Amazon EC2 で自分の IP アドレスを使用する (BYOIP)

パブリックにルーティング可能な IPv4 または IPv6 アドレス範囲の一部または全部を、オンプレミスのネットワークから AWS アカウントに導入することができます。アドレス範囲は引き続き管理でき、AWS を通じてインターネット上でアドレス範囲をアドバタイズできます。アドレス範囲を AWS に設定すると、そのアドレス範囲はアドレスプールとして AWS アカウントに表示されます。

BYOIP を使用できるリージョンのリストについては、「リージョナルな可用性」を参照してください。

注記

• このページのステップでは、独自の IP アドレス範囲を Amazon EC2 でのみ使用する方法について説明します。

• AWS Global Acceleratorで使用するために独自の IP アドレス範囲を使用するには、「AWS Global Accelerator デベロッパーガイド」の「独自 IP アドレス (BYOIP) の使用」を参照してください。

• Amazon VPC IP Address Manager で使用する独自の IP アドレス範囲を導入するには、「Amazon VPC IPAM ユーザーガイド」の「チュートリアル: BYOIP アドレス CIDR を IPAM へ」を参照してください。

BYOIP の定義

• X.509 自己署名証明書 — ネットワーク内のデータを暗号化および認証するために最も一般的に使用される証明書標準。これは、RDAP レコードからの IP スペースの制御を検証するために AWS によって使用される証明書です。X.509 証明書の詳細については、「RFC 3280」を参照してください。

• AS 番号 (ASN) — 明確に定義された単一のルーティングポリシーを維持する 1 つ以上のネットワークオペレーターによって実行される IP プレフィックスのグループを定義するグローバル一意識別子。

• 地域インターネットレジストリ (RIR) — 世界のある地域内の IP アドレスと ASN の割り当てと登録を管理する組織。

• レジストリデータアクセスプロトコル (RDAP) — RIR 内の現在の登録データを照会する、読み取り専用プロトコルです。クエリされた RIR データベース内のエントリは「RDAP レコード」と呼ばれます。特定のレコードタイプは、RIR が提供するメカニズムを使用して顧客により更新される必要があります。これらのレコードは、RIR 内のアドレス空間の制御を確認するために AWS によりクエリされます。

• Route Origin Authorization (ROA) — お客様が特定の自律システムで IP アドバタイズメントを認証するために RIR によって作成されたオブジェクト。概要については、ARIN ウェブサイトの「Route Origin Authorizations (ROAs)」(ルートオリジン認証 (ROA)) を参照してください。

• ローカルインターネットレジストリ (LIR) — RIR からの IP アドレスのブロックをお客様に割り当てるインターネットサービスプロバイダーなどの組織。

要件とクォータ

• アドレス範囲は、地域インターネットレジストリ (RIR) に登録する必要があります。地理的リージョンに関するポリシーについては、RIR を参照してください。BYOIP は、現在、American Registry for Internet Numbers (ARIN)、Réseaux IP Européens Network Coordination Centre (RIPE) または Asia-Pacific Network Information Centre (APNIC) への登録をサポートしています。アドレス範囲は、事業体または機関エンティティについて登録を受ける必要があり、個人については登録を受けられない場合があります。

• 取得できる最も具体的な IPv4 アドレス範囲は /24 です。

• 提供できる最も具体的な IPv6 アドレス範囲は、パブリックにアドバタイズ可能な CIDR の場合は /48、パブリックにアドバタイズ可能でない CIDR の場合は /56 です。

• ROA はパブリックにアドバタイズ可能でない CIDR 範囲には必要ありませんが、RDAP レコードは更新する必要があります。

• 各アドレス範囲は、一度に 1 つの AWS リージョンで使用できます。

• AWS リージョンごとに合計 5 つの BYOIP IPv4 および IPv6 アドレス範囲を AWS アカウントに取り込むことができます。Service Quotas コンソールを使用して BYOIP CIDR のクォータを調整することはできませんが、「AWS 全般のリファレンス」の「AWS サービスクォータ」で説明されているように、AWS サポートセンターに連絡してクォータの引き上げをリクエストすることはできます。

• Amazon VPC IP Address Manager (IPAM) を使用し、IPAM と AWS RAM Organizationsを統合しない限り、AWS を使用する他のアカウントとIPアドレス範囲を共有することはできません。詳細については、Amazon VPC IP アドレス管理ユーザーガイドのAWS Organizations と IPAM を統合するを参照してください。

• IP アドレス範囲内のアドレスには、消去履歴が含まれている必要があります。弊社は、IP アドレス範囲に評価が低いまたは悪意のある挙動に関連付けられている IP アドレスが含まれている場合、当該範囲の評価を調査したり、当該範囲を拒否する権利を留保したりすることがあります。

• レガシーアドレススペース、つまり Regional Internet Registry (RIR) システムの形成前に Internet Assigned Numbers Authority's (IANA) の中央レジストリによって配布された IPv4 アドレススペースには、引き続き対応する ROA オブジェクトが必要です。

• LIR では、手動プロセスを使用してレコードを更新するのが一般的です。LIR によっては、デプロイに数日かかることがあります。

• 大規模な CIDR ブロックには、単一の ROA オブジェクトと RDP レコードが必要です。単一のオブジェクトとレコードを使用して、その範囲から AWS まで (複数の AWS リージョンにまたがることもできます) 複数の小さな CIDR ブロックを使用できます。

• BYOIP は、Wavelength Zones または AWS Outposts ではサポートされていません。

• RADb やその他の IRR の BYOIP を手動で変更しないでください。BYOIP は RADb を自動的に更新します。BYOIP ASN を含む手動変更を行うと、BYOIP プロビジョニング操作が失敗します。

• IPv4 アドレス範囲を AWS に設定すると、最初のアドレス (ネットワークアドレス) と最後のアドレス (ブロードキャストアドレス) を含む、範囲内のすべての IP アドレスを使用できます。

BYOIP アドレス範囲のオンボーディングの前提条件

BYOIP のオンボーディングプロセスには 2 つのフェーズがあり、そのためには 3 つのステップを実行する必要があります。これらの手順は、次の図に示す手順に対応しています。このドキュメントには手動のステップが含まれていますが、RIR はこれらのステップをサポートするマネージドサービスを提供している場合があります。

準備フェーズ

1. 認証のために、プライベートキーを作成し、それを使用して自己署名 X.509 証明書を生成します。この証明書は、プロビジョニング段階でのみ使用されます。

RIR 設定フェーズ

2. 自己署名証明書を RDAP レコードのコメントにアップロードします。

3. RIR に ROA オブジェクトを作成します。ROA は、目的のアドレス範囲、アドレス範囲のアドバタイズを許可する自律システム番号 (ASN)、および RIR の Resource Public Key Infrastructure (RPKI) に登録する有効期限を定義します。

注記

パブリックにアドバタイズ可能でない IPv6 アドレス空間には、ROA は必要ありません。

複数のアドレス範囲を使用する場合は、それぞれの不連続のアドレス範囲に対し、このプロセスを繰り返します。ただし、連続したブロックを複数の異なる AWS リージョンに分割する場合は、準備の手順と RIR 設定手順を繰り返す必要はありません。

新しくアドレス範囲を追加しても、以前に追加済みのアドレス範囲には影響を与えません。

重要

アドレス範囲をオンボーディングする前に、次の前提条件を満たしていることを確認してください。このセクションのタスクには Linux ターミナルが必要で、Linux、AWS CloudShell、または Windows Subsystem for Linux を使用して実行できます。

1. プライベートキーを作成し、X.509 証明書を生成します。

次の手順を使用して、自己署名 X509 証明書を作成し、RIR の RDAP レコードに追加します。RIR を使用してアドレス範囲を認証するには、このキーペアを使用します。openssl コマンドには、OpenSSL バージョン 1.0.2 以降が必要です。

次のコマンドをコピーし、プレースホルダー値 (色付きの斜体テキスト) のみを置換します。

この手順では、プライベート RSA キーを暗号化し、アクセスするためにパスフレーズを要求するベストプラクティスに従います。

1. 以下に示すように RSA 2048 ビットのプライベートキーを生成します。

   $ openssl genpkey -aes256 -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out private-key.pem

   -aes256 パラメータは、プライベートキーの暗号化に使用されるアルゴリズムを指定します。コマンドの出力は次の通りです。これには、パスフレーズを設定するためのプロンプトが含まれます。

   ......+++
   .+++
   Enter PEM pass phrase: xxxxxxx
   Verifying - Enter PEM pass phrase: xxxxxxx

   次のコマンドを使用して、キーを検査します。

   $ openssl pkey -in private-key.pem -text

   これは、次のようなパスフレーズプロンプトとキーの内容を返します。

   Enter pass phrase for private-key.pem: xxxxxxx
   -----BEGIN PRIVATE KEY-----
   MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQDFBXHRI4HVKAhh
   3seiciooizCRTbJe1+YsxNTja4XyKypVGIFWDGhZs44FCHlPOOSVJ+NqP74w96oM
   7DPS3xo9kaQyZBFn2YEp2EBq5vf307KHNRmZZUmkn0zHOSEpNmY2fMxISBxewlxR
   FAniwmSd/8TDvHJMY9FvAIvWuTsv5l0tJKk+a91K4+tO3UdDR7Sno5WXExfsBrW3
   g1ydo3TBsx8i5/YiVOcNApy7ge2/FiwY3aCXJB6r6nuF6H8mRgI4r4vkMRsOlAhJ
   DnZPNeweboo+K3Q3lwbgbmOKD/z9svk8N/+hUTBtIX0fRtbG+PLIw3xWRHGrMSn2
   BzsPVuDLAgMBAAECggEACiJUj2hfJkKv47Dc3es3Zex67A5uDVjXmxfox2Xhdupn
   fAcNqAptV6fXt0SPUNbhUxbBKNbshoJGufFwXPli1SXnpzvkdU4Hyco4zgbhXFsE
   RNYjYfOGzTPwdBLpNMB6k3Tp4RHse6dNrlH0jDhpioL8cQEBdBJyVF5X0wymEbmV
   mC0jgH/MxsBAPWW6ZKicg9ULMlWiAZ3MRAZPjHHgpYkAAsUWKAbCBwVQcVjGO59W
   jfZjzTX5pQtVVH68ruciH88DTZCwjCkjBhxg+OIkJBLE5wkh82jIHSivZ63flwLw
   z+E0+HhELSZJrn2MY6Jxmik3qNNUOF/Z+3msdj2luQKBgQDjwlC/3jxp8zJy6P8o
   JQKv7TdvMwUj4VSWOHZBHLv4evJaaia0uQjIo1UDa8AYitqhX1NmCCehGH8yuXj/
   v6V3CzMKDkmRr1NrONnSz5QsndQ04Z6ihAQlPmJ96g4wKtgoC7AYpyP0g1a+4/sj
   b1+o3YQI4pD/F71c+qaztH7PRwKBgQDdc23yNmT3+Jyptf0fKjEvONK+xwUKzi9c
   L/OzBq5yOIC1Pz2T85gOe1i8kwZws+xlpG6uBT6lmIJELd0k59FyupNu4dPvX5SD
   6GGqdx4jk9KvI74usGeOBohmF0phTHkrWKBxXiyT0oS8zjnJlEn8ysIpGgO28jjr
   LpaHNZ/MXQKBgQDfLNcnS0LzpsS2aK0tzyZU8SMyqVHOGMxj7quhneBq2T6FbiLD
   T9TVlYaGNZ0j71vQaLI19qOubWymbautH0Op5KV8owdf4+bf1/NJaPIOzhDUSIjD
   Qo01WW31Z9XDSRhKFTnWzmCjBdeIcajyzf10YKsycaAW9lItu8aBrMndnQKBgQDb
   nNp/JyRwqjOrNljk7DHEs+SD39kHQzzCfqd+dnTPv2sc06+cpym3yulQcbokULpy
   fmRo3bin/pvJQ3aZX/Bdh9woTXqhXDdrrSwWInVYMQPyPk8f/D9mIOJp5FUWMwHD
   U+whIZSxsEeE+jtixlWtheKRYkQmzQZXbWdIhYyI3QKBgD+F/6wcZ85QW8nAUykA
   3WrSIx/3cwDGdm4NRGct8ZOZjTHjiy9ojMOD1L7iMhRQ/3k3hUsin5LDMp/ryWGG
   x4uIaLat40kiC7T4I66DM7P59euqdz3w0PD+VU+h7GSivvsFDdySUt7bNK0AUVLh
   dMJfWxDN8QV0b5p3WuWH1U8B
   -----END PRIVATE KEY-----
   Private-Key: (2048 bit)
   modulus:
       00:c5:05:71:d1:23:81:d5:28:08:61:de:c7:a2:72:
       2a:28:8b:30:91:4d:b2:5e:d7:e6:2c:c4:d4:e3:6b:
       85:f2:2b:2a:55:18:81:56:0c:68:59:b3:8e:05:08:
       79:4f:38:e4:95:27:e3:6a:3f:be:30:f7:aa:0c:ec:
       33:d2:df:1a:3d:91:a4:32:64:11:67:d9:81:29:d8:
       40:6a:e6:f7:f7:d3:b2:87:35:19:99:65:49:a4:9f:
       4c:c7:39:21:29:36:66:36:7c:cc:48:48:1c:5e:c2:
       5c:51:14:09:e2:c2:64:9d:ff:c4:c3:bc:72:4c:63:
       d1:6f:00:8b:d6:b9:3b:2f:e6:5d:2d:24:a9:3e:6b:
       dd:4a:e3:eb:4e:dd:47:43:47:b4:a7:a3:95:97:13:
       17:ec:06:b5:b7:83:5c:9d:a3:74:c1:b3:1f:22:e7:
       f6:22:54:e7:0d:02:9c:bb:81:ed:bf:16:2c:18:dd:
       a0:97:24:1e:ab:ea:7b:85:e8:7f:26:46:02:38:af:
       8b:e4:31:1b:0e:94:08:49:0e:76:4f:35:ec:1e:6e:
       8a:3e:2b:74:37:97:06:e0:6e:63:8a:0f:fc:fd:b2:
       f9:3c:37:ff:a1:51:30:6d:21:7d:1f:46:d6:c6:f8:
       f2:c8:c3:7c:56:44:71:ab:31:29:f6:07:3b:0f:56:
       e0:cb
   publicExponent: 65537 (0x10001)
   privateExponent:
       0a:22:54:8f:68:5f:26:42:af:e3:b0:dc:dd:eb:37:
       65:ec:7a:ec:0e:6e:0d:58:d7:9b:17:e8:c7:65:e1:
       76:ea:67:7c:07:0d:a8:0a:6d:57:a7:d7:b7:44:8f:
       50:d6:e1:53:16:c1:28:d6:ec:86:82:46:b9:f1:70:
       5c:f9:62:d5:25:e7:a7:3b:e4:75:4e:07:c9:ca:38:
       ce:06:e1:5c:5b:04:44:d6:23:61:f3:86:cd:33:f0:
       74:12:e9:34:c0:7a:93:74:e9:e1:11:ec:7b:a7:4d:
       ae:51:f4:8c:38:69:8a:82:fc:71:01:01:74:12:72:
       54:5e:57:d3:0c:a6:11:b9:95:98:2d:23:80:7f:cc:
       c6:c0:40:3d:65:ba:64:a8:9c:83:d5:0b:32:55:a2:
       01:9d:cc:44:06:4f:8c:71:e0:a5:89:00:02:c5:16:
       28:06:c2:07:05:50:71:58:c6:3b:9f:56:8d:f6:63:
       cd:35:f9:a5:0b:55:54:7e:bc:ae:e7:22:1f:cf:03:
       4d:90:b0:8c:29:23:06:1c:60:f8:e2:24:24:12:c4:
       e7:09:21:f3:68:c8:1d:28:af:67:ad:df:97:02:f0:
       cf:e1:34:f8:78:44:2d:26:49:ae:7d:8c:63:a2:71:
       9a:29:37:a8:d3:54:38:5f:d9:fb:79:ac:76:3d:a5:
       b9
   prime1:
       00:e3:c2:50:bf:de:3c:69:f3:32:72:e8:ff:28:25:
       02:af:ed:37:6f:33:05:23:e1:54:96:38:76:41:1c:
       bb:f8:7a:f2:5a:6a:26:b4:b9:08:c8:a3:55:03:6b:
       c0:18:8a:da:a1:5f:53:66:08:27:a1:18:7f:32:b9:
       78:ff:bf:a5:77:0b:33:0a:0e:49:91:af:53:6b:38:
       d9:d2:cf:94:2c:9d:d4:34:e1:9e:a2:84:04:25:3e:
       62:7d:ea:0e:30:2a:d8:28:0b:b0:18:a7:23:f4:83:
       56:be:e3:fb:23:6f:5f:a8:dd:84:08:e2:90:ff:17:
       bd:5c:fa:a6:b3:b4:7e:cf:47
   prime2:
       00:dd:73:6d:f2:36:64:f7:f8:9c:a9:b5:fd:1f:2a:
       31:2f:38:d2:be:c7:05:0a:ce:2f:5c:2f:f3:b3:06:
       ae:72:38:80:b5:3f:3d:93:f3:98:0e:7b:58:bc:93:
       06:70:b3:ec:65:a4:6e:ae:05:3e:a5:98:82:44:2d:
       dd:24:e7:d1:72:ba:93:6e:e1:d3:ef:5f:94:83:e8:
       61:aa:77:1e:23:93:d2:af:23:be:2e:b0:67:8e:06:
       88:66:17:4a:61:4c:79:2b:58:a0:71:5e:2c:93:d2:
       84:bc:ce:39:c9:94:49:fc:ca:c2:29:1a:03:b6:f2:
       38:eb:2e:96:87:35:9f:cc:5d
   exponent1:
       00:df:2c:d7:27:4b:42:f3:a6:c4:b6:68:ad:2d:cf:
       26:54:f1:23:32:a9:51:ce:18:cc:63:ee:ab:a1:9d:
       e0:6a:d9:3e:85:6e:22:c3:4f:d4:d5:95:86:86:35:
       9d:23:ef:5b:d0:68:b2:35:f6:a3:ae:6d:6c:a6:6d:
       ab:ad:1f:43:a9:e4:a5:7c:a3:07:5f:e3:e6:df:d7:
       f3:49:68:f2:0e:ce:10:d4:48:88:c3:42:8d:35:59:
       6d:f5:67:d5:c3:49:18:4a:15:39:d6:ce:60:a3:05:
       d7:88:71:a8:f2:cd:fd:74:60:ab:32:71:a0:16:f6:
       52:2d:bb:c6:81:ac:c9:dd:9d
   exponent2:
       00:db:9c:da:7f:27:24:70:aa:33:ab:36:58:e4:ec:
       31:c4:b3:e4:83:df:d9:07:43:3c:c2:7e:a7:7e:76:
       74:cf:bf:6b:1c:d3:af:9c:a7:29:b7:ca:e9:50:71:
       ba:24:50:ba:72:7e:64:68:dd:b8:a7:fe:9b:c9:43:
       76:99:5f:f0:5d:87:dc:28:4d:7a:a1:5c:37:6b:ad:
       2c:16:22:75:58:31:03:f2:3e:4f:1f:fc:3f:66:20:
       e2:69:e4:55:16:33:01:c3:53:ec:21:21:94:b1:b0:
       47:84:fa:3b:62:c6:55:ad:85:e2:91:62:44:26:cd:
       06:57:6d:67:48:85:8c:88:dd
   coefficient:
       3f:85:ff:ac:1c:67:ce:50:5b:c9:c0:53:29:00:dd:
       6a:d2:23:1f:f7:73:00:c6:76:6e:0d:44:67:2d:f1:
       93:99:8d:31:e3:8b:2f:68:8c:c3:83:d4:be:e2:32:
       14:50:ff:79:37:85:4b:22:9f:92:c3:32:9f:eb:c9:
       61:86:c7:8b:88:68:b6:ad:e3:49:22:0b:b4:f8:23:
       ae:83:33:b3:f9:f5:eb:aa:77:3d:f0:d0:f0:fe:55:
       4f:a1:ec:64:a2:be:fb:05:0d:dc:92:52:de:db:34:
       ad:00:51:52:e1:74:c2:5f:5b:10:cd:f1:05:74:6f:
       9a:77:5a:e5:87:d5:4f:01
   

   プライベートキーは、使用しないときは安全な場所に保管してください。

2. 以前のステップで作成したプライベートキーを使用して、X.509 証明書を生成します。この例では、証明書は 365 日で期限切れになり、それ以降は信頼されません。有効期限は適切に設定してください。証明書は、プロビジョニングプロセスの間のみ有効である必要があります。プロビジョニングが完了したら、RIR の記録から証明書を削除できます。tr -d "\n" コマンドは、出力から改行文字 (改行) を削除します。プロンプトが表示されたら、共通名を指定する必要がありますが、その他のフィールドは空白のままにしておくことができます。

   $ openssl req -new -x509 -key private-key.pem -days 365 | tr -d "\n" > certificate.pem

   この結果、次のような出力が得られます。

   Enter pass phrase for private-key.pem: xxxxxxx
   You are about to be asked to enter information that will be incorporated
   into your certificate request.
   What you are about to enter is what is called a Distinguished Name or a DN.
   There are quite a few fields but you can leave some blank
   For some fields there will be a default value,
   If you enter '.', the field will be left blank.
   -----
   Country Name (2 letter code) []:
   State or Province Name (full name) []:
   Locality Name (eg, city) []:
   Organization Name (eg, company) []:
   Organizational Unit Name (eg, section) []:
   Common Name (eg, fully qualified host name) []:example.com
   Email Address []:

   注記

   AWS プロビジョニングには共通名は必要ありません。内部ドメイン名またはパブリックドメイン名は任意です。

   次のコマンドを使用して、証明書を取得できます。

   $ cat certificate.pem

   出力は、改行のない長い PEM エンコード文字列で、先頭が -----BEGIN CERTIFICATE----- で、その後に -----END CERTIFICATE----- が続きます。

2. X.509 証明書を RIR の RDAP レコードにアップロードする

以前に作成した証明書を、RIR の RDAP レコードに追加します。エンコードされた部分の前後の -----BEGIN CERTIFICATE----- および -----END CERTIFICATE----- 文字列を、必ず含めます。このコンテンツはすべて、長い 1 行にする必要があります。RDAP を更新する手順は、ご使用の RIR によって異なります。

• ARIN の場合は、Account Manager ポータルを使用して、アドレス範囲を表す「ネットワーク情報」オブジェクトの「パブリックコメント」セクションに証明書を追加してください。組織の [comments] セクションには追加しないでください。

• RIPE の場合は、証明書を新しい「descr」フィールドとして、アドレス範囲を表す「inetnum」または「inet6num」オブジェクトに追加します。これらは通常、RIPE Database ポータルの「マイリソース」セクションにあります。組織の [コメント] セクションや上記オブジェクトの「備考」フィールドには追加しないでください。

• APNIC の場合は、証明書を電子メールで helpdesk@apnic.net に送信し、アドレス範囲の "remarks" フィールドに手動で追加します。APNIC の IP アドレスに関する正規連絡先に電子メールを送信します。

以下のプロビジョニング段階が完了したら、RIR の記録から証明書を削除できます。

3. RIR に ROA オブジェクトを作成する

アドレス範囲をアドバタイズするために Amazon ASN 16509 および 14618 を承認し、また、アドレス範囲をアドバタイズすることが現在許可されている ASN も承認するために、ROA オブジェクトを作成します。AWS GovCloud (US) Regions については、16509 および 14618 ではなく ASN 8987 を承認してください。持ち込む CIDR のサイズに最大長を設定する必要があります。持ち込める最も具体的な IPv4 プレフィクスは /24 です。提供できる最も具体的な IPv6 アドレス範囲は、パブリックにアドバタイズ可能な CIDR の場合は /48、パブリックにアドバタイズ可能でない CIDR の場合は /56 です。

重要

Amazon VPC IP Address Manager (IPAM) 用の ROA オブジェクトを作成する場合、ROA を作成するときには、IPv4 CIDR に対して、/24 のIP アドレスのプレフィックスの最大長を設定する必要があります。IPv6 CIDR については、アドバタイズ可能なプールに追加する場合、IP アドレスのプレフィックスの最大長は /48 である必要があります。これにより、パブリック IP アドレスを AWS リージョンごとに分割して利用する柔軟性がもたらされます。IPAM では、設定した最大長が適用されます。IPAM への BYOIP アドレスの詳細については、Amazon VPC IPAM ユーザーガイド の「チュートリアル: IPAM への BYOIP アドレス CIDR」を参照してください。

ROA が Amazon で使用できるようになるまで最大 24 時間かかる場合があります。詳細については、RIRを参照してください。

• ARIN — ROA のリクエスト数

• RIPE — ROA の管理

• APNIC— 経路管理

アドバタイズメントをオンプレミスのワークロードから AWS に移行する場合は、Amazon の ASN の ROA を作成する前に、既存の ASN 向けの ROA を作成する必要があります。これを行わないと、既存のルーティングとアドバタイズメントに影響を与える可能性があります。

重要

Amazon がお客様の IP アドレス範囲をアドバタイズし、引き続きアドバタイズするには、Amazon ASN の ROA が上記のガイドラインに準拠している必要があります。お客様の ROA が無効であるか、上記のガイドラインに準拠していない場合、Amazon はお客様の IP アドレス範囲のアドバタイズを停止する権利を留保します。

注記

このステップは、パブリックにアドバタイズ可能でない IPv6 アドレス空間には必要ありません。

BYOIP をオンボーディングする

BYOIP のオンボーディングプロセスには、ニーズに応じて次のタスクがあります。

タスク

• AWS でパブリックにアドバタイズ可能なアドレス範囲をプロビジョニングする
• パブリックにアドバタイズ可能でない IPv6 アドレス範囲をプロビジョニングする
• AWS を通じてアドレス範囲をアドバタイズする
• アドレス範囲のプロビジョニング解除

AWS でパブリックにアドバタイズ可能なアドレス範囲をプロビジョニングする

AWS で使用するアドレス範囲をプロビジョニングする場合は、当該範囲の管理者であることを証明し、Amazon による当該範囲のアドバタイズを承認します。また、署名済みの認可メッセージを使用して、アドレス範囲を管理していることを確認します。このメッセージは、X.509 証明書で RDAP レコードを更新するときに使用した自己署名 X.509 キーペアで署名されます。AWS には、RIR に提示する暗号署名付き認可メッセージが必要です。RIR は、RDAP に追加した証明書に対して署名を認証し、ROA に対して認証の詳細をチェックします。

アドレス範囲をプロビジョニングするには

1. メッセージを構成する

   プレーンテキスト認可メッセージを作成します。メッセージの形式は以下のとおりです。日付はメッセージの有効期限日になります。

   1|aws|account|cidr|YYYYMMDD|SHA256|RSAPSS

   アカウント番号、アドレス範囲、および有効期限日を独自の値に置き換え、次のようなメッセージを作成します。

   text_message="1|aws|0123456789AB|198.51.100.0/24|20211231|SHA256|RSAPSS"

   これは ROA メッセージと外観が似ているので、混同しないでください。

2. メッセージに署名する

   以前に作成したプライベートキーを使用して、プレーンテキストメッセージに署名します。このコマンドが返す署名は長い文字列となります。また、次の手順で使用する必要があります。

   重要

   このコマンドをコピーして貼り付けることをお勧めします。メッセージの内容を除いて、いずれの値も変更または置換しないでください。

   signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")

3. アドレスのプロビジョニング

   AWS CLIprovision-byoip-cidr コマンドを使用して、アドレス範囲をプロビジョニングします。--cidr-authorization-context オプションは、以前に作成したメッセージと署名の文字列を使用します。

   重要

   AWS CLI 設定 Default region name と異なる場合に BYOIP 範囲をプロビジョニングする AWS リージョンを指定する必要があります。

   aws ec2 provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message" --region us-east-1

   アドレス範囲のプロビジョニングは非同期オペレーションであるため、呼び出しはすぐに戻りますが、アドレスの範囲は、そのステータスが pending-provision から provisioned に変わるまで使用できません。

4. 進行状況をモニタリングする

   ほとんどのプロビジョニングは 2 時間以内に完了しますが、パブリックにアドバタイズ可能な範囲のプロビジョニングプロセスが完了するまでに最大 1 週間かかる場合があります。この例のように、describe-byoip-cidrs コマンドを使用して進行状況をモニタリングします。

   aws ec2 describe-byoip-cidrs --max-results 5 --region us-east-1

   プロビジョニング中に問題が発生してステータスが failed-provision になった場合は、問題の解決後に provision-byoip-cidr コマンドを再度実行する必要があります。

パブリックにアドバタイズ可能でない IPv6 アドレス範囲をプロビジョニングする

デフォルトでは、アドレス範囲はインターネットにパブリックにアドバタイズ可能になるようにプロビジョニングされます。パブリックにアドバタイズ可能でない IPv6 アドレス範囲をプロビジョニングできます。パブリックにアドバタイズできないルートの場合、プロビジョニングプロセスは通常、数分以内に完了します。非パブリックアドレス範囲の IPv6 CIDR ブロックを VPC に関連付ける場合、IPv6 CIDR には、AWS Direct Connect、AWS Site-to-Site VPN、Amazon VPC トランジットゲートウェイなどの IPv6 をサポートするハイブリッド接続オプションを介してのみアクセスできます。

非パブリックアドレス範囲をプロビジョニングする場合、ROA は必要ありません。

重要

• ユーザーは、プロビジョニング中にアドレス範囲がパブリックにアドバタイズ可能かどうかのみ指定できます。アドバタイズ可能なステータスは、後で変更できません。

• Amazon VPC は、ユニークローカルアドレス (ULA) CIDR をサポートしていません。すべての VPC には一意の IPv6 CIDR が必要です。2 つの VPC が同じ IPv6 CIDR 範囲を持つことはできません。

パブリックにアドバタイズ可能でない IPv6 アドレス範囲をプロビジョニングするには、次の provision-byoip-cidr コマンドを使用します。

aws ec2 provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message" --no-publicly-advertisable --region us-east-1

AWS を通じてアドレス範囲をアドバタイズする

アドレス範囲をプロビジョニングすると、公開することができるようになります。プロビジョンした正確なアドレス範囲をアドバタイズする必要があります。プロビジョンしたアドレス範囲の一部のみアドバタイズすることはできません。

パブリックにアドバタイズされない IPv6 アドレス範囲をプロビジョニングした場合、このステップを実行する必要はありません。

AWS からアドバタイズする前に、アドレス範囲またはその範囲の一部を他の場所からアドバタイズするのを停止することをお勧めします。他の場所から IP アドレス範囲またはその一部をアドバタイズし続ける場合は、当社でその IP アドレス範囲を高い信頼性でサポートしたり、問題をトラブルシューティングすることができなくなります。具体的には、そのアドレス範囲またはその範囲の一部へのトラフィックが当社のネットワークに入るのを保証できません。

ダウンタイムを最小限に抑えるには、アドレス範囲がアドバタイズされる前にご使用のアドレスプールからアドレスを使用するように AWS リソースを設定してから、同時に現在の場所からのアドバタイズを停止して、AWS からのアドバタイズを開始します。アドレスプールからの Elastic IP アドレスの割り当ての詳細については、Elastic IP アドレスを割り当てるを参照してください。

制限事項

• アドレス範囲が毎回異なる場合でも、advertise-byoip-cidr コマンドは 10 秒ごとに最大 1 回しか実行できません。

• アドレス範囲が毎回異なる場合でも、withdraw-byoip-cidr コマンドは 10 秒ごとに最大 1 回しか実行できません。

アドレス範囲を公開するには、以下のadvertise-byoip-cidrコマンドを使用します。

aws ec2 advertise-byoip-cidr --cidr address-range --region us-east-1

アドレス範囲の公開を停止するには、以下のwithdraw-byoip-cidrコマンドを使用します。

aws ec2 withdraw-byoip-cidr --cidr address-range --region us-east-1

アドレス範囲のプロビジョニング解除

AWS でアドレス範囲の使用を停止するには、まず Elastic IP アドレスをリリースし、アドレスプールからまだ割り当てられている IPv6 CIDR ブロックの関連付けを解除します。次に、アドレス範囲のアドバタイズを停止し、最後にアドレス範囲のプロビジョニングを解除します。

アドレス範囲のプロビジョニングを部分的に解除することはできません。AWS でより具体的なアドレス範囲を使用する場合は、アドレス範囲全体のプロビジョニングを解除し、より具体的なアドレス範囲をプロビジョニングします。

(IPv4) 各 Elastic IP アドレスをリリースするには、以下の release-address コマンドを使用します。

aws ec2 release-address --allocation-id eipalloc-12345678abcabcabc --region us-east-1

(IPv6) IPv6 CIDR ブロックの関連付けを解除するには、次の disassociate-vpc-cidr-block コマンドを使用します。

aws ec2 disassociate-vpc-cidr-block --association-id vpc-cidr-assoc-12345abcd1234abc1 --region us-east-1

アドレス範囲の公開を停止するには、以下のwithdraw-byoip-cidrコマンドを使用します。

aws ec2 withdraw-byoip-cidr --cidr address-range --region us-east-1

アドレス範囲のプロビジョニングを解除するには、以下のdeprovision-byoip-cidrコマンドを使用します。

aws ec2 deprovision-byoip-cidr --cidr address-range --region us-east-1

アドレス範囲のプロビジョニングを解除するには、最長 1 日かかります。

アドレス範囲を操作する

ユーザーは、アカウントでプロビジョニングした IPv4 と IPv6 のアドレス範囲の表示と使用が可能です。

IPv4 アドレス範囲

IPv4 アドレスプールから Elastic IP アドレスを作成し、EC2 インスタンス、NAT ゲートウェイ、Network Load Balancer などの AWS リソースで使用できます。

アカウントでプロビジョニングした IPv4 アドレスプールに関する情報を表示するには、次の describe-public-ipv4-pools コマンドを使用します。

aws ec2 describe-public-ipv4-pools --region us-east-1

IPv4 アドレスプールから Elastic IP アドレスを作成するには、allocate-address コマンドを使用します。--public-ipv4-poolオプションを使用して、describe-byoip-cidrsが返すアドレスプールの ID を指定したり、--address オプションを使用して、プロビジョニングしたアドレス範囲からのアドレスを指定したりすることができます。

IPv6 アドレス範囲

アカウントでプロビジョニングした IPv6 アドレスプールに関する情報を表示するには、次の describe-ipv6-pools コマンドを使用します。

aws ec2 describe-ipv6-pools --region us-east-1

VPC を作成し、IPv6 アドレスプールから IPv6 CIDR を指定するには、次の create-vpc コマンドを使用します。Amazon が IPv6 アドレスプールから IPv6 CIDR を選択できるようにするには、[--ipv6-cidr-block] オプションを省略します。

aws ec2 create-vpc --cidr-block 10.0.0.0/16 --ipv6-cidr-block ipv6-cidr --ipv6-pool pool-id --region us-east-1

IPv6 アドレスプールからの IPv6 CIDR ブロックを VPC に関連付けるには、次の associate-vpc-cidr-block コマンドを使用します。Amazon が IPv6 アドレスプールから IPv6 CIDR を選択できるようにするには、[--ipv6-cidr-block] オプションを省略します。

aws ec2 associate-vpc-cidr-block --vpc-id vpc-123456789abc123ab --ipv6-cidr-block ipv6-cidr --ipv6-pool pool-id --region us-east-1

VPC および関連する IPv6 アドレスプール情報を表示するには、describe-vpcs コマンドを使用します。特定の IPv6 アドレスプールから関連付けられた IPv6 CIDR ブロックに関する情報を表示するには、次の get-associated-ipv6-pool-cidrs コマンドを使用します。

aws ec2 get-associated-ipv6-pool-cidrs --pool-id pool-id --region us-east-1

VPC から IPv6 CIDR ブロックの関連付けを解除すると、IPv6 アドレスプールに戻されます。

BYOIP を検証する

1. 自己署名 x.509 キーペアを検証する

   whois コマンドで、証明書がアップロードされており、かつ、有効であることを確認します。

   ARIN の場合、whois -h whois.arin.net r + 2001:0DB8:6172::/48 を使用してアドレス範囲の RDAP レコードを検索します。コマンド出力の NetRange (ネットワーク範囲) については、「Public Comments」セクションを確認してください。証明書は、アドレス範囲の「Public Comments」セクションに追加する必要があります。

   次のコマンドを使用して、証明書を含む Public Comments を検査できます。

   whois -h whois.arin.net r + 2001:0DB8:6172::/48 | grep Comments | grep BEGIN

   これにより、キーの内容を含む出力が返されます。これは次のようになります。

   Public Comments:
   -----BEGIN CERTIFICATE-----
   MIID1zCCAr+gAwIBAgIUBkRPNSLrPqbRAFP8RDAHSP+I1TowDQYJKoZIhvcNAQE
   LBQAwezELMAkGA1UEBhMCTloxETAPBgNVBAgMCEF1Y2tsYW5kMREwDwYDVQQHDA
   hBdWNrbGFuZDEcMBoGA1UECgwTQW1hem9uIFdlYiBTZXJ2aWNlczETMBEGA1UEC
   wwKQllPSVAgRGVtbzETMBEGA1UEAwwKQllPSVAgRGVtbzAeFw0yMTEyMDcyMDI0
   NTRaFw0yMjEyMDcyMDI0NTRaMHsxCzAJBgNVBAYTAk5aMREwDwYDVQQIDAhBdWN
   rbGFuZDERMA8GA1UEBwwIQXVja2xhbmQxHDAaBgNVBAoME0FtYXpvbiBXZWIgU2
   VydmljZXMxEzARBgNVBAsMCkJZT0lQIERlbW8xEzARBgNVBAMMCkJZT0lQIERlb
   W8wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCfmacvDp0wZ0ceiXXc
   R/q27mHI/U5HKt7SST4X2eAqufR9wXkfNanAEskgAseyFypwEEQr4CJijI/5hp9
   prh+jsWHWwkFRoBRR9FBtwcU/45XDXLga7D3stsI5QesHVRwOaXUdprAnndaTug
   mDPkD0vrl475JWDSIm+PUxGWLy+60aBqiaZq35wU/x+wXlAqBXg4MZK2KoUu27k
   Yt2zhmy0S7Ky+oRfRJ9QbAiSu/RwhQbh5Mkp1ZnVIc7NqnhdeIW48QaYjhMlUEf
   xdaqYUinzz8KpjfADZ4Hvqj9jWZ/eXo/9b2rGlHWkJsbhr0VEUyAGu1bwkgcdww
   3A7NjOxQbAgMBAAGjUzBRMB0GA1UdDgQWBBStFyujN6SYBr2glHpGt0XGF7GbGT
   AfBgNVHSMEGDAWgBStFyujN6SYBr2glHpGt0XGF7GbGTAPBgNVHRMBAf8EBTADA
   QH/MA0GCSqGSIb3DQEBCwUAA4IBAQBX6nn6YLhz521lfyVfxY0t6o3410bQAeAF
   08ud+ICtmQ4IO4A4B7zV3zIVYr0clrOOaFyLxngwMYN0XY5tVhDQqk4/gmDNEKS
   Zy2QkX4Eg0YUWVzOyt6fPzjOvJLcsqc1hcF9wySL507XQz76Uk5cFypBOzbnk35
   UkWrzA9KK97cXckfIESgK/k1N4ecwxwG6VQ8mBGqVpPpey+dXpzzzv1iBKN/VY4
   ydjgH/LBfdTsVarmmy2vtWBxwrqkFvpdhSGCvRDl/qdO/GIDJi77dmZWkh/ic90
   MNk1f38gs1jrCj8lThoar17Uo9y/Q5qJIsoNPyQrJRzqFU9F3FBjiPJF
   -----END CERTIFICATE-----

   RIPE の場合、whois -r -h whois.ripe.net 2001:0DB8:7269::/48 を使用してアドレス範囲の RDAP レコードを検索します。コマンド出力の inetnum オブジェクト (ネットワーク範囲) については、「descr」セクションを確認してください。証明書は、アドレス範囲の新しい descr フィールドとして追加する必要があります。

   次のコマンドを使用して、証明書を含む descr を検査できます。

   whois -r -h whois.ripe.net 2001:0DB8:7269::/48 | grep descr | grep BEGIN

   これにより、キーの内容を含む出力が返されます。これは次のようになります。

   descr:
   -----BEGIN CERTIFICATE-----MIID1zCCAr+gAwIBAgIUBkRPNSLrPqbRAFP8
   RDAHSP+I1TowDQYJKoZIhvcNAQELBQAwezELMAkGA1UEBhMCTloxETAPBgNVBAg
   MCEF1Y2tsYW5kMREwDwYDVQQHDAhBdWNrbGFuZDEcMBoGA1UECgwTQW1hem9uIF
   dlYiBTZXJ2aWNlczETMBEGA1UECwwKQllPSVAgRGVtbzETMBEGA1UEAwwKQllPS
   VAgRGVtbzAeFw0yMTEyMDcyMDI0NTRaFw0yMjEyMDcyMDI0NTRaMHsxCzAJBgNV
   BAYTAk5aMREwDwYDVQQIDAhBdWNrbGFuZDERMA8GA1UEBwwIQXVja2xhbmQxHDA
   aBgNVBAoME0FtYXpvbiBXZWIgU2VydmljZXMxEzARBgNVBAsMCkJZT0lQIERlbW
   8xEzARBgNVBAMMCkJZT0lQIERlbW8wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwg
   gEKAoIBAQCfmacvDp0wZ0ceiXXcR/q27mHI/U5HKt7SST4X2eAqufR9wXkfNanA
   EskgAseyFypwEEQr4CJijI/5hp9prh+jsWHWwkFRoBRR9FBtwcU/45XDXLga7D3
   stsI5QesHVRwOaXUdprAnndaTugmDPkD0vrl475JWDSIm+PUxGWLy+60aBqiaZq
   35wU/x+wXlAqBXg4MZK2KoUu27kYt2zhmy0S7Ky+oRfRJ9QbAiSu/RwhQbh5Mkp
   1ZnVIc7NqnhdeIW48QaYjhMlUEfxdaqYUinzz8KpjfADZ4Hvqj9jWZ/eXo/9b2r
   GlHWkJsbhr0VEUyAGu1bwkgcdww3A7NjOxQbAgMBAAGjUzBRMB0GA1UdDgQWBBS
   tFyujN6SYBr2glHpGt0XGF7GbGTAfBgNVHSMEGDAWgBStFyujN6SYBr2glHpGt0
   XGF7GbGTAPBgNVHRMBAf8EBTADAQH/MA0GCSqGSIb3DQEBCwUAA4IBAQBX6nn6Y
   Lhz521lfyVfxY0t6o3410bQAeAF08ud+ICtmQ4IO4A4B7zV3zIVYr0clrOOaFyL
   xngwMYN0XY5tVhDQqk4/gmDNEKSZy2QkX4Eg0YUWVzOyt6fPzjOvJLcsqc1hcF9
   wySL507XQz76Uk5cFypBOzbnk35UkWrzA9KK97cXckfIESgK/k1N4ecwxwG6VQ8
   mBGqVpPpey+dXpzzzv1iBKN/VY4ydjgH/LBfdTsVarmmy2vtWBxwrqkFvpdhSGC
   vRDl/qdO/GIDJi77dmZWkh/ic90MNk1f38gs1jrCj8lThoar17Uo9y/Q5qJIsoN
   PyQrJRzqFU9F3FBjiPJF
   -----END CERTIFICATE-----

   APNIC の場合、whois -h whois.apnic.net 2001:0DB8:6170::/48 を使用して BYOIP アドレス範囲の RDAP レコードを検索します。コマンド出力の inetnum オブジェクト (ネットワーク範囲) については、「remarks」セクションを確認してください。証明書は、アドレス範囲の新しい remarks フィールドとして追加する必要があります。

   次のコマンドを使用して、証明書を含む remarks を検査できます。

   whois -h whois.apnic.net 2001:0DB8:6170::/48 | grep remarks | grep BEGIN

   これにより、キーの内容を含む出力が返されます。これは次のようになります。

   remarks:
   -----BEGIN CERTIFICATE-----
   MIID1zCCAr+gAwIBAgIUBkRPNSLrPqbRAFP8RDAHSP+I1TowDQYJKoZIhvcNAQE
   LBQAwezELMAkGA1UEBhMCTloxETAPBgNVBAgMCEF1Y2tsYW5kMREwDwYDVQQHDA
   hBdWNrbGFuZDEcMBoGA1UECgwTQW1hem9uIFdlYiBTZXJ2aWNlczETMBEGA1UEC
   wwKQllPSVAgRGVtbzETMBEGA1UEAwwKQllPSVAgRGVtbzAeFw0yMTEyMDcyMDI0
   NTRaFw0yMjEyMDcyMDI0NTRaMHsxCzAJBgNVBAYTAk5aMREwDwYDVQQIDAhBdWN
   rbGFuZDERMA8GA1UEBwwIQXVja2xhbmQxHDAaBgNVBAoME0FtYXpvbiBXZWIgU2
   VydmljZXMxEzARBgNVBAsMCkJZT0lQIERlbW8xEzARBgNVBAMMCkJZT0lQIERlb
   W8wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCfmacvDp0wZ0ceiXXc
   R/q27mHI/U5HKt7SST4X2eAqufR9wXkfNanAEskgAseyFypwEEQr4CJijI/5hp9
   prh+jsWHWwkFRoBRR9FBtwcU/45XDXLga7D3stsI5QesHVRwOaXUdprAnndaTug
   mDPkD0vrl475JWDSIm+PUxGWLy+60aBqiaZq35wU/x+wXlAqBXg4MZK2KoUu27k
   Yt2zhmy0S7Ky+oRfRJ9QbAiSu/RwhQbh5Mkp1ZnVIc7NqnhdeIW48QaYjhMlUEf
   xdaqYUinzz8KpjfADZ4Hvqj9jWZ/eXo/9b2rGlHWkJsbhr0VEUyAGu1bwkgcdww
   3A7NjOxQbAgMBAAGjUzBRMB0GA1UdDgQWBBStFyujN6SYBr2glHpGt0XGF7GbGT
   AfBgNVHSMEGDAWgBStFyujN6SYBr2glHpGt0XGF7GbGTAPBgNVHRMBAf8EBTADA
   QH/MA0GCSqGSIb3DQEBCwUAA4IBAQBX6nn6YLhz521lfyVfxY0t6o3410bQAeAF
   08ud+ICtmQ4IO4A4B7zV3zIVYr0clrOOaFyLxngwMYN0XY5tVhDQqk4/gmDNEKS
   Zy2QkX4Eg0YUWVzOyt6fPzjOvJLcsqc1hcF9wySL507XQz76Uk5cFypBOzbnk35
   UkWrzA9KK97cXckfIESgK/k1N4ecwxwG6VQ8mBGqVpPpey+dXpzzzv1iBKN/VY4
   ydjgH/LBfdTsVarmmy2vtWBxwrqkFvpdhSGCvRDl/qdO/GIDJi77dmZWkh/ic90
   MNk1f38gs1jrCj8lThoar17Uo9y/Q5qJIsoNPyQrJRzqFU9F3FBjiPJF
   -----END CERTIFICATE-----

2. ROA オブジェクトの作成を検証する

   RIPEstat データ API コマンドを使用して、ROA オブジェクトが正常に作成されたことを検証します。Amazon ASN 16509 および 14618、ならびにそのアドレス範囲をアドバタイズすることが現在承認されている ASN に対して、アドレス範囲をテストしてください。

   次のコマンドを使用して、アドレス範囲で異なる Amazon ASN の ROA オブジェクトを検査できます。

   curl --location --request GET "https://stat.ripe.net/data/rpki-validation/data.json?resource=ASN&prefix=CIDR

   この出力例では、レスポンスには、Amazon ASN 16509 について "status": "valid" の結果があります。これは、アドレス範囲についての ROA オブジェクトが正常に作成されたことを示します。

   {
       "messages": [],
       "see_also": [],
       "version": "0.3",
       "data_call_name": "rpki-validation",
       "data_call_status": "supported",
       "cached": false,
       "data": {
           "validating_roas": [
               {
                   "origin": "16509",
                   "prefix": "2001:0DB8::/32",
                   "max_length": 48,
                   "validity": "valid"
               },
               {
                   "origin": "14618",
                   "prefix": "2001:0DB8::/32",
                   "max_length": 48,
                   "validity": "invalid_asn"
               },
               {
                   "origin": "64496",
                   "prefix": "2001:0DB8::/32",
                   "max_length": 48,
                   "validity": "invalid_asn"
               }
           ],
           "status": "valid",
           "validator": "routinator",
           "resource": "16509",
           "prefix": "2001:0DB8::/32"
       },
       "query_id": "20230224152430-81e6384e-21ba-4a86-852a-31850787105f",
       "process_time": 58,
       "server_id": "app116",
       "build_version": "live.2023.2.1.142",
       "status": "ok",
       "status_code": 200,
       "time": "2023-02-24T15:24:30.773654"
   }    
   

“unknown” の状態は、アドレス範囲についての ROA オブジェクトが作成されていないことを示します。“invalid_asn” の状態は、アドレス範囲についての ROA オブジェクトが正常に作成されなかったことを示します。

リージョナルな可用性

BYOIP 機能は現在、AWS中国リージョンを除くすべての商用リージョンで利用できます。

Local Zone の可用性

Local Zone は、地理的にユーザーに近い場所に位置する AWS リージョンを拡張したものです。Local Zones は「ネットワークボーダーグループ」にグループ化されます。AWS で、ネットワークボーダーグループは、AWS がパブリック IP アドレスをアドバタイズするアベイラビリティーゾーン (AZ)、Local Zones、Wavelength Zones のコレクションです。Local Zones は、AWS ネットワークとこれらのゾーンのリソースにアクセスするお客様との間のレイテンシーや物理的距離を最小限に抑えるために、AWS リージョン内の AZ とは異なるネットワークボーダーグループを持つ場合があります。

--network-border-group オプションを使用すると、以下の Local Zone ネットワークボーダーグループに BYOIPv4 アドレス範囲をプロビジョニングしてアドバタイズできます。

• us-east-1-dfw-2

• us-west-2-lax-1

• us-west-2-phx-2

Local Zones を有効にしている場合 (「Enable a Local Zone」を参照)、BYOIPv4 CIDR のプロビジョニングとアドバタイズをするときにネットワークボーダーグループを選択できます。EIP とそれが関連付けられている AWS リソースは同じネットワークボーダーグループに属している必要があるため、ネットワークボーダーグループは慎重に選択してください。

注記

現時点では、Local Zones で BYOIPv6 アドレス範囲をプロビジョニングまたはアドバタイズすることはできません。

詳細

詳細については、AWS オンラインテックトークの自分の IP アドレス使用の詳細を参照してください。