Traiga sus propias direcciones IP (BYOIP) en Amazon EC2 - Amazon Elastic Compute Cloud
Definiciones BYOIPRequisitos y cuotasRequisitos previos de incorporaciónIncorporación de su BYOIPUso del intervalo de direccionesValidación de su BYOIPDisponibilidad regionalDisponibilidad en la zona localMás información

Traiga sus propias direcciones IP (BYOIP) en Amazon EC2

Puede traer todo su rango de direcciones IPv4 o IPv6 direccionables públicamente de su red en las instalaciones a su cuenta de AWS o solo una parte. Usted conserva el control del rango de direcciones y puede anunciarlo en Internet a través de AWS. Una vez que traiga su rango de direcciones a AWS, aparecerá en su cuenta de AWS como un grupo de direcciones.

Para obtener una lista de las regiones en las que la característica Traiga su propia IP (BYOIP) esté disponible, consulte Disponibilidad regional.

nota

  • Al llevar un rango de direcciones IP a AWS, AWS valida que usted controla el rango de direcciones IP. Hay dos métodos que puede utilizar para demostrar que controla el rango:

    • Si su rango de direcciones IP está registrado en un registro de Internet compatible con el RDAP (como ARIN, RIPE y APNIC), puede comprobar el control de su dominio con un certificado X.509 mediante el proceso que se describe en esta página.

    • Independientemente de si su registro de Internet admite RDAP, puede utilizar el IPAM de Amazon VPC para verificar el control de su dominio con un registro TXT de DNS. Este proceso se documenta en el Tutorial: transfiera sus direcciones IP a IPAM en la Guía del usuario de IPAM de Amazon VPC.

  • Los pasos en esta página describen cómo traer su propio intervalo de direcciones IP para su uso solo en Amazon EC2. Para traer su propio rango de direcciones IP para su uso en AWS Global Accelerator, consulte Traiga sus propias direcciones IP (BYOIP) en la Guía para desarrolladores de AWS Global Accelerator. Para usar su propio rango de direcciones IP con Amazon VPC IP Address Manager, consulte Tutorial: Cómo convertir sus direcciones IP en IPAM en la Guía del usuario de IPAM de Amazon VPC.

Definiciones BYOIP

  • Certificado X.509 con autofirma: estándar de certificado utilizado con mayor frecuencia para cifrar y autenticar datos dentro de una red. Es un certificado utilizado por AWS para validar el control sobre el espacio de IP desde un registro RDAP. Para obtener más información sobre los certificados X.509, consulte RFC 3280.

  • Número de sistema autónomo (ASN): identificador único mundial que define un grupo de prefijos IP administrados por uno o más operadores de red que mantienen una política de enrutamiento única y claramente definida.

  • Registro regional de Internet (RIR): organización que administra la asignación y el registro de direcciones IP y ASN en una región del mundo.

  • Protocolo de acceso a datos de registro (RDAP): protocolo de solo lectura para consultar los datos de registro actuales dentro de un RIR. Las entradas de la base de datos de RIR consultada se denominan “registros de RDAP”. Los clientes deben actualizar ciertos tipos de registros mediante un mecanismo proporcionado por el RIR. AWS consulta estos registros para verificar el control de un espacio de direcciones en el RIR.

  • Autorización de origen de ruta (ROA): objeto creado por el Registro regional de Internet (RIR) para que los clientes autentiquen la publicidad de IP en sistemas autónomos determinados. Para obtener información general, consulte Route Origin Authorizations (ROAs) en el sitio web de ARIN.

  • Registro local de Internet (LIR): organizaciones como proveedores de servicios de Internet que asignan un bloque de direcciones IP de un RIR a sus clientes.

Requisitos y cuotas

  • El rango de direcciones debe estar inscrito en el Registro regional de Internet (RIR). Consulte su RIR para conocer las políticas relacionadas con las regiones geográficas. Actualmente, BYOIP permite el Registro Norteamericano de Números de Internet (ARIN), el Centro de Coordinación de Redes IP Europeas (RIPE) o el Centro de Información de Redes de Asia-Pacífico (APNIC). Debe estar registrado con un negocio o entidad institucional y no puede registrarse con el nombre de un individuo.

  • El intervalo de direcciones IPv4 más específico que puede traer es /24.

  • El intervalo de direcciones IPv6 más específico que puede traer es /48 para los CIDR que se anuncian públicamente y /56 para los CIDR que no se anuncian públicamente.

  • Las ROA no son necesarias para los rangos de CIDR que no se anuncian públicamente, pero los registros de RDAP aún deben actualizarse.

  • Solo puede traer cada rango de direcciones a una región de AWS de forma simultánea.

  • Puede traer un total de cinco rangos de direcciones BYOIP IPv4 e IPv6 por región de AWS a su cuenta de AWS. No puede ajustar las cuotas para los CIDR de BYOIP mediante la consola de Service Quotas, pero puede comunicarse con el Centro de soporte de AWS como se describe en AWS service quotas en Referencia general de AWS.

  • No puede compartir su rango de direcciones IP con otras cuentas mediante AWS RAM a menos que utilice el IP Address Manager (IPAM) de Amazon VPC e integre IPAM con AWS Organizations. Para obtener más información, consulte Integración de IPAM con AWS Organizations en la Guía del usuario de Amazon VPC IPAM.

  • Las direcciones del rango de direcciones IP deben tener un historial limpio. Podemos investigar la reputación del intervalo de direcciones IP y reservarnos el derecho a rechazar un intervalo de direcciones IP si contiene una dirección IP con una mala reputación o asociada a un comportamiento malicioso.

  • El espacio de direcciones heredado, el espacio de direcciones IPv4 distribuido por el registro central de la Autoridad de Números Asignados de Internet (IANA) antes de la creación del sistema de Registro regional de Internet (RIR), aún requiere el objeto ROA correspondiente.

  • En el caso de los LIR, es común que utilicen un proceso manual para actualizar sus registros. Esto puede tardar días en implementarse en función del LIR.

  • Se necesita un único objeto ROA y un registro de RDAP para un bloque de CIDR grande. Puede traer varios bloques de CIDR más pequeños de ese rango a AWS, incluso en varias regiones de AWS, con el objeto único y el registro.

  • El BYOIP no es compatible en zonas de Wavelength o en AWS Outposts.

  • No realice ningún cambio manual para BYOIP en la base de datos de activos de enrutamiento (RADb) ni en ningún otro IRR. BYOIP actualizará automáticamente la RADb. Cualquier cambio manual que incluya el ASN de BYOIP provocará un error en la operación de aprovisionamiento de BYOIP.

  • Una vez que haya llevado un rango de direcciones IPv4 aAWS, podrá usar todas las direcciones IP del rango, incluidas la primera dirección (la dirección de red) y la última dirección (la dirección de transmisión).

Requisitos previos de incorporación para su rango de direcciones BYOIP

El proceso de incorporación de BYOIP tiene dos fases, para las cuales debe realizar tres pasos. Estos pasos corresponden a los pasos descritos en el siguiente diagrama. Incluimos pasos manuales en esta documentación, pero su RIR puede ofrecer servicios administrados para ayudarlo con estos pasos.

Fase de preparación

1. Cree una clave privada y úsela para generar un certificado X.509 autofirmado para fines de autenticación. Este certificado solo se usa durante la fase de aprovisionamiento.

Fase de configuración del RIR

2. Cargue el certificado autofirmado en los comentarios del registro de RDAP.

3. Cree un objeto ROA en su Registro Regional de Internet (RIR). La autorización de origen de ruta (ROA) define el rango de direcciones deseado, los números de sistema autónomo (ASN) permitidos para anunciar el rango de direcciones y una fecha de vencimiento para registrarse en la infraestructura de clave pública de recursos (RPKI) de su RIR.

nota

No se requiere una ROA para el espacio de direcciones IPv6 que no se anuncia públicamente.

El proceso de incorporación de 3 pasos para BYOIP.

Para incorporar varios rangos de direcciones no contiguos, debe repetir este proceso con cada rango de direcciones. Sin embargo, no es necesario repetir los pasos de preparación y de configuración del RIR si se divide un bloque contiguo en varias regiones de AWS diferentes.

La incorporación de un rango de direcciones no tiene ningún efecto en ninguno de los rangos de direcciones que haya incorporado con anterioridad.

importante

Antes de incorporar el rango de direcciones, complete los siguientes requisitos previos. Las tareas de esta sección requieren un terminal Linux y se pueden realizar mediante Linux, AWS CloudShell o el Subsistema de Windows para Linux.

1. Cree una clave privada y genere un certificado X.509

Use el siguiente procedimiento para crear un certificado autofirmado X.509 y agréguelo al registro de RDAP para su RIR. Este par de claves se utiliza para autenticar el rango de direcciones con el RIR. Los comandos openssl requieren la versión 1.0.2 o posterior de OpenSSL.

Copie los comandos siguientes y reemplace solo los valores del marcador de posición (en cursiva y de color).

Este procedimiento sigue la práctica recomendada de cifrar su clave de RSA privada y de requerir una frase de contraseña para acceder a ella.

  1. Genere una clave RSA privada de 2048 bits del siguiente modo.

    $ openssl genpkey -aes256 -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out private-key.pem

    El parámetro -aes256 especifica el algoritmo utilizado para cifrar la clave privada. El comando devuelve el siguiente resultado, incluidos los pedidos para establecer una frase de contraseña:

    ......+++
.+++
Enter PEM pass phrase: xxxxxxx
Verifying - Enter PEM pass phrase: xxxxxxx

    Puede inspeccionar la clave mediante el siguiente comando:

    $ openssl pkey -in private-key.pem -text

    Esto devuelve un pedido de frase de contraseña y el contenido de la clave, que debería ser similar a lo siguiente:

    Enter pass phrase for private-key.pem: xxxxxxx
-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----
Private-Key: (2048 bit)
modulus:
    00:c5:05:71:d1:23:81:d5:28:08:61:de:c7:a2:72:
    2a:28:8b:30:91:4d:b2:5e:d7:e6:2c:c4:d4:e3:6b:
    85:f2:2b:2a:55:18:81:56:0c:68:59:b3:8e:05:08:
    79:4f:38:e4:95:27:e3:6a:3f:be:30:f7:aa:0c:ec:
    33:d2:df:1a:3d:91:a4:32:64:11:67:d9:81:29:d8:
    40:6a:e6:f7:f7:d3:b2:87:35:19:99:65:49:a4:9f:
    4c:c7:39:21:29:36:66:36:7c:cc:48:48:1c:5e:c2:
    5c:51:14:09:e2:c2:64:9d:ff:c4:c3:bc:72:4c:63:
    d1:6f:00:8b:d6:b9:3b:2f:e6:5d:2d:24:a9:3e:6b:
    dd:4a:e3:eb:4e:dd:47:43:47:b4:a7:a3:95:97:13:
    17:ec:06:b5:b7:83:5c:9d:a3:74:c1:b3:1f:22:e7:
    f6:22:54:e7:0d:02:9c:bb:81:ed:bf:16:2c:18:dd:
    a0:97:24:1e:ab:ea:7b:85:e8:7f:26:46:02:38:af:
    8b:e4:31:1b:0e:94:08:49:0e:76:4f:35:ec:1e:6e:
    8a:3e:2b:74:37:97:06:e0:6e:63:8a:0f:fc:fd:b2:
    f9:3c:37:ff:a1:51:30:6d:21:7d:1f:46:d6:c6:f8:
    f2:c8:c3:7c:56:44:71:ab:31:29:f6:07:3b:0f:56:
    e0:cb
publicExponent: 65537 (0x10001)
privateExponent:
    0a:22:54:8f:68:5f:26:42:af:e3:b0:dc:dd:eb:37:
    65:ec:7a:ec:0e:6e:0d:58:d7:9b:17:e8:c7:65:e1:
    76:ea:67:7c:07:0d:a8:0a:6d:57:a7:d7:b7:44:8f:
    50:d6:e1:53:16:c1:28:d6:ec:86:82:46:b9:f1:70:
    5c:f9:62:d5:25:e7:a7:3b:e4:75:4e:07:c9:ca:38:
    ce:06:e1:5c:5b:04:44:d6:23:61:f3:86:cd:33:f0:
    74:12:e9:34:c0:7a:93:74:e9:e1:11:ec:7b:a7:4d:
    ae:51:f4:8c:38:69:8a:82:fc:71:01:01:74:12:72:
    54:5e:57:d3:0c:a6:11:b9:95:98:2d:23:80:7f:cc:
    c6:c0:40:3d:65:ba:64:a8:9c:83:d5:0b:32:55:a2:
    01:9d:cc:44:06:4f:8c:71:e0:a5:89:00:02:c5:16:
    28:06:c2:07:05:50:71:58:c6:3b:9f:56:8d:f6:63:
    cd:35:f9:a5:0b:55:54:7e:bc:ae:e7:22:1f:cf:03:
    4d:90:b0:8c:29:23:06:1c:60:f8:e2:24:24:12:c4:
    e7:09:21:f3:68:c8:1d:28:af:67:ad:df:97:02:f0:
    cf:e1:34:f8:78:44:2d:26:49:ae:7d:8c:63:a2:71:
    9a:29:37:a8:d3:54:38:5f:d9:fb:79:ac:76:3d:a5:
    b9
prime1:
    00:e3:c2:50:bf:de:3c:69:f3:32:72:e8:ff:28:25:
    02:af:ed:37:6f:33:05:23:e1:54:96:38:76:41:1c:
    bb:f8:7a:f2:5a:6a:26:b4:b9:08:c8:a3:55:03:6b:
    c0:18:8a:da:a1:5f:53:66:08:27:a1:18:7f:32:b9:
    78:ff:bf:a5:77:0b:33:0a:0e:49:91:af:53:6b:38:
    d9:d2:cf:94:2c:9d:d4:34:e1:9e:a2:84:04:25:3e:
    62:7d:ea:0e:30:2a:d8:28:0b:b0:18:a7:23:f4:83:
    56:be:e3:fb:23:6f:5f:a8:dd:84:08:e2:90:ff:17:
    bd:5c:fa:a6:b3:b4:7e:cf:47
prime2:
    00:dd:73:6d:f2:36:64:f7:f8:9c:a9:b5:fd:1f:2a:
    31:2f:38:d2:be:c7:05:0a:ce:2f:5c:2f:f3:b3:06:
    ae:72:38:80:b5:3f:3d:93:f3:98:0e:7b:58:bc:93:
    06:70:b3:ec:65:a4:6e:ae:05:3e:a5:98:82:44:2d:
    dd:24:e7:d1:72:ba:93:6e:e1:d3:ef:5f:94:83:e8:
    61:aa:77:1e:23:93:d2:af:23:be:2e:b0:67:8e:06:
    88:66:17:4a:61:4c:79:2b:58:a0:71:5e:2c:93:d2:
    84:bc:ce:39:c9:94:49:fc:ca:c2:29:1a:03:b6:f2:
    38:eb:2e:96:87:35:9f:cc:5d
exponent1:
    00:df:2c:d7:27:4b:42:f3:a6:c4:b6:68:ad:2d:cf:
    26:54:f1:23:32:a9:51:ce:18:cc:63:ee:ab:a1:9d:
    e0:6a:d9:3e:85:6e:22:c3:4f:d4:d5:95:86:86:35:
    9d:23:ef:5b:d0:68:b2:35:f6:a3:ae:6d:6c:a6:6d:
    ab:ad:1f:43:a9:e4:a5:7c:a3:07:5f:e3:e6:df:d7:
    f3:49:68:f2:0e:ce:10:d4:48:88:c3:42:8d:35:59:
    6d:f5:67:d5:c3:49:18:4a:15:39:d6:ce:60:a3:05:
    d7:88:71:a8:f2:cd:fd:74:60:ab:32:71:a0:16:f6:
    52:2d:bb:c6:81:ac:c9:dd:9d
exponent2:
    00:db:9c:da:7f:27:24:70:aa:33:ab:36:58:e4:ec:
    31:c4:b3:e4:83:df:d9:07:43:3c:c2:7e:a7:7e:76:
    74:cf:bf:6b:1c:d3:af:9c:a7:29:b7:ca:e9:50:71:
    ba:24:50:ba:72:7e:64:68:dd:b8:a7:fe:9b:c9:43:
    76:99:5f:f0:5d:87:dc:28:4d:7a:a1:5c:37:6b:ad:
    2c:16:22:75:58:31:03:f2:3e:4f:1f:fc:3f:66:20:
    e2:69:e4:55:16:33:01:c3:53:ec:21:21:94:b1:b0:
    47:84:fa:3b:62:c6:55:ad:85:e2:91:62:44:26:cd:
    06:57:6d:67:48:85:8c:88:dd
coefficient:
    3f:85:ff:ac:1c:67:ce:50:5b:c9:c0:53:29:00:dd:
    6a:d2:23:1f:f7:73:00:c6:76:6e:0d:44:67:2d:f1:
    93:99:8d:31:e3:8b:2f:68:8c:c3:83:d4:be:e2:32:
    14:50:ff:79:37:85:4b:22:9f:92:c3:32:9f:eb:c9:
    61:86:c7:8b:88:68:b6:ad:e3:49:22:0b:b4:f8:23:
    ae:83:33:b3:f9:f5:eb:aa:77:3d:f0:d0:f0:fe:55:
    4f:a1:ec:64:a2:be:fb:05:0d:dc:92:52:de:db:34:
    ad:00:51:52:e1:74:c2:5f:5b:10:cd:f1:05:74:6f:
    9a:77:5a:e5:87:d5:4f:01

    Mantenga su clave privada en un lugar seguro cuando no la esté utilizando.

  2. Genere un certificado X.509 con la clave privada que creó en el paso anterior. En este ejemplo, el certificado vence en 365 días. Pasada dicha cantidad de días, no será fiable. Asegúrese de fijar la fecha de vencimiento en concordancia. El certificado solo debe ser válido durante el proceso de aprovisionamiento. Puede eliminar el certificado del registro de su RIR una vez que se haya completado la etapa de aprovisionamiento. El comando tr -d "\n" elimina caracteres de nueva línea (saltos de línea) del resultado. Cuando se le solicite, debe proporcionar un nombre común, pero los demás campos se pueden dejar en blanco.

    $ openssl req -new -x509 -key private-key.pem -days 365 | tr -d "\n" > certificate.pem

    Esto devuelve un resultado similar a lo siguiente:

    Enter pass phrase for private-key.pem: xxxxxxx
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) []:
State or Province Name (full name) []:
Locality Name (eg, city) []:
Organization Name (eg, company) []:
Organizational Unit Name (eg, section) []:
Common Name (eg, fully qualified host name) []:example.com
Email Address []:
    nota

    El nombre común no es necesario para el aprovisionamiento de AWS. Puede ser cualquier nombre de dominio interno o público.

    Puede inspeccionar el certificado con el siguiente comando:

    $ cat certificate.pem

    El resultado debe ser una cadena larga, codificada en PEM, sin saltos de línea, precedida por -----BEGIN CERTIFICATE----- y seguida por -----END CERTIFICATE-----.

2. Cargue el certificado X.509 al registro RDAP de su RIR

Agregue el certificado que creó anteriormente al registro de RDAP para su RIR. Asegúrese de incluir las cadenas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE----- antes y después de la parte codificada. Todo este contenido debe estar en una sola línea larga. El procedimiento para actualizar el RDAP depende de su RIR:

  • Para ARIN, utilice el portal del administrador de cuentas para agregar el certificado en la sección “Comentarios públicos” del objeto “Información de red” que representa su rango de direcciones. No lo añada a la sección de comentarios de su organización.

  • Para RIPE, agregue el certificado como un nuevo campo “descr” al objeto “inetnum” o “inet6num” que representa su rango de direcciones. Por lo general, se encuentran en la sección “Mis recursos” del portal de bases de datos de RIPE. No lo agregue a la sección de comentarios de la organización ni al campo “comentarios” de los objetos anteriores.

  • Para APNIC, envíe el certificado por correo electrónico a helpdesk@apnic.net para agregarla manualmente al campo “observaciones”. Envíe el correo electrónico con el contacto autorizado de APNIC para las direcciones IP.

Puede eliminar el certificado del registro de su RIR una vez que se haya completado la siguiente etapa de aprovisionamiento.

3. Creación de un objeto ROA en su Registro Regional de Internet (RIR)

Cree un objeto ROA para permitir que los ASN de Amazon 16509 y 14618 anuncien su rango de direcciones, así como también los ASN que cuentan actualmente con autorización para anunciar el rango de direcciones. Para AWS GovCloud (US) Regions, autorice ASN 8987 en lugar de 16509 y 14618. Se debe fijar la longitud máxima en función del tamaño del CIDR que traiga. El prefijo IPv4 más específico que puede traer es /24. El intervalo de direcciones IPv6 más específico que puede traer es /48 para los CIDR que se anuncian públicamente y /56 para los CIDR que no se anuncian públicamente.

importante

Si va a crear un objeto ROA para Amazon VPC IP Address Manager (IPAM), al crear los ROA, para los CIDR de IPv4 debe establecer la longitud máxima de un prefijo de dirección IP en /24. Para los CIDR IPv6, si los agregará a un grupo que se puede anunciar, la longitud máxima de un prefijo de dirección IP debe ser /48. Esto garantiza que tenga total flexibilidad para dividir su dirección IP pública entre regiones de AWS. IPAM impone la longitud máxima que establezca. Para obtener más información sobre las direcciones BYOIP para IPAM, consulte Tutorial: CIDR con dirección BYOIP a IPAM en la Guía del usuario de Amazon VPC IPAM.

Es posible que pasen 24 horas hasta que la ROA esté disponible en Amazon. Para obtener más información, consulte su RIR:

Al migrar anuncios desde una carga de trabajo en las instalaciones a AWS, debe crear una ROA para su ASN existente antes de crear las ROA para los ASN de Amazon. De lo contrario, podría afectar al enrutamiento y a los anuncios existentes.

importante

Para que Amazon anuncie y siga anunciando su intervalo de direcciones IP, sus ROA con los ASN de Amazon deben cumplir con las directrices anteriores. Si sus ROA no son válidas o no cumplen con las normas anteriores, Amazon se reserva el derecho de dejar de anunciar su rango de direcciones IP.

nota

Este paso no se requiere para el espacio de direcciones IPv6 que no se anuncia públicamente.

Incorporación de su BYOIP

El proceso de incorporación de BYOIP incluye las siguientes tareas en función de sus necesidades.

Aprovisione un intervalo de direcciones que se anuncie públicamente en AWS

Cuando aprovisiona un rango de direcciones para utilizarlo con AWS, usted confirma que controla el rango de direcciones y autoriza que Amazon lo anuncie. También verificamos que controla el rango de direcciones a través de un mensaje de autorización firmado. Este mensaje se firma con el par de claves autofirmado X.509 que utilizó cuando actualizó el registro de RDAP con el certificado X.509. AWS requiere un mensaje de autorización firmado criptográficamente que presenta al RIR. El RIR autentica la firma con el certificado que agregó al RDAP y verifica los detalles de autorización con la ROA.

Para aprovisionar el rango de direcciones
  1. Redactar mensajes

    Redacte el mensaje de autorización de texto sin formato. El formato del mensaje es el siguiente, donde la fecha es la fecha de vencimiento del mensaje: 

    1|aws|account|cidr|YYYYMMDD|SHA256|RSAPSS

    Reemplace el número de cuenta, el rango de direcciones y la fecha de vencimiento con sus propios valores para crear un mensaje similar al siguiente:

    text_message="1|aws|0123456789AB|198.51.100.0/24|20211231|SHA256|RSAPSS"

    Esto no debe confundirse con un mensaje de ROA, que es similar.

  2. Firmar el mensaje

    Firme el mensaje de texto sin formato con la clave privada que creó anteriormente. La firma que devuelve este comando es una cadena larga que deberá usar en el siguiente paso.

    importante

    Le recomendamos que copie y pegue este comando. Excepto por el contenido del mensaje, no modifique ni reemplace ninguno de los valores.

    signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")
  3. Aprovisionar la dirección

    Para aprovisionar el rango de direcciones, use el comando provision-byoip-cidr de la AWS CLI. La opción --cidr-authorization-context utiliza las cadenas de mensaje y firma que creó anteriormente.

    importante

    Debe especificar la región de AWS en la que se debe aprovisionar el rango de BYOIP si difiere de la configuración de la AWS CLI Default region name.

    aws ec2 provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message" --region us-east-1

    Aprovisionar un rango de direcciones es una operación asincrónica, por lo que la llamada se devuelve de forma inmediata, pero el rango de direcciones no se podrá utilizar hasta que su estado pase de pending-provision a provisioned.

  4. Monitorear el progreso

    Si bien la mayoría del aprovisionamiento se completará en dos horas, el proceso de aprovisionamiento de los intervalos que se pueden anunciar públicamente puede tardar hasta una semana en completarse. Utilice el comando describe-byoip-cidrs para monitorear el progreso, como en este ejemplo:

    aws ec2 describe-byoip-cidrs --max-results 5 --region us-east-1

    Si hay problemas durante el aprovisionamiento y el estado pasa a failed-provision, debe ejecutar el comando provision-byoip-cidr de nuevo una vez que se hayan resuelto los problemas.

Aprovisione un intervalo de direcciones IPv6 que no se anuncie públicamente

De forma predeterminada, se aprovisiona un intervalo de direcciones para que se anuncie públicamente en Internet. Puede aprovisionar un intervalo de direcciones IPv6 que no se anunciará públicamente. Para las rutas que no son anunciables públicamente, el proceso de aprovisionamiento generalmente se completa en cuestión de minutos. Cuando asocia un bloque de CIDR IPv6 de un rango de direcciones no público a una VPC, solo se puede acceder al CIDR IPv6 a través de opciones de conectividad híbrida que admiten IPv6, como AWS Direct Connect, AWS Site-to-Site VPN o puertas de enlace de tránsito de Amazon VPC.

No se requiere una ROA para aprovisionar un intervalo de direcciones no públicas.

importante

  • Solo puede especificar si un intervalo de direcciones se anuncia públicamente durante el aprovisionamiento. No puede cambiar el estado anunciable de un rango de direcciones con posterioridad.

  • Amazon VPC no admite los CIDR de direcciones locales únicas (ULA). Todas las VPC deben tener CIDR de IPv6 únicos. Dos VPC no pueden tener el mismo rango de CIDR de IPv6.

Para aprovisionar un intervalo de direcciones IPv6 que no se anunciará públicamente, use el siguiente comando provision-byoip-cidr.

aws ec2 provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message" --no-publicly-advertisable --region us-east-1

Anunciar el rango de direcciones mediante AWS

Una vez aprovisionado el rango de direcciones, ya se puede anunciar. Debe anunciar el rango de direcciones exacto que ha aprovisionado. No puede anunciar solo una parte del rango de direcciones aprovisionado.

Si ha aprovisionado un intervalo de direcciones IPv6 que no se anunciará públicamente, no es necesario que complete este paso.

Le recomendamos que deje de anunciar el rango de direcciones o una parte de él desde otras ubicaciones antes de anunciarlo a través de AWS. Si sigue anunciando su rango de direcciones IP o una parte de él desde otras ubicaciones, no podremos asistirle de forma fiable ni solucionar los problemas. En especial, no podremos garantizar que el tráfico hacia el rango de direcciones o una parte de él entre en nuestra red.

Para minimizar el tiempo de inactividad, puede configurar sus recursos de AWS para que utilicen una dirección de su grupo de direcciones antes de que se anuncie. Luego puede dejar de anunciarla de forma simultánea desde la ubicación actual y empezar a anunciarla a través de AWS. Para obtener más información acerca de cómo asignar una dirección IP elástica desde su grupo de direcciones, consulte Asignar una dirección IP elástica.

Limitaciones

  • Puede ejecutar el comando advertise-byoip-cidr como mucho una vez cada 10 segundos, incluso si indica rangos de direcciones diferentes cada vez.

  • Puede ejecutar el comando withdraw-byoip-cidr como mucho una vez cada 10 segundos, incluso si indica rangos de direcciones diferentes cada vez.

Para anunciar el rango de direcciones, use el siguiente comando advertise-byoip-cidr.

aws ec2 advertise-byoip-cidr --cidr address-range --region us-east-1

Para dejar de anunciar el rango de direcciones, use el siguiente comando withdraw-byoip-cidr.

aws ec2 withdraw-byoip-cidr --cidr address-range --region us-east-1

Desaprovisionar el rango de direcciones

Para dejar de utilizar el rango de direcciones con AWS, primero libere las direcciones IP elásticas y desasocie los bloques de CIDR IPv6 que todavía estén asignados del grupo de direcciones. A continuación, deje de anunciar el intervalo de direcciones y, finalmente, desaprovisione el intervalo de direcciones.

No puede desaprovisionar una parte del intervalo de direcciones. Si desea utilizar un rango de direcciones más específico con AWS, desaprovisione todo el rango de direcciones y aprovisione un rango de direcciones más específico.

(IPv4) Para liberar cada dirección IP elástica, utilice el siguiente comando release-address.

aws ec2 release-address --allocation-id eipalloc-12345678abcabcabc --region us-east-1

(IPv6) Para desasociar un bloque de CIDR IPv6, utilice el siguiente comando disassociate-vpc-cidr-block.

aws ec2 disassociate-vpc-cidr-block --association-id vpc-cidr-assoc-12345abcd1234abc1 --region us-east-1

Para dejar de anunciar el rango de direcciones, use el siguiente comando withdraw-byoip-cidr.

aws ec2 withdraw-byoip-cidr --cidr address-range --region us-east-1

Para desaprovisionar el rango de direcciones, use el siguiente comando deprovision-byoip-cidr.

aws ec2 deprovision-byoip-cidr --cidr address-range --region us-east-1

Puede tardar hasta un día en desaprovisionar un intervalo de direcciones.

Uso del intervalo de direcciones

Puede ver y usar los rangos de direcciones IPv4 e IPv6 que haya aprovisionado en su cuenta.

Intervalos de direcciones IPv4

Puede crear una dirección IP elástica a partir de su grupo de direcciones IPv4 y utilizarla con los recursos de AWS como las instancias de EC2, las puertas de enlace de NAT y los Equilibradores de carga de red.

Para ver información sobre los grupos de direcciones IPv4 que ha aprovisionado en su cuenta, utilice el siguiente comando describe-public-ipv4-pools.

aws ec2 describe-public-ipv4-pools --region us-east-1

Para crear una dirección IP elástica en su grupo de direcciones IPv4, use el comando allocate-address. Puede usar la opción --public-ipv4-pool para especificar el ID del grupo de direcciones devuelto por describe-byoip-cidrs. O puede usar la opción --address para especificar una dirección del rango de direcciones que ha aprovisionado.

Intervalos de direcciones IPv6

Para ver información sobre los grupos de direcciones IPv6 que ha aprovisionado en su cuenta, utilice el siguiente comando describe-ipv6-pools.

aws ec2 describe-ipv6-pools --region us-east-1

Para crear una VPC y especificar un CIDR IPv6 desde el grupo de direcciones IPv6, utilice el siguiente comando create-vpc. Para permitir que Amazon elija el CIDR IPv6 de su grupo de direcciones IPv6, omita la opción --ipv6-cidr-block.

aws ec2 create-vpc --cidr-block 10.0.0.0/16 --ipv6-cidr-block ipv6-cidr --ipv6-pool pool-id --region us-east-1

Para asociar un bloque de CIDR IPv6 del grupo de direcciones IPv6 a una VPC, utilice el siguiente comando associate-vpc-cidr-block. Para permitir que Amazon elija el CIDR IPv6 de su grupo de direcciones IPv6, omita la opción --ipv6-cidr-block.

aws ec2 associate-vpc-cidr-block --vpc-id vpc-123456789abc123ab --ipv6-cidr-block ipv6-cidr --ipv6-pool pool-id --region us-east-1

Para ver las VPC y la información del grupo de direcciones IPv6 asociada, utilice el comando describe-vpcs. Para ver información acerca de los bloques de CIDR IPv6 asociados de un grupo de direcciones IPv6 específico, utilice el siguiente comando get-associated-ipv6-pool-cidrs.

aws ec2 get-associated-ipv6-pool-cidrs --pool-id pool-id --region us-east-1

Si desasocia el bloque de CIDR IPv6 de la VPC, se vuelve a liberar en el grupo de direcciones IPv6.

Validación de su BYOIP

  1. Validación del par de claves del X.509 autofirmado

    Valide que el certificado se ha cargado y es válido a través del comando whois.

    Para ARIN, utilice whois -h whois.arin.net r + 2001:0DB8:6172::/48 para buscar el registro de RDAP para su rango de direcciones. Compruebe la sección Public Comments para el NetRange (rango de red) en la salida del comando. El certificado debe agregarse en la sección Public Comments para el rango de direcciones.

    Puede inspeccionar la sección Public Comments que contiene el certificado con el siguiente comando:

    whois -h whois.arin.net r + 2001:0DB8:6172::/48 | grep Comments | grep BEGIN

    Esto devuelve un resultado con el contenido de la clave, que debería ser similar a lo siguiente:

    Public Comments:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

    Para RIPE, utilice whois -r -h whois.ripe.net 2001:0DB8:7269::/48 para buscar el registro de RDAP para su rango de direcciones. Compruebe la sección descr para el objeto inetnum (rango de red) en la salida del comando. El certificado debe agregarse como un nuevo campo descr para el rango de direcciones.

    Puede inspeccionar la sección descr que contiene el certificado con el siguiente comando:

    whois -r -h whois.ripe.net 2001:0DB8:7269::/48 | grep descr | grep BEGIN

    Esto devuelve un resultado con el contenido de la clave, que debería ser similar a lo siguiente:

    descr:
-----BEGIN CERTIFICATE-----MIID1zCCAr+gAwIBAgIUBkRPNSLrPqbRAFP8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-----END CERTIFICATE-----

    Para APNIC, utilice whois -h whois.apnic.net 2001:0DB8:6170::/48 para buscar el registro de RDAP para su rango de direcciones BYOIP. Compruebe la sección remarks para el objeto inetnum (rango de red) en la salida del comando. El certificado debe agregarse como un nuevo campo remarks para el rango de direcciones.

    Puede inspeccionar la sección remarks que contiene el certificado con el siguiente comando:

    whois -h whois.apnic.net 2001:0DB8:6170::/48 | grep remarks | grep BEGIN

    Esto devuelve un resultado con el contenido de la clave, que debería ser similar a lo siguiente:

    remarks:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

  2. Validación de la creación de un objeto ROA

    Valide la creación correcta de los objetos ROA mediante la API de datos RIPEstat. Asegúrese de probar su rango de direcciones con los ASN 16509 y 14618 de Amazon, además de los ASN que cuentan actualmente con autorización para anunciar el rango de direcciones.

    Puede inspeccionar los objetos ROA desde distintos ASN de Amazon con su rango de direcciones mediante el siguiente comando:

    curl --location --request GET "https://stat.ripe.net/data/rpki-validation/data.json?resource=ASN&prefix=CIDR

    En este resultado de ejemplo, la respuesta tiene un resultado de "status": "valid" para el ASN 16509 de Amazon. Esto indica que el objeto ROA para el rango de direcciones se creó correctamente:

    {
    "messages": [],
    "see_also": [],
    "version": "0.3",
    "data_call_name": "rpki-validation",
    "data_call_status": "supported",
    "cached": false,
    "data": {
        "validating_roas": [
            {
                "origin": "16509",
                "prefix": "2001:0DB8::/32",
                "max_length": 48,
                "validity": "valid"
            },
            {
                "origin": "14618",
                "prefix": "2001:0DB8::/32",
                "max_length": 48,
                "validity": "invalid_asn"
            },
            {
                "origin": "64496",
                "prefix": "2001:0DB8::/32",
                "max_length": 48,
                "validity": "invalid_asn"
            }
        ],
        "status": "valid",
        "validator": "routinator",
        "resource": "16509",
        "prefix": "2001:0DB8::/32"
    },
    "query_id": "20230224152430-81e6384e-21ba-4a86-852a-31850787105f",
    "process_time": 58,
    "server_id": "app116",
    "build_version": "live.2023.2.1.142",
    "status": "ok",
    "status_code": 200,
    "time": "2023-02-24T15:24:30.773654"
}

El estado “unknown” indica que el objeto ROA para el rango de direcciones no se ha creado. El estado “invalid_asn” indica que el objeto ROA para el rango de direcciones no se creó correctamente.

Disponibilidad regional

La característica BYOIP está disponible actualmente en todas las regiones comerciales de AWS, excepto en las regiones de China.

Disponibilidad en la zona local

Una zona local es una extensión de una región de AWS que se encuentra geográficamente cerca de los usuarios. Las zonas locales se agrupan en “grupos fronterizos de red”. En AWS, un grupo fronterizo de red es un conjunto de zonas de disponibilidad (AZ), zonas locales o zonas de Wavelength desde las que AWS anuncia una dirección IP pública. Es posible que las zonas locales tengan grupos fronterizos de red diferentes a los de las AZ de una región de AWS para garantizar una latencia o una distancia física mínima entre la red de AWS y los clientes que acceden a los recursos de estas zonas.

Puede aprovisionar intervalos de direcciones BYOIPv4 y anunciarlos en los siguientes grupos fronterizos de red de las zonas locales mediante la opción --network-border-group:

  • us-east-1-dfw-2

  • us-west-2-lax-1

  • us-west-2-phx-2

Si tiene zonas locales habilitadas (consulte Habilitar una zona local), puede elegir un grupo fronterizo de red para las zonas locales al aprovisionar y anunciar un CIDR de BYOIPv4. Elija el grupo de bordes de red con cuidado, ya que la EIP y el recurso de AWS al que está asociado deben residir en el mismo grupo de bordes de red.

nota

En este momento, no puede aprovisionar ni anunciar intervalos de direcciones BYOIPv6 en las zonas locales.

Más información

Para obtener más información, consulte la charla tecnológica online de AWS Deep Dive on Bring Your Own IP.