Verificar seu domínio com um certificado X.509 Verifique seu domínio com um registro TXT do DNS

Verificar o controle do domínio

Antes de trazer um intervalo de endereços IP para a AWS, você tem que usar uma das opções descritas nesta seção para verificar que controla o espaço de endereço IP. Mais tarde, quando você trouxer o intervalo de endereços IP para a AWS, a AWS validará que você controla o intervalo de endereços IP. Essa validação garante que os clientes não possam usar intervalos de IP pertencentes a outras pessoas, evitando problemas de roteamento e de segurança.

Existem dois métodos que você pode usar para verificar que controla o intervalo:

Certificado X.509: se seu intervalo de endereços IP estiver registrado em um Registro compatível com RDAP (como ARIN, RIPE e APNIC), você poderá usar um certificado X.509 para verificar que é o proprietário do domínio.
Registro TXT do DNS: independentemente de seu Registro da Internet ser ou não compatível com RDAP, você pode usar um token de verificação e um registro TXT do DNS para verificar que é o proprietário do domínio.

Conteúdo

Verificar seu domínio com um certificado X.509
Verifique seu domínio com um registro TXT do DNS

Verificar seu domínio com um certificado X.509

Esta seção descreve como verificar seu domínio com um certificado X.509 antes de trazer seu intervalo de endereços IP para o IPAM.

Para verificar seu domínio com um certificado X.509

Conclua as três etapas em Onboarding prerequisites for your BYOIP address range no Amazon EC2 User Guide.

nota
Ao criar as ROAs, para CIDRs IPv4, você deve definir o comprimento máximo de um prefixo de endereço IP como /24. Para CIDRs IPv6, se você estiver adicionando-os a um grupo anunciável, o tamanho máximo de um prefixo de endereço IP deve ser /48. Isso garante que você tenha total flexibilidade para dividir seu endereço IP público nas regiões da AWS. O IPAM impõe o comprimento máximo que você definiu. O comprimento máximo é o menor anúncio de comprimento de prefixo que você permitirá para essa rota. Por exemplo, se você trouxer um bloco CIDR /20 para a AWS, definindo o comprimento máximo como /24, você pode dividir o bloco maior da maneira que quiser (como com /21, /22 ou /24) e distribuir esses blocos CIDR menores para qualquer região. Se você definisse o comprimento máximo como /23, não seria capaz de dividir e anunciar um /24 a partir do bloco maior. Além disso, observe que /24 é o menor bloco IPv4 e /48 é o menor bloco IPv6 que você pode anunciar de uma região para a Internet.
Conclua apenas as etapas 1 e 2 em Provision a publicly advertisable address range in AWS no Amazon EC2 User Guide, não provisione o intervalo de endereços (etapa 3) ainda. Salve a text_message e a signed_message. Você precisará delas posteriormente neste processo.

Depois de concluir essas etapas, continue com Trazer seu próprio IP para o IPAM usando o AWS Management Console e a AWS CLI ou Trazer seu próprio CIDR IP para o IPAM usando apenas a AWS CLI.

Verifique seu domínio com um registro TXT do DNS

Conclua as etapas desta seção para verificar seu domínio com um registro TXT do DNS antes de trazer seu intervalo de endereços IP para o IPAM.

Você pode usar registros TXT do DNS para validar que controla um intervalo de endereços IP públicos. Um registro TXT do DNS é um tipo de registro do DNS que fornece informações adicionais sobre seu domínio. Esse atributo permite que você traga endereços IP registrados em qualquer Registro da Internet (como JPNIC, LACNIC e AFRINIC), não apenas os compatíveis com validações baseadas em registro RDAP (Registration Data Access Protocol) (como ARIN, RIPE e APNIC).

Importante

Antes de continuar, você já deve ter criado um IPAM no nível gratuito ou avançado. Se você não tiver um IPAM, conclua Criar um IPAM primeiro.

Conteúdo

Etapa 1: criar uma ROA, se não tiver uma
Etapa 2. Criar um token de verificação
Etapa 3. Configurar a zona do DNS e o registro TXT

Etapa 1: criar uma ROA, se não tiver uma

Você deve ter uma ROA (Route Origin Authorization) em seu RIR (Regional Internet Registry) para os intervalos de endereços IP que deseja anunciar. Se você não tiver uma ROA em seu RIR, conclua 3. Create a ROA object in your RIR no Amazon EC2 User Guide. Ignore as outras etapas.

O intervalo de endereços IPv4 mais específico que é possível trazer é /24. O intervalo de endereços IPv6 /48 é o intervalo mais específico que você trazer para CIDRs anunciáveis publicamente e /60 para CIDRs que não são anunciáveis publicamente.

Etapa 2. Criar um token de verificação

Um token de verificação é um valor aleatório gerado pela AWS que você pode usar para provar que tem o controle de um recurso externo. Por exemplo, você pode usar um token de verificação para validar que controla um intervalo de endereços IP públicos quando traz um intervalo de endereços IP para a AWS (BYOIP).

Conclua as etapas desta seção para criar um token de verificação do qual precisará em uma etapa posterior deste tutorial para trazer seu intervalo de endereços IP para o IPAM. Use as instruções abaixo para o console da AWS ou para a AWS CLI.

AWS Management Console

Para criar um token de verificação

Abra o console do IPAM em https://console.aws.amazon.com/ipam/.
No AWS Management Console, escolha a região da AWS em que você deseja criar o IPAM.
No painel de navegação, selecione IPAMs.
Escolha seu IPAM e depois escolha a guia Tokens de verificação.
Selecione Criar token de verificação.
Depois de criar o token, deixe essa guia do navegador aberta. Você precisará do valor do token e do nome do token na próxima etapa e do ID do token em uma etapa posterior.

Observe o seguinte:

Depois de criar um token de verificação, você pode reutilizá-lo para vários CIDRs de BYOIP que você provisiona no IPAM dentro de 72 horas. Se você quiser provisionar mais CIDRs após as 72 horas, precisará de um novo token.
Você pode criar até 100 tokens. Se você atingir o limite, exclua os tokens expirados.

Command line

Solicite que o IPAM crie um token de verificação que você usará para a configuração do DNS com create-ipam-external-resource-verification-token:


aws ec2 create-ipam-external-resource-verification-token --ipam-id ipam-id

Isso retornará um IpamExternalResourceVerificationTokenId e um token com TokenName e TokenValue, e a hora de expiração (NotAfter) do token.


{ 
    "IpamExternalResourceVerificationToken": { 
        "IpamExternalResourceVerificationTokenId": "ipam-ext-res-ver-token-0309ce7f67a768cf0", 
        "IpamId": "ipam-0f9e8725ac3ae5754", 
        "TokenValue": "a34597c3-5317-4238-9ce7-50da5b6e6dc8", 
        "TokenName": "86950620", 
        "NotAfter": "2024-05-19T14:28:15.927000+00:00", 
        "Status": "valid", 
        "Tags": [], 
        "State": "create-in-progress" }
}

Observe o seguinte:

Depois de criar um token de verificação, você pode reutilizá-lo para vários CIDRs de BYOIP que você provisiona no IPAM dentro de 72 horas. Se você quiser provisionar mais CIDRs após as 72 horas, precisará de um novo token.
Você pode visualizar os tokens usando describe-ipam-external-resource-verification-tokens.
Você pode criar até 100 tokens. Se você atingir o limite, poderá excluir tokens expirados usando delete-ipam-external-resource-verification-token.

Etapa 3. Configurar a zona do DNS e o registro TXT

Conclua as etapas desta seção para configurar a zona do DNS e o registro TXT. Se você não estiver usando o Route53 como DNS, siga a documentação fornecida pelo seu provedor de DNS para configurar uma zona do DNS e adicionar um registro TXT.

Se você estiver usando o Route53, observe o seguinte:

Para criar uma zona de pesquisa reversa no console da AWS, consulte Creating a public hosted zone no Amazon Route 53 Developer Guide ou use o comando da AWS CLI create-hosted-zone.
Para criar um registro na zona de pesquisa reversa no console da AWS, consulte Creating records by using the Amazon Route 53 console no Amazon Route 53 Developer Guide ou use o comando da AWS CLI change-resource-record-sets.
Quando terminar de criar sua zona hospedada, delegue a zona hospedada do RIR aos servidores de nomes fornecidos pelo Route53 (como o LACNIC ou o APNIC).

Se você estiver usando outro provedor de DNS ou o Route53, ao configurar o registro TXT, observe o seguinte:

O nome do registro deve ser o nome do seu token.
O tipo de registro deve ser TXT.
O valor de ResourceRecord deve ser o valor do token.

Exemplo:

Nome: 86950620.113.0.203.in-addr.arpa
Digite: TXT
Valor de ResourceRecords: a34597c3-5317-4238-9ce7-50da5b6e6dc8

Em que:

86950620 é o nome do token de verificação.
113.0.203.in-addr.arpa é o nome da zona de pesquisa reversa.
TXT é o tipo de registro.
a34597c3-5317-4238-9ce7-50da5b6e6dc8 é o valor do token de verificação.

nota

Dependendo do tamanho do prefixo a ser levado para o IPAM com BYOIP, um ou mais registros de autenticação devem ser criados no DNS. Esses registros de autenticação são do tipo TXT e devem ser colocados na zona reversa do próprio prefixo ou do prefixo superior.

Para IPv4, os registros de autenticação precisam se alinhar com os intervalos em um limite de octeto que compõe o prefixo.
- Exemplos
- Para 198.18.123.0/24, que já está alinhado em um limite de octeto, você precisaria criar um único registro de autenticação em:
  - token-name.123.18.198.in-addr.arpa. IN TXT “token-value”
- Para 198.18.12.0/22, que em si não está alinhado ao limite de octeto, você precisaria criar quatro registros de autenticação. Esses registros devem cobrir as sub-redes 198.18.12.0/24, 198.18.13.0/24, 198.18.14.0/24 e 198.18.15.0/24 que estão alinhadas em um limite de octeto. As entradas correspondentes do DNS devem ser:
  - token-name.12.18.198.in-addr.arpa. IN TXT “token-value”
  - token-name.13.18.198.in-addr.arpa. IN TXT “token-value”
  - token-name.14.18.198.in-addr.arpa. IN TXT “token-value”
  - token-name.15.18.198.in-addr.arpa. IN TXT “token-value”
- Para 198.18.0.0/16, que já está alinhado em um limite de octeto, você precisa criar um único registro de autenticação:
  - token-name.18.198.in-addr.arpa. IN TXT “token-value”
Para o IPv6, os registros de autenticação precisam se alinhar com os intervalos em um limite de nibble que compõe o prefixo. Os valores em nibbles válidos são, por exemplo, 32, 36, 40, 44, 48, 52, 56 e 60.
- Exemplos
  - Para 2001:0db8::/40, que já está alinhado em um limite de nibble, você precisa criar um único registro de autenticação:
    
    token-name.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”
  - Para 2001:0db8:80::/42, que em si não está alinhado no limite do nibble, você precisa criar quatro registros de autenticação. Esses registros devem cobrir as sub-redes 2001:db8:80::/44, 2001:db8:90::/44, 2001:db8:a0::/44 e 2001:db8:b0::/44 que estão alinhadas em um limite de nibble. As entradas correspondentes do DNS devem ser:
    
    token-name.8.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”
    
    token-name.9.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”
    
    token-name.a.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
    
    token-name.b.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
  - Para o intervalo não anunciado 2001:db8:0:1000::/54, que em si não está alinhado em um limite de nibble, você precisa criar quatro registros de autenticação. Esses registros devem cobrir as sub-redes 2001:db8:0:1000::/56, 2001:db8:0:1100::/56, 2001:db8:0:1200::/56 e 2001:db8:0:1300::/56 que estão alinhadas em um limite de nibble. As entradas correspondentes do DNS devem ser:
    
    token-name.0.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
    
    token-name.1.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
    
    token-name.2.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
    
    token-name.3.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
- Para validar que existe o número correto de números hexadecimais entre o nome do token e a string "ip6.arpa", multiplique o número por quatro. O resultado deve corresponder ao comprimento do prefixo. Por exemplo, para um prefixo /56, você deve ter 14 dígitos hexadecimais.

Depois de concluir essas etapas, continue com Trazer seu próprio IP para o IPAM usando o AWS Management Console e a AWS CLI ou Trazer seu próprio CIDR IP para o IPAM usando apenas a AWS CLI.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Trazer seus endereços IP para o IPAM

BYOIP com o console e a CLI da AWS