Didacticiel : apporter votre ASN à l'IPAM - Amazon Virtual Private Cloud
Conditions préalables à l'onboarding de votre ASNÉtapes du didacticiel

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Didacticiel : apporter votre ASN à l'IPAM

Si vos applications utilisent des adresses IP fiables et des numéros de système autonome (ASN) que vos partenaires ou clients ont autorisés sur leur réseau, vous pouvez exécuter ces applications AWS sans demander à vos partenaires ou clients de modifier leurs listes d'autorisation.

Un numéro de système autonome (ASN) est un numéro globalement unique qui permet d'identifier un groupe de réseaux sur Internet et d'échanger des données de routage avec d'autres réseaux de manière dynamique à l'aide du Protocole Border Gateway. Les fournisseurs de services Internet (FSI), par exemple, utilisent des ASN pour identifier la source du trafic réseau. Toutes les organisations n'achètent pas leur propre ASN, mais celles qui le font peuvent apporter leur ASN à. AWS

Le numéro de système autonome (BYOASN) vous permet de publier les adresses IP auxquelles vous accédez AWS avec votre propre ASN public au lieu de l'ASN. AWS Lorsque vous utilisez le BYOASN, le trafic provenant de votre adresse IP transporte votre ASN au lieu de l' AWS ASN, et vos charges de travail sont accessibles aux clients ou aux partenaires qui ont autorisé le trafic répertorié en fonction de votre adresse IP et de votre ASN.

Important

  • Effectuez ce didacticiel en utilisant le compte administrateur IPAM dans la région d’accueil de votre IPAM.

  • Ce didacticiel part du principe que vous possédez l'ASN public que vous souhaitez apporter à IPAM et que vous avez déjà apporté un CIDR BYOIP AWS et l'avez provisionné dans un pool de votre périmètre public. Vous pouvez apporter un ASN à l'IPAM à tout moment, mais pour l'utiliser, vous devez l'associer à un CIDR que vous avez ajouté à votre compte. AWS Ce tutoriel suppose que vous l'avez déjà fait. Pour plus d’informations, consultez Didacticiel : apporter vos adresses IP à IPAM.

  • Vous pouvez changer sans délai entre votre propre ASN publicitaire ou un AWS ASN, mais vous êtes limité à passer d'un AWS ASN à votre propre ASN une fois par heure.

  • Si votre CIDR BYOIP est publié actuellement, vous n'avez pas à le retirer de la publicité pour l'associer à votre ASN.

Conditions préalables à l'onboarding de votre ASN

Vous aurez besoin des éléments suivants pour suivre ce didacticiel :

  • Votre ASN public de 2 ou 4 octets.

  • Si vous avez déjà apporté une plage d'adresses IP à AWS withDidacticiel : apporter vos adresses IP à IPAM, vous avez besoin de la plage CIDR d'adresses IP. Vous aurez également besoin d'une clé privée. Vous pouvez utiliser la clé privée que vous avez créée lorsque vous avez introduit la plage d'adresses IP CIDR AWS ou vous pouvez créer une nouvelle clé privée comme décrit dans Création d'une clé privée et génération d'un certificat X.509 dans le guide de l'utilisateur EC2.

  • Lorsque vous apportez une plage d'adresses IP à AWS withDidacticiel : apporter vos adresses IP à IPAM, vous créez un certificat X.509 et vous le téléchargez dans l'enregistrement RDAP de votre RIR. Vous devez charger le même certificat que vous avez créé dans le registre RDAP de votre RIR pour l’ASN. Veillez à inclure le -----BEGIN CERTIFICATE----- and -----END CERTIFICATE----- avant et après la partie encodée. Tout ce contenu doit se trouver sur une seule et longue ligne. La procédure de mise à jour de RDAP dépend de votre RIR :

    • Pour ARIN, utilisez le portail du gestionnaire de compte pour ajouter le certificat dans la section « Commentaires publics » pour l’objet « Informations réseau » représentant votre ASN à l’aide de l’option « Modifier l’ASN ». Ne l’ajoutez pas à la section des commentaires de votre organisation.

    • Pour RIPE, ajoutez le certificat en tant que nouveau champ « descr » à l’objet « aut-num » représentant votre ASN. Vous les trouverez généralement dans la section « Mes ressources » du

      portail de la base de données RIPE. Ne l’ajoutez pas dans la section des commentaires de votre organisation ni dans le champ « remarques » de l’objet « aut-num ».

    • Pour l’APNIC, envoyez le certificat par e-mail à l’adresse helpdesk@apnic.net afin de l’ajouter manuellement au champ « remarques » de votre ASN. Envoyez l’e-mail en utilisant le contact autorisé APNIC pour l’ASN.

Étapes du didacticiel

Effectuez les étapes ci-dessous à l'aide de la AWS console ou du AWS CLI.

AWS Management Console

  1. Ouvrez la console IPAM à partir de l'adresse https://console.aws.amazon.com/ipam/.

  2. Dans le panneau de navigation de gauche, sélectionnez IPAMs.

  3. Choisissez votre IPAM.

  4. Choisissez l'onglet BYOASNs, puis Provisionner BYOASNs.

  5. Saisissez l'ASN. Par conséquent, le champ Message est automatiquement renseigné avec le message que vous devrez vous connecter à l'étape suivante.

    • Le format du message est le suivant, où ACCOUNT est votre numéro de AWS compte, ASN est l'ASN que vous apportez à IPAM et YYYYMMDD est la date d'expiration du message (qui par défaut est le dernier jour du mois suivant). Exemple : 

      text_message="1|aws|ACCOUNT|ASN|YYYYMMDD|SHA256|RSAPSS"

  6. Copiez le message et remplacez la date d'expiration par votre propre valeur si vous le souhaitez.

  7. Signez le message à l'aide de la clé privée. Exemple : 

    signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")

  8. Sous Signature, entrez la signature.

  9. (Facultatif) Pour configurer un autre ASN, choisissez Provisionner un autre ASN. Vous pouvez provisionner jusqu'à 5 ASN. Pour augmenter ce quota, consultez Quotas pour votre IPAM.

  10. Choisissez Provisionner.

  11. Consultez le processus de provisionnement dans l'onglet BYOASNs. Attendez que l'État passe de Provisionnement en attente à Provisionné. Les BYOASN dont l'état est de Provisionnement échoué sont automatiquement supprimés au bout de 7 jours. Une fois que l'ASN est correctement provisionné, vous pouvez l'associer à un CIDR BYOIP.

  12. Dans le panneau de navigation de gauche, choisissez Groupes.

  13. Choisissez votre portée publique. Pour plus d'informations sur les portées, consultez Fonctionnement d'IPAM.

  14. Choisissez un groupe régional auquel un CIDR BYOIP est provisionné. Le Service du groupe doit être défini sur EC2 et un paramètre régional doit être choisi.

  15. Choisissez l'onglet CIDRs et sélectionnez un CIDR BYOIP.

  16. Choisissez Actions > Gérer les associations BYOASN.

  17. Sous Associated ByoASN, choisissez l'ASN auquel vous avez accédé. AWS Si vous avez plusieurs ASN, vous pouvez associer plusieurs ASN au CIDR BYOIP. Vous pouvez associer autant d’ASN que vous pouvez apporter à IPAM. Notez que vous pouvez apporter jusqu'à 5 ASN à l'IPAM par défaut. Pour plus d’informations, consultez Quotas pour votre IPAM.

  18. Choisissez Associer.

  19. Attendez que l'association d'ASN soit terminée. Une fois que l'ASN est correctement associé au CIDR BYOIP, vous pouvez à nouveau publier le CIDR BYOIP.

  20. Choisissez l'onglet CIDRs pour groupe.

  21. Sélectionnez le CIDR BYOIP et cliquez sur Actions >Publicité. Par conséquent, vos options d'ASN sont affichées : l'ASN Amazon et tous les ASN que vous avez apportés à IPAM.

  22. Sélectionnez l'ASN que vous avez apporté à l'IPAM et choisissez Publicité CIDR. Par conséquent, le CIDR BYOIP est annoncé et la valeur dans la colonne Publicité passe de Retiré à Publié. La colonne Numéro de système autonome affiche l'ASN associé au CIDR.

  23. (facultatif) Si vous décidez de reconvertir l'association d'ASN en Amazon ASN, sélectionnez le CIDR BYOIP, puis choisissez à nouveau Actions > Publicité. Cette fois, choisissez l'ASN Amazon. Vous pouvez revenir à l'ASN Amazon à tout moment, mais vous ne pouvez passer à un ASN personnalisé qu'une fois par heure.

Le didacticiel est terminé.

Nettoyage

  1. Dissocier l'ASN du CIDR BYOIP

    • Pour retirer le CIDR BYOIP de la publicité, dans votre groupe dans la portée publique, choisissez le CIDR BYOIP et choisissez Actions > Retirer de la publicité.

    • Pour dissocier l'ASN du CIDR, choisissez Actions > Gérer les associations BYOASN.

  2. Déprovisionner l'ASN

    • Pour déprovisionner l'ASN, sous l'onglet BYOASNs, choisissez l'ASN, puis choisissez Déprovisionner l'ASN. Par conséquent, l'ASN est déprovisionné. Les BYOASN dont l'état est de Déprovisionné sont automatiquement supprimés au bout de 7 jours.

Le nettoyage est terminé.

Command line

  1. Fournissez votre ASN en incluant votre ASN et votre message d'autorisation. La signature est le message signé avec votre clé privée.

    aws ec2 provision-ipam-byoasn --ipam-id $ipam_id --asn 12345 --asn-authorization-context Message="$text_message",Signature="$signed_message"

  2. Décrivez votre ASN pour suivre le processus de provisionnement. Si la demande aboutit, l'ProvisionStatusensemble devrait être provisionné au bout de quelques minutes.

    aws ec2 describe-ipam-byoasn

  3. Associez votre ASN à votre CIDR BYOIP. Tout ASN personnalisé à partir duquel vous souhaitez faire de la publicité doit d'abord être associé à votre CIDR.

    aws ec2 associate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  4. Décrivez votre CIDR pour suivre le processus d'association.

    aws ec2 describe-byoip-cidrs --max-results 10

  5. Publiez votre CIDR avec votre ASN. Si le CIDR est déjà publié, cela remplacera l'ASN d'origine d'Amazon par le vôtre.

    aws ec2 advertise-byoip-cidr --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  6. Décrivez votre CIDR pour voir l'état de l'ASN passer d'associé à publié.

    aws ec2 describe-byoip-cidrs --max-results 10

Le didacticiel est terminé.

Nettoyage

  1. Effectuez l’une des actions suivantes :

    • Pour retirer uniquement votre publicité ASN et recommencer à utiliser les ASN Amazon tout en maintenant le CIDR annoncé, vous devez appeler advertise-byoip-cidr avec la AWS valeur spéciale du paramètre asn. Vous pouvez revenir à l'ASN Amazon à tout moment, mais vous ne pouvez passer à un ASN personnalisé qu'une fois par heure.

      aws ec2 advertise-byoip-cidr --asn AWS --cidr xxx.xxx.xxx.xxx/n

    • Pour retirer simultanément votre publicité CIDR et ASN, vous pouvez appeler. withdraw-byoip-cidr

      aws ec2 withdraw-byoip-cidr --cidr xxx.xxx.xxx.xxx/n

  2. Pour nettoyer votre ASN, vous devez d'abord le dissocier de votre CIDR BYOIP.

    aws ec2 disassociate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  3. Une fois que votre ASN est dissocié de tous les CIDR BYOIP auxquels vous l'avez associé, vous pouvez le déprovisionner.

    aws ec2 deprovision-ipam-byoasn --ipam-id $ipam_id --asn 12345

  4. Le CIDR BYOIP peut également être déprovisionné une fois que toutes les associations ASN ont été supprimées.

    aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-1234567890abcdef0 --cidr xxx.xxx.xxx.xxx/n

  5. Confirmez le déprovisionnement.

    aws ec2 get-ipam-pool-cidrs --ipam-pool-id ipam-pool-1234567890abcdef0

Le nettoyage est terminé.