Bring Your Own IP Addresses (BYOIP) in Amazon EC2 - Amazon Elastic Compute Cloud

Bring Your Own IP Addresses (BYOIP) in Amazon EC2

Sie können einen Teil oder Ihren gesamten öffentlichen IPv4- oder IPv6-Adressbereich von Ihrem On-Premises-Netzwerk in Ihr AWS-Konto übertragen. Der Adressbereich gehört weiterhin Ihnen, wird jedoch von AWS standardmäßig im Internet veröffentlicht. Nachdem Sie den Adressbereich in AWS übertragen haben, erscheint er in Ihrem AWS-Konto als Adresspool.

BYOIP ist nicht in allen Regionen und für alle Ressourcen verfügbar. Eine Liste der unterstützten Regionen und Ressourcen finden Sie in den Häufig gestellten Fragen zu Bring Your Own IP.

Anmerkung

In den folgenden Schritten wird beschrieben, wie Sie Ihren eigenen IP-Adressbereich zur Verwendung nur in Amazon EC2 verwenden. Eine schrittweise Anleitung, wie Sie Ihren eigenen IP-Adressbereich zur Verwendung in AWS Global Accelerator übertragen, finden Sie unter Bring your own IP addresses (BYOIP) im Entwicklerhandbuch zu AWS Global Accelerator.

BYOIP-Definitionen

  • Selbstsigniertes X.509-Zertifikat – ein Zertifikatsstandard, der am häufigsten zum Verschlüsseln und Authentifizieren von Daten innerhalb eines Netzwerks verwendet wird. Wird als Zertifikat von AWS dafür verwendet, die Kontrolle über den IP-Adressraum mit einem RDAP-Datensatz zu validieren. Weitere Informationen zu X.509-Zertifikaten finden Sie unter RFC 3280.

  • Registry Data Access Protocol (RDAP) – eine Abfrageressource für Registrierungsdaten. Wird von den Kunden aktualisiert und von AWS verwendet, um die Kontrolle über den Adressraum in den Regional Internet Registries (RIR) zu verifizieren.

  • Route Origin Authorization (ROA) – ein von RIRs erstelltes Objekt, mit dem Kunden IP-Ankündigungen, insbesondere autonomer Systeme, authentifizieren können. Eine Übersicht finden Sie unter Route Origin Authorizations (ROAs) auf der ARIN-Website.

  • Local Internet Registry (LIR) – Organisationen wie Internetdienstanbieter, die ihren Kunden einen Block von IP-Adressen aus einem RIR zuweisen.

Voraussetzungen und Kontingente

  • Der Adressbereich muss bei Ihrer Regional Internet Registry (RIR) registriert sein, z. B. dem American Registry for Internet Numbers (ARIN), dem Réseaux IP Européens Network Coordination Centre (RIPE) oder dem Asia-Pacific Network Information Centre (APNIC). Er muss auf ein Unternehmen oder eine juristische Person registriert sein und kann nicht auf eine natürliche Person registriert werden.

  • Der spezifischste IPv4-Adressbereich, den Sie aufnehmen können, ist /24.

  • Der spezifischste IPv6-Adressbereich, den Sie aufnehmen können, ist /48 für CIDRs, die öffentlich angekündigt werden, und /56 für CIDRs, die nicht öffentlich angekündigt werden.

  • ROAs sind nicht für CIDR-Bereiche erforderlich, die nicht öffentlich angekündigt werden. Die RDAP-Datensätze müssen aber weiterhin aktualisiert werden.

  • Sie können jeden Adressbereich einzeln in eine Region einordnen.

  • Sie können insgesamt fünf BYOIP-IPv4 und IPv6-Adressbereiche pro Region in Ihr AWS-Konto aufnehmen. Sie können die Kontingente für BYOIP-CIDRs nicht mit der Service-Quotas-Konsole anpassen, aber Sie können beim AWS-Support-Center wenden eine Quota-Erhöhung anfordern, wie unter AWS-Service-Quotas in der Allgemeinen Referenz zu AWS beschrieben.

  • Sie können Ihren IP-Adressbereich nicht mit anderen Konten mit AWS RAM teilen, es sei denn, Sie verwenden Amazon VPC IP Address Manager (IPAM) und integrieren IPAM in AWS Organizations. Weitere Informationen finden Sie unter Integrieren von IPAM mit AWS Organizations im Benutzerhandbuch zu Amazon-VPC-IPAM.

  • Die Adressen im IP-Adressbereich müssen über einen sauberen Verlauf verfügen. Wir könnten die Reputation des IP-Adressbereichs untersuchen und uns das Recht vorbehalten, einen IP-Adressbereich abzulehnen, wenn er eine IP-Adresse enthält, die eine schlechte Reputation hat oder mit schädlichem Verhalten in Verbindung gebracht wird.

  • AWS unterstützt keine Legacy-Zuweisungen.

  • Bei LIRs ist es üblich, dass sie die Datensätze mithilfe eines manuellen Prozesses aktualisieren. Die Bereitstellung kann je nach LIR mehrere Tage dauern.

  • Für einen großen CIDR-Block werden ein einzelnes ROA-Objekt und ein RDAP-Datensatz benötigt. Sie können mehrere kleinere CIDR-Blöcke aus diesem Bereich auf AWS bringen, sogar über mehrere Regionen hinweg, indem Sie das einzelne Objekt und den Datensatz verwenden.

  • BYOIP wird nicht für lokale Zonen, Wellenlängen-Zonen oder auf AWS Outposts unterstützt.

Onboarding-Voraussetzungen für Ihren BYOIP-Adressbereich

Der Onboarding-Prozess für BYOIP hat zwei Phasen, für die Sie drei Schritte ausführen müssen. Diese Schritte werden im folgenden Diagramm dargestellt. Wir schließen manuelle Schritte in diese Dokumentation ein, aber Ihr RIR bietet möglicherweise verwaltete Services an, um Sie bei diesen Schritten zu unterstützen.

Vorbereitungsphase

1. Erstellen Sie ein RSA-Schlüsselpaar und verwenden Sie es zum Generieren eines selbstsignierten X.509-Zertifikats.

RIR-Konfigurationsphase

2. Laden Sie das selbstsignierte Zertifikat in Ihre Kommentare zum RDAP-Datensatz hoch.

3. Erstellen Sie ein ROA-Objekt in Ihrem RIR. Die ROA definiert den gewünschten Adressbereich, die zum Veröffentlichen des Adressbereichs zulässigen Autonomous System Numbers (ASNs) und ein Ablaufdatum zum Registrieren bei der Resource Public Key Infrastructure (RPKI) Ihres RIR.

Anmerkung

Für nicht öffentlich beworbene IPv6-Adressräume ist kein ROA erforderlich.

Um mehrere nicht zusammenhängende Adressbereiche einzubeziehen, müssen Sie diesen Vorgang mit jedem Adressbereich wiederholen. Die Vorbereitungs- und RIR-Konfigurationsschritte müssen jedoch nicht wiederholt werden, wenn ein zusammenhängender Block auf mehrere verschiedene Regionen aufgeteilt wird.

Das Aktivieren eines Adressbereichs hat keine Auswirkungen auf Adressbereiche, die Sie zuvor aktiviert haben.

Die folgenden Voraussetzungen müssen vor dem Onboarding des Adressbereichs erfüllt sein. Bei einigen Aufgaben führen Sie Linux-Befehle aus. In Windows können Sie zum Ausführen von Linux-Befehlen das Windows Subsystem for Linux verwenden.

1. Erstellen Sie ein Schlüsselpaar für die AWS-Authentifizierung.

Gehen Sie zum Erstellen eines selbsignierten X.509-Zertifikats folgendermaßen vor und fügen Sie es dann zum RDAP-Datensatz für Ihr RIR hinzu. Dieses Schlüsselpaar dient zur Authentifizierung des Adressbereichs im RIR. Für die openssl-Befehle ist OpenSSL Version 1.0.2 oder höher erforderlich.

Kopieren Sie die folgenden Befehle und ersetzen Sie nur die Platzhalterwerte (in farbigem kursivem Text).

So erstellen Sie ein selbsigniertes X.509-Zertifikat und fügen es zum RDAP-Datensatz hinzu:

Dieses Verfahren folgt der bewährten Methode, Ihren privaten RSA-Schlüssel zu verschlüsseln und zum Zugriff darauf eine Passphrase zu erfordern.

  1. Erzeugen Sie ein RSA 2048-Bit-Schlüsselpaar, wie im Folgenden dargestellt.

    $ openssl genpkey -aes256 -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out private-key.pem

    Der Parameter -aes256 gibt den Algorithmus an, der zum Verschlüsseln des privaten Schlüssels verwendet wird. Der Befehl gibt die folgende Ausgabe zurück, einschließlich Aufforderungen zum Festlegen einer Passphrase:

    ......+++ .+++ Enter PEM pass phrase: xxxxxxx Verifying - Enter PEM pass phrase: xxxxxxx

    Sie können den Schlüssel mit dem folgenden Befehl prüfen:

    $ openssl pkey -in private-key.pem -text

    Dadurch wird eine Eingabeaufforderung für die Passphrase und der Inhalt des Schlüssels zurückgegeben, der etwa wie folgt aussehen sollte:

    Enter pass phrase for private-key.pem: xxxxxxx -----BEGIN PRIVATE KEY----- MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQDFBXHRI4HVKAhh 3seiciooizCRTbJe1+YsxNTja4XyKypVGIFWDGhZs44FCHlPOOSVJ+NqP74w96oM 7DPS3xo9kaQyZBFn2YEp2EBq5vf307KHNRmZZUmkn0zHOSEpNmY2fMxISBxewlxR FAniwmSd/8TDvHJMY9FvAIvWuTsv5l0tJKk+a91K4+tO3UdDR7Sno5WXExfsBrW3 g1ydo3TBsx8i5/YiVOcNApy7ge2/FiwY3aCXJB6r6nuF6H8mRgI4r4vkMRsOlAhJ DnZPNeweboo+K3Q3lwbgbmOKD/z9svk8N/+hUTBtIX0fRtbG+PLIw3xWRHGrMSn2 BzsPVuDLAgMBAAECggEACiJUj2hfJkKv47Dc3es3Zex67A5uDVjXmxfox2Xhdupn fAcNqAptV6fXt0SPUNbhUxbBKNbshoJGufFwXPli1SXnpzvkdU4Hyco4zgbhXFsE RNYjYfOGzTPwdBLpNMB6k3Tp4RHse6dNrlH0jDhpioL8cQEBdBJyVF5X0wymEbmV mC0jgH/MxsBAPWW6ZKicg9ULMlWiAZ3MRAZPjHHgpYkAAsUWKAbCBwVQcVjGO59W jfZjzTX5pQtVVH68ruciH88DTZCwjCkjBhxg+OIkJBLE5wkh82jIHSivZ63flwLw z+E0+HhELSZJrn2MY6Jxmik3qNNUOF/Z+3msdj2luQKBgQDjwlC/3jxp8zJy6P8o JQKv7TdvMwUj4VSWOHZBHLv4evJaaia0uQjIo1UDa8AYitqhX1NmCCehGH8yuXj/ v6V3CzMKDkmRr1NrONnSz5QsndQ04Z6ihAQlPmJ96g4wKtgoC7AYpyP0g1a+4/sj b1+o3YQI4pD/F71c+qaztH7PRwKBgQDdc23yNmT3+Jyptf0fKjEvONK+xwUKzi9c L/OzBq5yOIC1Pz2T85gOe1i8kwZws+xlpG6uBT6lmIJELd0k59FyupNu4dPvX5SD 6GGqdx4jk9KvI74usGeOBohmF0phTHkrWKBxXiyT0oS8zjnJlEn8ysIpGgO28jjr LpaHNZ/MXQKBgQDfLNcnS0LzpsS2aK0tzyZU8SMyqVHOGMxj7quhneBq2T6FbiLD T9TVlYaGNZ0j71vQaLI19qOubWymbautH0Op5KV8owdf4+bf1/NJaPIOzhDUSIjD Qo01WW31Z9XDSRhKFTnWzmCjBdeIcajyzf10YKsycaAW9lItu8aBrMndnQKBgQDb nNp/JyRwqjOrNljk7DHEs+SD39kHQzzCfqd+dnTPv2sc06+cpym3yulQcbokULpy fmRo3bin/pvJQ3aZX/Bdh9woTXqhXDdrrSwWInVYMQPyPk8f/D9mIOJp5FUWMwHD U+whIZSxsEeE+jtixlWtheKRYkQmzQZXbWdIhYyI3QKBgD+F/6wcZ85QW8nAUykA 3WrSIx/3cwDGdm4NRGct8ZOZjTHjiy9ojMOD1L7iMhRQ/3k3hUsin5LDMp/ryWGG x4uIaLat40kiC7T4I66DM7P59euqdz3w0PD+VU+h7GSivvsFDdySUt7bNK0AUVLh dMJfWxDN8QV0b5p3WuWH1U8B -----END PRIVATE KEY----- Private-Key: (2048 bit) modulus: 00:c5:05:71:d1:23:81:d5:28:08:61:de:c7:a2:72: 2a:28:8b:30:91:4d:b2:5e:d7:e6:2c:c4:d4:e3:6b: 85:f2:2b:2a:55:18:81:56:0c:68:59:b3:8e:05:08: 79:4f:38:e4:95:27:e3:6a:3f:be:30:f7:aa:0c:ec: 33:d2:df:1a:3d:91:a4:32:64:11:67:d9:81:29:d8: 40:6a:e6:f7:f7:d3:b2:87:35:19:99:65:49:a4:9f: 4c:c7:39:21:29:36:66:36:7c:cc:48:48:1c:5e:c2: 5c:51:14:09:e2:c2:64:9d:ff:c4:c3:bc:72:4c:63: d1:6f:00:8b:d6:b9:3b:2f:e6:5d:2d:24:a9:3e:6b: dd:4a:e3:eb:4e:dd:47:43:47:b4:a7:a3:95:97:13: 17:ec:06:b5:b7:83:5c:9d:a3:74:c1:b3:1f:22:e7: f6:22:54:e7:0d:02:9c:bb:81:ed:bf:16:2c:18:dd: a0:97:24:1e:ab:ea:7b:85:e8:7f:26:46:02:38:af: 8b:e4:31:1b:0e:94:08:49:0e:76:4f:35:ec:1e:6e: 8a:3e:2b:74:37:97:06:e0:6e:63:8a:0f:fc:fd:b2: f9:3c:37:ff:a1:51:30:6d:21:7d:1f:46:d6:c6:f8: f2:c8:c3:7c:56:44:71:ab:31:29:f6:07:3b:0f:56: e0:cb publicExponent: 65537 (0x10001) privateExponent: 0a:22:54:8f:68:5f:26:42:af:e3:b0:dc:dd:eb:37: 65:ec:7a:ec:0e:6e:0d:58:d7:9b:17:e8:c7:65:e1: 76:ea:67:7c:07:0d:a8:0a:6d:57:a7:d7:b7:44:8f: 50:d6:e1:53:16:c1:28:d6:ec:86:82:46:b9:f1:70: 5c:f9:62:d5:25:e7:a7:3b:e4:75:4e:07:c9:ca:38: ce:06:e1:5c:5b:04:44:d6:23:61:f3:86:cd:33:f0: 74:12:e9:34:c0:7a:93:74:e9:e1:11:ec:7b:a7:4d: ae:51:f4:8c:38:69:8a:82:fc:71:01:01:74:12:72: 54:5e:57:d3:0c:a6:11:b9:95:98:2d:23:80:7f:cc: c6:c0:40:3d:65:ba:64:a8:9c:83:d5:0b:32:55:a2: 01:9d:cc:44:06:4f:8c:71:e0:a5:89:00:02:c5:16: 28:06:c2:07:05:50:71:58:c6:3b:9f:56:8d:f6:63: cd:35:f9:a5:0b:55:54:7e:bc:ae:e7:22:1f:cf:03: 4d:90:b0:8c:29:23:06:1c:60:f8:e2:24:24:12:c4: e7:09:21:f3:68:c8:1d:28:af:67:ad:df:97:02:f0: cf:e1:34:f8:78:44:2d:26:49:ae:7d:8c:63:a2:71: 9a:29:37:a8:d3:54:38:5f:d9:fb:79:ac:76:3d:a5: b9 prime1: 00:e3:c2:50:bf:de:3c:69:f3:32:72:e8:ff:28:25: 02:af:ed:37:6f:33:05:23:e1:54:96:38:76:41:1c: bb:f8:7a:f2:5a:6a:26:b4:b9:08:c8:a3:55:03:6b: c0:18:8a:da:a1:5f:53:66:08:27:a1:18:7f:32:b9: 78:ff:bf:a5:77:0b:33:0a:0e:49:91:af:53:6b:38: d9:d2:cf:94:2c:9d:d4:34:e1:9e:a2:84:04:25:3e: 62:7d:ea:0e:30:2a:d8:28:0b:b0:18:a7:23:f4:83: 56:be:e3:fb:23:6f:5f:a8:dd:84:08:e2:90:ff:17: bd:5c:fa:a6:b3:b4:7e:cf:47 prime2: 00:dd:73:6d:f2:36:64:f7:f8:9c:a9:b5:fd:1f:2a: 31:2f:38:d2:be:c7:05:0a:ce:2f:5c:2f:f3:b3:06: ae:72:38:80:b5:3f:3d:93:f3:98:0e:7b:58:bc:93: 06:70:b3:ec:65:a4:6e:ae:05:3e:a5:98:82:44:2d: dd:24:e7:d1:72:ba:93:6e:e1:d3:ef:5f:94:83:e8: 61:aa:77:1e:23:93:d2:af:23:be:2e:b0:67:8e:06: 88:66:17:4a:61:4c:79:2b:58:a0:71:5e:2c:93:d2: 84:bc:ce:39:c9:94:49:fc:ca:c2:29:1a:03:b6:f2: 38:eb:2e:96:87:35:9f:cc:5d exponent1: 00:df:2c:d7:27:4b:42:f3:a6:c4:b6:68:ad:2d:cf: 26:54:f1:23:32:a9:51:ce:18:cc:63:ee:ab:a1:9d: e0:6a:d9:3e:85:6e:22:c3:4f:d4:d5:95:86:86:35: 9d:23:ef:5b:d0:68:b2:35:f6:a3:ae:6d:6c:a6:6d: ab:ad:1f:43:a9:e4:a5:7c:a3:07:5f:e3:e6:df:d7: f3:49:68:f2:0e:ce:10:d4:48:88:c3:42:8d:35:59: 6d:f5:67:d5:c3:49:18:4a:15:39:d6:ce:60:a3:05: d7:88:71:a8:f2:cd:fd:74:60:ab:32:71:a0:16:f6: 52:2d:bb:c6:81:ac:c9:dd:9d exponent2: 00:db:9c:da:7f:27:24:70:aa:33:ab:36:58:e4:ec: 31:c4:b3:e4:83:df:d9:07:43:3c:c2:7e:a7:7e:76: 74:cf:bf:6b:1c:d3:af:9c:a7:29:b7:ca:e9:50:71: ba:24:50:ba:72:7e:64:68:dd:b8:a7:fe:9b:c9:43: 76:99:5f:f0:5d:87:dc:28:4d:7a:a1:5c:37:6b:ad: 2c:16:22:75:58:31:03:f2:3e:4f:1f:fc:3f:66:20: e2:69:e4:55:16:33:01:c3:53:ec:21:21:94:b1:b0: 47:84:fa:3b:62:c6:55:ad:85:e2:91:62:44:26:cd: 06:57:6d:67:48:85:8c:88:dd coefficient: 3f:85:ff:ac:1c:67:ce:50:5b:c9:c0:53:29:00:dd: 6a:d2:23:1f:f7:73:00:c6:76:6e:0d:44:67:2d:f1: 93:99:8d:31:e3:8b:2f:68:8c:c3:83:d4:be:e2:32: 14:50:ff:79:37:85:4b:22:9f:92:c3:32:9f:eb:c9: 61:86:c7:8b:88:68:b6:ad:e3:49:22:0b:b4:f8:23: ae:83:33:b3:f9:f5:eb:aa:77:3d:f0:d0:f0:fe:55: 4f:a1:ec:64:a2:be:fb:05:0d:dc:92:52:de:db:34: ad:00:51:52:e1:74:c2:5f:5b:10:cd:f1:05:74:6f: 9a:77:5a:e5:87:d5:4f:01

    Bewahren Sie Ihren privaten Schlüssel an einem sicheren Ort auf, wenn er nicht verwendet wird.

  2. Generieren Sie folgendermaßen Ihren öffentlichen Schlüssel aus dem privaten Schlüssel. Sie verwenden dies später, um zu testen, ob Ihre signierte Autorisierungsnachricht korrekt validiert wird.

    $ openssl rsa -in private-key.pem -pubout > public-key.pem

    Bei der Prüfung sollte Ihr öffentlicher Schlüssel folgendermaßen aussehen:

    $ cat public-key.pem -----BEGIN PUBLIC KEY----- MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAxQVx0SOB1SgIYd7HonIq KIswkU2yXtfmLMTU42uF8isqVRiBVgxoWbOOBQh5TzjklSfjaj++MPeqDOwz0t8a PZGkMmQRZ9mBKdhAaub399OyhzUZmWVJpJ9MxzkhKTZmNnzMSEgcXsJcURQJ4sJk nf/Ew7xyTGPRbwCL1rk7L+ZdLSSpPmvdSuPrTt1HQ0e0p6OVlxMX7Aa1t4NcnaN0 wbMfIuf2IlTnDQKcu4HtvxYsGN2glyQeq+p7heh/JkYCOK+L5DEbDpQISQ52TzXs Hm6KPit0N5cG4G5jig/8/bL5PDf/oVEwbSF9H0bWxvjyyMN8VkRxqzEp9gc7D1bg ywIDAQAB -----END PUBLIC KEY-----
  3. Erstellen Sie ein X.509-Zertifikat mit dem Schlüsselpaar, das im vorherigen Schritt erstellt wurde. In diesem Beispiel läuft das Zertifikat nach 365 Tagen ab und ist dann nicht mehr vertrauenswürdig. Stellen Sie sicher, das Sie das Ablaufdatum korrekt festlegen. Der tr -d "\n"-Befehl entfernt Zeilenvorschubzeichen (Zeilenumbrüche) aus der Ausgabe. Sie müssen einen Common Name angeben, wenn Sie dazu aufgefordert werden, aber die übrigen Felder können leer gelassen werden.

    $ openssl req -new -x509 -key private-key.pem -days 365 | tr -d "\n" > certificate.pem

    Daraus resultiert eine Ausgabe ähnlich der folgenden:

    Enter pass phrase for private-key.pem: xxxxxxx You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) []: State or Province Name (full name) []: Locality Name (eg, city) []: Organization Name (eg, company) []: Organizational Unit Name (eg, section) []: Common Name (eg, fully qualified host name) []:example.com Email Address []:
    Anmerkung

    Der allgemeine Name wird nicht für die AWS-Bereitstellung benötigt. Der Domänenname kann intern oder öffentlich sein.

    Sie können das Zertifikat mit dem folgenden Befehl prüfen:

    $ cat certificate.pem

    Die Ausgabe sollte eine lange, PEM-codierte Zeichenfolge ohne Zeilenumbrüche sein, eingeleitet durch -----BEGIN CERTIFICATE----- und gefolgt von -----END CERTIFICATE-----.

2. Hochladen des RDAP-Datensatzes in Ihr RIR

Fügen Sie das zuvor erstellte Zertifikat zum RDAP-Datensatz für Ihr RIR hinzu. Achten Sie darauf, dass die -----BEGIN CERTIFICATE------ und -----END CERTIFICATE------Zeichenfolgen vor und nach dem kodierten Teil enthalten sind. Der gesamte Inhalt muss sich in einer einzigen, langen Zeile befinden. Das Verfahren zum Aktualisieren des RDAP hängt von Ihrem RIR ab:

  • Fügen Sie für ARIN das Zertifikat im Bereich „Öffentliche Kommentare“ für Ihren Adressbereich hinzu. Fügen Sie es nicht dem Kommentarbereich Ihrer Organisation hinzu.

  • Fügen Sie für RIPE das Zertifikat als neues „descr“-Feld für Ihren Adressbereich hinzu. Fügen Sie es nicht dem Kommentarbereich Ihrer Organisation hinzu.

  • Senden Sie für APNIC das Zertifikat per E-Mail an helpdesk@apnic.net, um es manuell in das Feld „remarks“ (Anmerkungen) für Ihren Adressbereich aufzunehmen. Senden Sie die E-Mail für die IP-Adressen über den von APNIC autorisierten Kontakt.

3. Erstellen eines ROA-Objekts in Ihrem RIR

Erstellen Sie ein ROA-Objekt, um die Amazon-ASNs 16509 und 14618 zu autorisieren, Ihren Adressbereich zu bewerben, sowie die ASNs, die derzeit autorisiert sind, den Adressbereich zu veröffentlichen. Für die AWS GovCloud (US) Region autorisieren Sie ASN 8987. Sie müssen die maximale Länge auf die Größe des CIDR festlegen, das Sie einbinden möchten. Das spezifischste IPv4-Präfix, das Sie aufnehmen können, ist /24. Der spezifischste IPv6-Adressbereich, den Sie aufnehmen können, ist /48 für CIDRs, die öffentlich angekündigt werden, und /56 für CIDRs, die nicht öffentlich angekündigt werden.

Wichtig

Wenn Sie ein ROA-Objekt für Amazon VPC IP Address Manager (IPAM) erstellen, müssen Sie bei der Erstellung der ROAs für IPv4-CIDRs die maximale Länge eines IP-Adresspräfixes auf /24 festlegen. Wenn Sie IPv6-CIDRs zu einem werbefähigen Pool hinzufügen, darf die maximale Länge eines IP-Adresspräfixes /48 sein. Dies stellt sicher, dass Sie die volle Flexibilität haben, Ihre öffentliche IP-Adresse auf verschiedene AWS-Regionen aufzuteilen. IPAM erzwingt die von Ihnen festgelegte maximale Länge. Weitere Informationen zu BYOIP-Adressen für IPAM finden Sie im Tutorial: BYOIP-Adress-CIDRs für IPAM im Amazon-VPC-IPAM-Benutzerhandbuch.

Es kann bis zu 24 Stunden dauern, bis das ROA für Amazon verfügbar ist. Weitere Informationen erhalten Sie von Ihrem RIR:

Wenn Sie Anzeigen von einem On-Premises-Workload zu AWS migrieren, müssen Sie einen ROA für Ihren vorhandenen ASN erstellen, bevor Sie die ROAs für Amazon-ASNs erstellen. Andernfalls könnte der Vorgang Auswirkungen auf Ihr vorhandenes Routing und Ihre Anzeigen haben.

Anmerkung

Dieser Schritt ist nicht erforderlich, wenn der IPv6-Adressraum nicht veröffentlicht wird.

Onboarding Ihres BYOIP

Der Onboarding-Prozess für BYOIP hat abhängig von Ihren Bedürfnissen die folgenden Aufgaben:

Bereitstellen eines öffentlich angekündigten Adressbereichs in AWS

Wenn Sie einen Adressbereich für die Verwendung mit AWS bereitstellen, bestätigen Sie, dass Sie den Adressbereich kontrollieren und Amazon autorisieren, ihn zu veröffentlichen. Wir bestätigen ebenso mit einer signierten Autorisierungsnachricht, dass Sie den Adressbereich kontrollieren. Diese Nachricht ist mit dem selbstsignierten X.509-Schlüsselpaar signiert, das Sie bei der Aktualisierung des RDAP-Datensatzes mit dem X.509-Zertifikat verwendet haben. AWS erfordert eine kryptografisch signierte Autorisierungsnachricht, die dem RIR übermittelt wird. Das RIR authentifiziert die Signatur mit dem Zertifikat, das Sie zum RDAP hinzugefügt haben, und vergleicht die Autorisierungsdetails mit dem ROA.

Aufheben der Bereitstellung des Adressbereichs

  1. Verfassen einer Nachricht

    Verfassen Sie die Nur-Text-Autorisierungsnachricht. Das Format der Nachricht ist wie folgt, wobei das Datum das Ablaufdatum der Nachricht ist:

    1|aws|account|cidr|YYYYMMDD|SHA256|RSAPSS

    Ersetzen Sie die Kontonummer, den Adressbereich und das Ablaufdatum mit Ihren eigenen Werten, um eine Nachricht zu erstellen, die der folgenden ähnelt:

    text_message="1|aws|0123456789AB|198.51.100.0/24|20211231|SHA256|RSAPSS"

    Dies ist nicht mit einer ROA-Nachricht zu verwechseln, die ähnlich aussieht.

  2. Nachrichten signieren

    Signieren Sie die Nur-Text-Nachricht mit dem privaten Schlüssel, den Sie zuvor erstellt haben. Die vom Befehl zurückgegebene Signatur ist eine lange Zeichenfolge, die Sie für den nächsten Schritt nutzen müssen.

    Wichtig

    Es wird empfohlen, diesen Befehl zu kopieren und einzufügen. Ändern oder ersetzen Sie mit Ausnahme des Nachrichteninhalts keine Werte.

    signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")
  3. Adresse zur Verfügung stellen

    Verwenden Sie den AWS CLI-Befehl provision-byoip-cidr, um den Adressbereich bereitzustellen. Die Option --cidr-authorization-context verwendet die Nachrichten- und Signaturzeichenfolgen, die Sie zuvor erstellt haben.

    Wichtig

    Sie müssen die AWS-Region angeben, in welcher der BYOIP-Bereich bereitgestellt werden soll, wenn er sich von Ihrer AWS CLI-Konfiguration Default region name unterscheidet.

    aws ec2 provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message" --region us-east-1

    Die Bereitstellung eines Adressbereichs ist eine asynchrone Operation. Daher gibt der Aufruf sofort Daten zurück, der Adressbereich ist jedoch erst zur Verwendung bereit, wenn der Status von pending-provision zu provisioned wechselt.

  4. Überwachen des Fortschritts

    Es kann bis zu eine Woche dauern, bis der Bereitstellungsprozess für Bereiche mit öffentlichem Advertising abgeschlossen ist. Verwenden Sie den Befehl describe-byoip-cidrs, um den Fortschritt zu überwachen, wie in diesem Beispiel gezeigt:

    aws ec2 describe-byoip-cidrs --max-results 5 --region us-east-1

    Wenn während der Bereitstellung Probleme auftreten und der Status in failed-provision wechselt, müssen Sie den provision-byoip-cidr-Befehl erneut ausführen, nachdem die Probleme behoben wurden.

Bereitstellen eines IPv6-Adressbereichs, der nicht öffentlich angekündigt wird

Standardmäßig wird ein Adressbereich bereitgestellt, der öffentlich im Internet angekündigt wird. Sie können einen IPv6-Adressbereich bereitstellen, der nicht öffentlich angekündigt wird. Bei Routen ohne öffentliches Advertising ist der Bereitstellungsprozess in der Regel innerhalb von Minuten abgeschlossen. Wenn Sie einen IPv6-CIDR-Block aus einem nicht öffentlichen Adressbereich einer VPC zuordnen, kann auf das IPv6-CIDR nur über hybride Konnektivitätsoptionen zugegriffen werden, die IPv6 unterstützen, z. B. AWS Direct Connect, AWS Site-to-Site VPN oder Amazon VPC Transit Gateways.

Eine ROA ist nicht erforderlich, um einen nicht-öffentlichen Adressbereich bereitzustellen.

Wichtig

Sie können nur angeben, ob ein Adressbereich während der Bereitstellung öffentlich angekündigt wird. Sie können den Anzeigenstatus nachträglich nicht mehr ändern.

Um einen IPv6-Adressbereich bereitzustellen, der nicht öffentlich angekündigt wird, verwenden Sie den folgenden provision-byoip-cidr-Befehl.

aws ec2 provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message" --no-publicly-advertisable --region us-east-1

Veröffentlichen des Adressbereichs über AWS

Nachdem der Adressbereich bereitgestellt wurde, kann er veröffentlicht werden. Sie müssen den genauen Adressbereich ankündigen, den Sie bereitgestellt haben. Sie können nur einen Teil des bereitgestellten Adressbereichs ankündigen.

Wenn Sie einen IPv6-Adressbereich bereitgestellt haben, der nicht öffentlich angekündigt wird, müssen Sie diesen Schritt nicht ausführen.

Wir empfehlen, den Adressbereich zunächst nicht mehr anderweitig zu veröffentlichen, bevor Sie ihn über veröffentliche AWS. Wenn Sie den IP-Adressbereich weiterhin von anderen Orten aus veröffentlichen, können wir ihn nicht zuverlässig unterstützen oder Probleme beheben. Insbesondere können wir nicht garantieren, dass Datenzugriffe auf den Adressbereich unser Netzwerk erreichen.

Zur Minimierung der Ausfallzeit können Sie Ihre AWS-Ressourcen so konfigurieren, dass sie eine Adresse aus dem Adresspool verwenden, bevor dieser veröffentlicht wird, und dann gleichzeitig die Veröffentlichung über den aktuellen Ort stoppen und die Veröffentlichung über AWS starten. Weitere Informationen zur Zuweisung einer Elastic IP-Adresse aus Ihrem Adresspool finden Sie unter Zuweisen einer Elastic IP-Adresse.

Einschränkungen

  • Sie können den Befehl advertise-byoip-cidr höchstens alle 10 Sekunden ausführen, auch wenn Sie jedes Mal einen anderen Adressbereich angeben.

  • Sie können den Befehl withdraw-byoip-cidr höchstens alle 10 Sekunden ausführen, auch wenn Sie jedes Mal einen anderen Adressbereich angeben.

Um den Adressbereich zu veröffentlichen, verwenden Sie den folgenden advertise-byoip-cidr-Befehl.

aws ec2 advertise-byoip-cidr --cidr address-range --region us-east-1

Um die Veröffentlichung für den Adressbereich einzustellen, verwenden Sie den folgenden witw-byoip-cidr-Befehl.

aws ec2 withdraw-byoip-cidr --cidr address-range --region us-east-1

Aufheben der Bereitstellung des Adressbereichs

Wenn Sie den Adressbereich nicht mehr mit AWS verwenden möchten, geben Sie zunächst alle Elastic IP-Adressen frei und trennen Sie alle IPv6-CIDR-Blöcke, die noch aus dem Adresspool zugewiesen sind. Beenden Sie dann die Veröffentlichung des Adressbereichs und heben Sie schließlich die Bereitstellung des Adressbereichs auf.

Sie können die Bereitstellung eines Teils des Adressbereichs nicht aufheben. Wenn Sie einen spezifischeren Adressbereich mit AWS verwenden möchten, heben Sie die Bereitstellung des gesamten Adressbereichs auf und stellen Sie einen spezifischeren Adressbereich bereit.

(IPv4) Um jede Elastic IP-Adresse freizugeben, verwenden Sie den folgenden release-address-Befehl.

aws ec2 release-address --allocation-id eipalloc-12345678abcabcabc --region us-east-1

(IPv6) Um die Zuordnung eines IPv6-CIDR-Blocks zu trennen, verwenden Sie den folgenden disassociate-vpc-cidr-block-Befehl.

aws ec2 disassociate-vpc-cidr-block --association-id vpc-cidr-assoc-12345abcd1234abc1 --region us-east-1

Um die Veröffentlichung für den Adressbereich einzustellen, verwenden Sie den folgenden witw-byoip-cidr-Befehl.

aws ec2 withdraw-byoip-cidr --cidr address-range --region us-east-1

Um den Adressbereich zu deaktivieren, verwenden Sie den folgenden deprovision-byoip-cidr-Befehl.

aws ec2 deprovision-byoip-cidr --cidr address-range --region us-east-1

Es kann bis zu einem Tag dauern, bis die Bereitstellung eines Adressbereichs aufgehoben wird.

Arbeiten mit Ihrem Adressbereich

Sie können die IPv4- und IPv6-Adressbereiche anzeigen und mit denen arbeiten, die Sie in Ihrem Konto bereitgestellt haben.

IPv4-Adressbereiche

Sie können eine elastische IP-Adresse aus Ihrem IPv4-Adresspool erstellen und sie zusammen mit Ihren AWS-Ressourcen, wie EC2-Instances, NAT-Gateways und Network Load Balancers, verwenden.

Um Informationen zu den IPv4-Adresspools anzuzeigen, die Sie in Ihrem Konto bereitgestellt haben, verwenden Sie den folgenden describe-public-ipv4-pools-Befehl.

aws ec2 describe-public-ipv4-pools --region us-east-1

Verwenden Sie den Befehl allocate-address, um eine Elastic IP-Adresse aus Ihrem IPv4-Adresspool zu erstellen. Mit der Option --public-ipv4-pool können Sie die ID des von describe-byoip-cidrs zurückgegebenen Adressbereichs angeben. Oder Sie können die Option --address verwenden, um eine Adresse aus dem von Ihnen bereitgestellten Adressbereich anzugeben.

IPv6-Adressbereiche

Um Informationen zu den IPv6-Adresspools anzuzeigen, die Sie in Ihrem Konto bereitgestellt haben, verwenden Sie den folgenden describe-ipv6-pools-Befehl.

aws ec2 describe-ipv6-pools --region us-east-1

Verwenden Sie den folgenden create-vpc-Befehl, um eine VPC zu erstellen und eine IPv6-CIDR aus Ihrem IPv6-Adresspool anzugeben. Damit Amazon die IPv6-CIDR aus Ihrem IPv6-Adresspool auswählen kann, lassen Sie die --ipv6-cidr-block-Option aus.

aws ec2 create-vpc --cidr-block 10.0.0.0/16 --ipv6-cidr-block ipv6-cidr --ipv6-pool pool-id --region us-east-1

Um einen IPv6-CIDR-Block aus Ihrem IPv6-Adresspool einer VPC zuzuordnen, verwenden Sie den folgenden associate-vpc-cidr-block-Befehl. Damit Amazon die IPv6-CIDR aus Ihrem IPv6-Adresspool auswählen kann, lassen Sie die --ipv6-cidr-block-Option aus.

aws ec2 associate-vpc-cidr-block --vpc-id vpc-123456789abc123ab --ipv6-cidr-block ipv6-cidr --ipv6-pool pool-id --region us-east-1

Verwenden Sie den describe-vpcs-Befehl, um Ihre VPCs und die zugehörigen IPv6-Adresspool-Informationen anzuzeigen. Um Informationen zu zugeordneten IPv6-CIDR-Blöcken aus einem bestimmten IPv6-Adresspool anzuzeigen, verwenden Sie den folgenden get-associated-ipv6-pool-cidrs-Befehl.

aws ec2 get-associated-ipv6-pool-cidrs --pool-id pool-id --region us-east-1

Wenn Sie den IPv6-CIDR-Block von Ihrer VPC trennen, wird er wieder in Ihren IPv6-Adresspool freigegeben.

Weitere Informationen zum Arbeiten mit IPv6-CIDR-Blöcken in der VPC-Konsole finden Sie unter Arbeiten mit VPCs und Subnetzen im Amazon VPC Benutzerhandbuch.

Validieren Ihres BYOIP

  1. Validieren des selbstsignierten x.509-Schlüsselpaars

    Validieren Sie, ob das Zertifikat hochgeladen wurde, und seine Gültigkeit mit dem Befehl whois.

    Verwenden Sie für ARIN whois -h whois.arin.net r + 2001:0DB8:6172::/48, um den RDAP-Datensatz für Ihren Adressbereich nachzuschlagen. Überprüfen Sie den remarks-Abschnitt für NetRange (Netzwerkbereich) in der Befehlsausgabe. Das Zertifikat sollte im Public Comments-Abschnitt für den Adressbereich hinzugefügt werden.

    Sie können remarks mit dem Zertifikat als Inhalt mit dem folgenden Befehl prüfen:

    whois -h whois.arin.net r + 2001:0DB8:6172::/48 | grep Comment | grep BEGIN

    Dadurch wird eine Ausgabe mit dem Inhalt des Schlüssels zurückgegeben, der etwa wie folgt aussehen sollte:

    remarks: -----BEGIN CERTIFICATE----- MIID1zCCAr+gAwIBAgIUBkRPNSLrPqbRAFP8RDAHSP+I1TowDQYJKoZIhvcNAQE LBQAwezELMAkGA1UEBhMCTloxETAPBgNVBAgMCEF1Y2tsYW5kMREwDwYDVQQHDA hBdWNrbGFuZDEcMBoGA1UECgwTQW1hem9uIFdlYiBTZXJ2aWNlczETMBEGA1UEC wwKQllPSVAgRGVtbzETMBEGA1UEAwwKQllPSVAgRGVtbzAeFw0yMTEyMDcyMDI0 NTRaFw0yMjEyMDcyMDI0NTRaMHsxCzAJBgNVBAYTAk5aMREwDwYDVQQIDAhBdWN rbGFuZDERMA8GA1UEBwwIQXVja2xhbmQxHDAaBgNVBAoME0FtYXpvbiBXZWIgU2 VydmljZXMxEzARBgNVBAsMCkJZT0lQIERlbW8xEzARBgNVBAMMCkJZT0lQIERlb W8wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCfmacvDp0wZ0ceiXXc R/q27mHI/U5HKt7SST4X2eAqufR9wXkfNanAEskgAseyFypwEEQr4CJijI/5hp9 prh+jsWHWwkFRoBRR9FBtwcU/45XDXLga7D3stsI5QesHVRwOaXUdprAnndaTug mDPkD0vrl475JWDSIm+PUxGWLy+60aBqiaZq35wU/x+wXlAqBXg4MZK2KoUu27k Yt2zhmy0S7Ky+oRfRJ9QbAiSu/RwhQbh5Mkp1ZnVIc7NqnhdeIW48QaYjhMlUEf xdaqYUinzz8KpjfADZ4Hvqj9jWZ/eXo/9b2rGlHWkJsbhr0VEUyAGu1bwkgcdww 3A7NjOxQbAgMBAAGjUzBRMB0GA1UdDgQWBBStFyujN6SYBr2glHpGt0XGF7GbGT AfBgNVHSMEGDAWgBStFyujN6SYBr2glHpGt0XGF7GbGTAPBgNVHRMBAf8EBTADA QH/MA0GCSqGSIb3DQEBCwUAA4IBAQBX6nn6YLhz521lfyVfxY0t6o3410bQAeAF 08ud+ICtmQ4IO4A4B7zV3zIVYr0clrOOaFyLxngwMYN0XY5tVhDQqk4/gmDNEKS Zy2QkX4Eg0YUWVzOyt6fPzjOvJLcsqc1hcF9wySL507XQz76Uk5cFypBOzbnk35 UkWrzA9KK97cXckfIESgK/k1N4ecwxwG6VQ8mBGqVpPpey+dXpzzzv1iBKN/VY4 ydjgH/LBfdTsVarmmy2vtWBxwrqkFvpdhSGCvRDl/qdO/GIDJi77dmZWkh/ic90 MNk1f38gs1jrCj8lThoar17Uo9y/Q5qJIsoNPyQrJRzqFU9F3FBjiPJF -----END CERTIFICATE-----

    Verwenden Sie für RIPE whois -r -h whois.ripe.net 2001:0DB8:7269::/48, um den RDAP-Datensatz für Ihren Adressbereich nachzuschlagen. Überprüfen Sie den descr-Abschnitt für das inetnum-Objekt (Netzwerkbereich) in der Befehlsausgabe. Das Zertifikat sollte als neues desc-Feld für den Adressbereich hinzugefügt werden.

    Sie können descr mit dem Zertifikat als Inhalt mit dem folgenden Befehl prüfen:

    whois -r -h whois.ripe.net 2001:0DB8:7269::/48 | grep descr | grep BEGIN

    Dadurch wird eine Ausgabe mit dem Inhalt des Schlüssels zurückgegeben, der etwa wie folgt aussehen sollte:

    descr: -----BEGIN CERTIFICATE-----MIID1zCCAr+gAwIBAgIUBkRPNSLrPqbRAFP8 RDAHSP+I1TowDQYJKoZIhvcNAQELBQAwezELMAkGA1UEBhMCTloxETAPBgNVBAg MCEF1Y2tsYW5kMREwDwYDVQQHDAhBdWNrbGFuZDEcMBoGA1UECgwTQW1hem9uIF dlYiBTZXJ2aWNlczETMBEGA1UECwwKQllPSVAgRGVtbzETMBEGA1UEAwwKQllPS VAgRGVtbzAeFw0yMTEyMDcyMDI0NTRaFw0yMjEyMDcyMDI0NTRaMHsxCzAJBgNV BAYTAk5aMREwDwYDVQQIDAhBdWNrbGFuZDERMA8GA1UEBwwIQXVja2xhbmQxHDA aBgNVBAoME0FtYXpvbiBXZWIgU2VydmljZXMxEzARBgNVBAsMCkJZT0lQIERlbW 8xEzARBgNVBAMMCkJZT0lQIERlbW8wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwg gEKAoIBAQCfmacvDp0wZ0ceiXXcR/q27mHI/U5HKt7SST4X2eAqufR9wXkfNanA EskgAseyFypwEEQr4CJijI/5hp9prh+jsWHWwkFRoBRR9FBtwcU/45XDXLga7D3 stsI5QesHVRwOaXUdprAnndaTugmDPkD0vrl475JWDSIm+PUxGWLy+60aBqiaZq 35wU/x+wXlAqBXg4MZK2KoUu27kYt2zhmy0S7Ky+oRfRJ9QbAiSu/RwhQbh5Mkp 1ZnVIc7NqnhdeIW48QaYjhMlUEfxdaqYUinzz8KpjfADZ4Hvqj9jWZ/eXo/9b2r GlHWkJsbhr0VEUyAGu1bwkgcdww3A7NjOxQbAgMBAAGjUzBRMB0GA1UdDgQWBBS tFyujN6SYBr2glHpGt0XGF7GbGTAfBgNVHSMEGDAWgBStFyujN6SYBr2glHpGt0 XGF7GbGTAPBgNVHRMBAf8EBTADAQH/MA0GCSqGSIb3DQEBCwUAA4IBAQBX6nn6Y Lhz521lfyVfxY0t6o3410bQAeAF08ud+ICtmQ4IO4A4B7zV3zIVYr0clrOOaFyL xngwMYN0XY5tVhDQqk4/gmDNEKSZy2QkX4Eg0YUWVzOyt6fPzjOvJLcsqc1hcF9 wySL507XQz76Uk5cFypBOzbnk35UkWrzA9KK97cXckfIESgK/k1N4ecwxwG6VQ8 mBGqVpPpey+dXpzzzv1iBKN/VY4ydjgH/LBfdTsVarmmy2vtWBxwrqkFvpdhSGC vRDl/qdO/GIDJi77dmZWkh/ic90MNk1f38gs1jrCj8lThoar17Uo9y/Q5qJIsoN PyQrJRzqFU9F3FBjiPJF -----END CERTIFICATE-----

    Verwenden Sie für APNIC whois -h whois.apnic.net 2001:0DB8:6170::/48, um den RDAP-Datensatz für Ihren BYOIP-Adressbereich nachzuschlagen. Überprüfen Sie den remarks-Abschnitt für das inetnum-Objekt (Netzwerkbereich) in der Befehlsausgabe. Das Zertifikat sollte als neues desc-Feld für den Adressbereich hinzugefügt werden.

    Sie können descr mit dem Zertifikat als Inhalt mit dem folgenden Befehl prüfen:

    whois -h whois.apnic.net 2001:0DB8:6170::/48 | grep remarks | grep BEGIN

    Dadurch wird eine Ausgabe mit dem Inhalt des Schlüssels zurückgegeben, der etwa wie folgt aussehen sollte:

    remarks: -----BEGIN CERTIFICATE----- MIID1zCCAr+gAwIBAgIUBkRPNSLrPqbRAFP8RDAHSP+I1TowDQYJKoZIhvcNAQE LBQAwezELMAkGA1UEBhMCTloxETAPBgNVBAgMCEF1Y2tsYW5kMREwDwYDVQQHDA hBdWNrbGFuZDEcMBoGA1UECgwTQW1hem9uIFdlYiBTZXJ2aWNlczETMBEGA1UEC wwKQllPSVAgRGVtbzETMBEGA1UEAwwKQllPSVAgRGVtbzAeFw0yMTEyMDcyMDI0 NTRaFw0yMjEyMDcyMDI0NTRaMHsxCzAJBgNVBAYTAk5aMREwDwYDVQQIDAhBdWN rbGFuZDERMA8GA1UEBwwIQXVja2xhbmQxHDAaBgNVBAoME0FtYXpvbiBXZWIgU2 VydmljZXMxEzARBgNVBAsMCkJZT0lQIERlbW8xEzARBgNVBAMMCkJZT0lQIERlb W8wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCfmacvDp0wZ0ceiXXc R/q27mHI/U5HKt7SST4X2eAqufR9wXkfNanAEskgAseyFypwEEQr4CJijI/5hp9 prh+jsWHWwkFRoBRR9FBtwcU/45XDXLga7D3stsI5QesHVRwOaXUdprAnndaTug mDPkD0vrl475JWDSIm+PUxGWLy+60aBqiaZq35wU/x+wXlAqBXg4MZK2KoUu27k Yt2zhmy0S7Ky+oRfRJ9QbAiSu/RwhQbh5Mkp1ZnVIc7NqnhdeIW48QaYjhMlUEf xdaqYUinzz8KpjfADZ4Hvqj9jWZ/eXo/9b2rGlHWkJsbhr0VEUyAGu1bwkgcdww 3A7NjOxQbAgMBAAGjUzBRMB0GA1UdDgQWBBStFyujN6SYBr2glHpGt0XGF7GbGT AfBgNVHSMEGDAWgBStFyujN6SYBr2glHpGt0XGF7GbGTAPBgNVHRMBAf8EBTADA QH/MA0GCSqGSIb3DQEBCwUAA4IBAQBX6nn6YLhz521lfyVfxY0t6o3410bQAeAF 08ud+ICtmQ4IO4A4B7zV3zIVYr0clrOOaFyLxngwMYN0XY5tVhDQqk4/gmDNEKS Zy2QkX4Eg0YUWVzOyt6fPzjOvJLcsqc1hcF9wySL507XQz76Uk5cFypBOzbnk35 UkWrzA9KK97cXckfIESgK/k1N4ecwxwG6VQ8mBGqVpPpey+dXpzzzv1iBKN/VY4 ydjgH/LBfdTsVarmmy2vtWBxwrqkFvpdhSGCvRDl/qdO/GIDJi77dmZWkh/ic90 MNk1f38gs1jrCj8lThoar17Uo9y/Q5qJIsoNPyQrJRzqFU9F3FBjiPJF -----END CERTIFICATE-----
  2. Überprüfung der Erstellung eines ROA-Objekts

    Validieren Sie das erfolgreiche Erstellen der ROA-Objekte mit einem whois-Befehl. Testen Sie Ihren Adressbereich mit den Amazon ASNs 16509 und 14618 sowie den ASNs, die derzeit zur Veröffentlichung des Adressbereichs autorisiert sind.

    Sie können die ROA-Objekte aus verschiedenen Amazon-ASNs mit Ihrem Adressbereich mit dem folgenden Befehl untersuchen:

    whois -h whois.bgpmon.net " --roa 16509 2001:0DB8:1000::/48"

    In dieser Beispielausgabe hat die Antwort ein Ergebnis von 0 - Valid für die Amazon ASN 16509. Dies gibt an, dass das ROA-Objekt für den Adressbereich erfolgreich erstellt wurde:

    0 - Valid ------------------------ ROA Details ------------------------ Origin ASN: AS16509 Not valid Before: 2021-11-19 05:00:00 Not valid After: 2021-12-24 05:00:00 Expires in 16d8h39m12s Trust Anchor: rpki.arin.net Prefixes: 2001:0DB8::/32 (max length /48)

    In dieser Beispielausgabe weist die Antwort einen Fehler von 1 - Not Found aus. Dies gibt an, dass das ROA-Objekt für den Adressbereich nicht erstellt wurde:

    1 - Not Found

    In dieser Beispielausgabe weist die Antwort einen Fehler von 2 - Not Valid aus. Dies gibt an, dass das ROA-Objekt für den Adressbereich nicht erstellt wurde:

    2 - Not Valid: Invalid Origin ASN, expected 15169

Weitere Informationen

Weitere Informationen finden Sie im AWSTechnischen Online-Vortrag Details zu Bring Your Own IP.