes modifiquem suas listas de permissão.
Um número de sistema autônomo (ASN) é uma designação globalmente exclusiva que possibilita a identificação de um conjunto de redes na Internet e a troca dinâmica de dados de roteamento com outras redes por meio do [Border Gateway Protocol](https://aws.amazon.com/what-is/border-gateway-protocol/). Os provedores de serviços de Internet (ISPs), por exemplo, utilizam ASNs para reconhecer a origem do tráfego de rede. Embora nem todas as organizações adquiram seus próprios ASNs, aquelas que o fazem têm a opção de trazer seu ASN para a AWS.
A funcionalidade BYOASN (Bring your own autonomous system number) permite anunciar os endereços IPv4 ou IPv6 que você traz para a AWS com seu próprio ASN público, em vez do ASN da AWS. Ao utilizar o BYOASN, o tráfego originado a partir do seu endereço IP exibe o seu ASN, em vez do ASN da AWS, permitindo que suas cargas de trabalho sejam acessadas por clientes ou parceiros que autorizaram o tráfego com base no seu endereço IP e ASN.
**Importante**
Para seguir este tutorial, é necessário concluir as etapas usando a conta de administrador do IPAM na região inicial do seu IPAM.
Pressupõe-se que você seja o proprietário do ASN público que deseja trazer para o IPAM e que já tenha trazido um CIDR BYOIP para AWS e o provisionado para um pool no seu escopo público. Embora seja possível trazer um ASN para o IPAM a qualquer momento, é necessário associá-lo a um CIDR que tenha sido previamente trazido para a sua conta da AWS para utilizá-lo. Este tutorial pressupõe que você já tenha feito isso. Para ter mais informações, consulte [Tutorial: trazer seus endereços IP para o IPAM](tutorials-byoip-ipam.md).
É possível alternar entre anunciar o seu próprio ASN ou um ASN AWS sem demora, mas há uma restrição que limita a mudança de um ASN AWS para o seu próprio ASN a uma vez por hora.
Caso o seu CIDR BYOIP esteja atualmente sendo anunciado, não é necessário retirá-lo da publicidade antes de associá-lo ao seu ASN.
## Pré-requisitos de integração para seu ASN
Você precisará do seguinte para concluir este tutorial:
+ Seu ASN público de 2 ou 4 bytes.
+ Se você já trouxe um intervalo de endereços IP para a AWS com [Tutorial: trazer seus endereços IP para o IPAM](tutorials-byoip-ipam.md), precisará do intervalo CIDR de endereços IP. Você também precisará de uma chave privada. É possível usar a chave privada que foi criada ao importar o intervalo de CIDR do endereço IP para a AWS ou criar uma nova chave privada, como descrito em [Crie uma chave privada e gere um certificado X.509](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/prepare-for-byoip.html#byoip-certificate) no *Guia do usuário do Amazon EC2*.
+ Quando traz um intervalo de endereços IPv4 ou IPv6 para a AWS com [Tutorial: trazer seus endereços IP para o IPAM](tutorials-byoip-ipam.md), você [cria um certificado X.509](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html#byoip-add-certificate) e [carrega-o no registro RDAP no RIR](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html#byoip-add-certificate). Você deve carregar o mesmo certificado que criou no registro RDAP em seu RIR para o ASN. Certifique-se de incluir as strings `-----BEGIN CERTIFICATE-----` e `-----END CERTIFICATE-----` antes e depois da parte codificada. Todo esse conteúdo deve estar em uma única e longa linha. O procedimento para atualizar o RDAP depende do RIR:
+ Para o ARIN, use o [portal do Account Manager](https://account.arin.net/public/secure/dashboard) para adicionar o certificado na seção “Comentários públicos” para o objeto “Informações de rede” que representa seu ASN usando a opção “Modificar ASN”. Não o adicione à seção de comentários da sua organização.
+ Para o RIPE, adicione o certificado como um novo campo “descr” ao objeto “aut-num” que representa seu ASN. Geralmente, eles podem ser encontrados na seção “Meus recursos” do
[portal do banco de dados RIPE](https://apps.db.ripe.net/db-web-ui/myresources/overview). Não o adicione à seção de comentários da sua organização ou ao campo “comentários” do objeto “aut-num”.
+ Para o APNIC, envie o certificado por e-mail para [helpdesk@apnic.net](mailto:helpdesk@apnic.net) para adicioná-lo manualmente ao campo “observações” do seu ASN. Envie o e-mail usando o contato autorizado do APNIC para o ASN.
+ Ao trazer um intervalo de endereços IP para o IPAM, você cria uma ROA para confirmar que controla o espaço de endereço IP que está trazendo para o IPAM. Além dessa ROA, você deve ter uma segunda ROA no RIR com o ASN que você está trazendo para o IPAM. Se você não tiver essa segunda ROA para o ASN no RIR, conclua o item [3. Criar um objeto ROA no seu RIR](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/prepare-for-byoip.html#byoip-create-roa-object). Ignore as outras etapas.
## Etapas do tutorial
Conclua as etapas abaixo usando o AWS console ou o AWS CLI.
------
#### [ AWS Management Console ]
1. Abra o console do IPAM em [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/).
1. No painel de navegação, selecione **IPAMs**.
1. Escolha seu IPAM.
1. Escolha a guia **BYOASNS** e escolha **Provisionar por OASNS.**
1. Insira o **ASN**. Como resultado, o campo **Mensagem** é preenchido automaticamente com a mensagem que você precisará assinar na próxima etapa.
+ A estrutura da mensagem é a seguinte, em que ACCOUNT é o número da sua conta AWS, ASN é o número de Sistema Autônomo (ASN) que você está fornecendo ao IPAM, e AAAAMMDD é a data de expiração da mensagem (padrão: último dia do mês seguinte). Exemplo: .
```
text_message="1|aws|ACCOUNT|ASN|YYYYMMDD|SHA256|RSAPSS"
```
1. Copie a mensagem e substitua a data de validade pelo seu próprio valor, se quiser.
1. Assine a mensagem usando a chave privada. Exemplo: .
```
signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")
```
1. Em **Assinatura**, insira a assinatura.
1. (Opcional) Para provisionar outro ASN, escolha **Provisionar outro ASN**. Você pode provisionar até 5 ASNs. Para aumentar essa cota, consulte o [Cotas para o IPAM](quotas-ipam.md).
1. Escolha **Provisionar**.
1. Veja o processo de provisionamento na guia **BYOASNs**. Aguarde até que o **status** mude de *Provisão pendente* para *Provisionado*. Os BYOASNs em um status de *provisão com falha* são removidos automaticamente após 7 dias. Depois que o ASN for provisionado com sucesso, você poderá associá-lo a um CIDR BYOIP.
1. No painel de navegação à esquerda, escolha **Grupos**.
1. Escolha seu escopo público. Para obter mais informações sobre escopos, consulte [Como funciona o IPAM](how-it-works-ipam.md).
1. Escolha um grupo regional que tenha um CIDR BYOIP provisionado. O grupo deve ter o **serviço** definido como **EC2** e deve ter uma localidade escolhida.
1. Escolha a guia **CIDRs** e selecione um CIDR BYOIP.
1. Escolha **Ações** > **Gerenciar associações BYOASN**.
1. Em **BYOASNs associadas**, escolha o ASN que você trouxe para AWS. Se você tiver vários ASNs, poderá associar vários ASNs ao CIDR BYOIP. Você pode associar o máximo de ASNs que puder trazer para o IPAM. Observe que você pode trazer até 5 ASNs para o IPAM por padrão. Para ter mais informações, consulte [Cotas para o IPAM](quotas-ipam.md).
1. Selecione **Associar **.
1. Aguarde a conclusão da associação com o ASN. Depois que o ASN for associado com sucesso ao CIDR BYOIP, você poderá anunciar o CIDR BYOIP novamente.
1. Escolha a guia **CIDRs** do grupo.
1. Selecione o CIDR de BYOIP e escolha **Actions** (Ações) >**Advertise** (Anunciar). Como resultado, suas opções de ASN são exibidas: o ASN da Amazon e todos os ASNs que você trouxe para o IPAM.
1. Selecione o ASN que você trouxe para o IPAM e escolha **Anunciar CIDR**. Como resultado, o CIDR BYOIP é anunciado e o valor na coluna **Anúncios** muda de Withdrawn Retirado para Anunciado. A coluna **Número do Sistema Autônomo** exibe o ASN associado ao CIDR.
1. (opcional) Se você decidir que deseja alterar a associação de ASN de volta para o Amazon ASN, selecione o CIDR BYOIP e escolha **Ações** > **Anunciar novamente.** Desta vez, escolha o Amazon ASN. Você pode voltar ao ASN da Amazon a qualquer momento, mas só pode mudar para um ASN personalizado uma vez a cada hora.
O tutorial está completo.
**Limpeza**
1. Desassocie o ASN do CIDR BYOIP
+ Para retirar o BYOIP CIDR da publicidade, em seu grupo no escopo público, escolha o BYOIP CIDR e selecione **Ações** > **Retirar anúncio**.
+ Para desassociar o ASN do CIDR, escolha **Ações** > **Gerenciar associações BYOASN**.
1. Desprovisionar o ASN
+ Para desprovisionar o ASN, escolha o ASN e escolha **Desprovisionar ASN** na guia ByOASNS. Como resultado, o ASN é desprovisionado. Os BYOASNs em um status de *desprovisionado* são removidos automaticamente após 7 dias.
A limpeza está completa.
------
#### [ Command line ]
1. Provisione seu ASN incluindo seu ASN e a mensagem de autorização. A assinatura é a mensagem assinada com sua chave privada.
```
aws ec2 provision-ipam-byoasn --ipam-id $ipam_id --asn 12345 --asn-authorization-context Message="$text_message",Signature="$signed_message"
```
1. Descreva seu ASN para monitorar o processo de provisionamento. Se a solicitação for bem-sucedida, você deverá ver o *provisionStatus* definido como *provisionado* após alguns minutos.
```
aws ec2 describe-ipam-byoasn
```
1. Associe seu ASN ao seu CIDR BYOIP. Qualquer ASN personalizado a partir do qual você deseja anunciar deve primeiro ser associado ao seu CIDR.
```
aws ec2 associate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n
```
1. Descreva seu CIDR para acompanhar o processo de associação.
```
aws ec2 describe-byoip-cidrs --max-results 10
```
1. Anuncie seu CIDR com seu ASN. Se o CIDR já estiver anunciado, isso trocará o ASN de origem do da Amazon para o seu.
```
aws ec2 advertise-byoip-cidr --asn 12345 --cidr xxx.xxx.xxx.xxx/n
```
1. Descreva seu CIDR para ver a alteração do estado do ASN de *associado* para *anunciado.*
```
aws ec2 describe-byoip-cidrs --max-results 10
```
O tutorial está completo.
**Limpeza**
1. Execute um destes procedimentos:
+ Para retirar apenas o anúncio de ASN e voltar a usar os ASNs da Amazon, mantendo o CIDR anunciado, você deve chamar advertise-byoip-cidr com o valor AWS especial para o parâmetro asn. Você pode voltar ao ASN da Amazon a qualquer momento, mas só pode mudar para um ASN personalizado uma vez a cada hora.
```
aws ec2 advertise-byoip-cidr --asn AWS --cidr xxx.xxx.xxx.xxx/n
```
+ Para retirar seu anúncio CIDR e ASN simultaneamente, você pode chamar draw-byoip-cidr.
```
aws ec2 withdraw-byoip-cidr --cidr xxx.xxx.xxx.xxx/n
```
1. Para limpar seu ASN, você deve primeiro desassociá-lo do seu CIDR BYOIP.
```
aws ec2 disassociate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n
```
1. Depois que seu ASN for desassociado de todos os CIDRs BYOIP aos quais você o associou, você poderá desprovisioná-lo.
```
aws ec2 deprovision-ipam-byoasn --ipam-id $ipam_id --asn 12345
```
1. O CIDR BYOIP também pode ser desprovisionado quando todas as associações de ASN forem removidas.
```
aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-1234567890abcdef0 --cidr xxx.xxx.xxx.xxx/n
```
1. Confirme o desprovisionamento.
```
aws ec2 get-ipam-pool-cidrs --ipam-pool-id ipam-pool-1234567890abcdef0
```
A limpeza está completa.
------