Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Incorporez votre plage d'adresses pour l'utiliser dans Amazon EC2
Le processus d'incorporation du BYOIP comprend les tâches suivantes, en fonction de vos besoins.
**Topics**
+ [Fournir une plage d'adresses publiable en AWS](#byoip-provision)
+ [Fournir une plage d' IPv6 adresses qui ne fait pas l'objet d'une publicité publique](#byoip-provision-non-public)
+ [Faites connaître la plage d'adresses via AWS](#byoip-advertise)
+ [Mise hors service de la plage d’adresses](#byoip-deprovision)
+ [Valider votre BYOIP](#byoip-validation)
## Fournir une plage d'adresses publiable en AWS
Lorsque vous configurez une plage d'adresses à utiliser avec AWS, vous confirmez que vous contrôlez la plage d'adresses et que vous autorisez Amazon à en faire la publicité. Nous vérifions également que vous contrôlez la plage d’adresses via un message d’autorisation signé. Ce message est signé avec la paire de clés X.509 auto-signée que vous avez utilisée lors de la mise à jour de l'enregistrement RDAP avec le certificat X.509. AWS nécessite un message d'autorisation signé cryptographiquement qu'il présente au RIR. Le RIR authentifie la signature par rapport au certificat que vous avez ajouté au RDAP et vérifie les détails d’autorisation par rapport au ROA.
**Pour allouer la plage d’adresses**
1.
**Composer un message**
Composez le message d’autorisation en texte brut. Le format du message est le suivant, où la date est la date d’expiration du message :
```
1|aws|account|cidr|YYYYMMDD|SHA256|RSAPSS
```
Remplacez le numéro de compte, la plage d’adresses et la date d’expiration par vos propres valeurs pour créer un message semblable au suivant :
```
text_message="1|aws|0123456789AB|198.51.100.0/24|20211231|SHA256|RSAPSS"
```
Cela ne doit pas être confondu avec un message ROA, qui a une apparence similaire.
1.
**Signer un message**
Signez le message en texte brut à l’aide de la clé privée que vous avez créée précédemment. La signature renvoyée par cette commande est une longue chaîne que vous devrez utiliser à l’étape suivante.
**Important**
Nous vous recommandons de copier et de coller cette commande. À l’exception du contenu du message, ne modifiez ni ne remplacez aucune des valeurs.
```
signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")
```
1.
**Approvisionner une adresse**
Utilisez la AWS CLI [provision-byoip-cidr](https://docs.aws.amazon.com/cli/latest/reference/ec2/provision-byoip-cidr.html)commande pour configurer la plage d'adresses. La commande `--cidr-authorization-context` utilise les chaînes de message et de signature que vous avez créées précédemment.
**Important**
[Vous devez spécifier la AWS région dans laquelle la plage BYOIP doit être provisionnée si elle est différente de votre configuration du. AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html) `Default region name`
```
aws ec2 provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message" --region us-east-1
```
La mise en service d’une plage d’adresses est une opération asynchrone : l’appel est immédiatement renvoyé, mais la plage d’adresses ne peut pas être utilisée tant que son statut ne bascule pas de `pending-provision` à `provisioned`.
1.
**Surveiller la progression**
Bien que la plupart des opérations de provisionnement soient achevées en deux heures, le processus de provisionnement peut prendre jusqu'à une semaine pour les plages annoncées publiquement. Utilisez la [describe-byoip-cidrs](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-byoip-cidrs.html)commande pour suivre les progrès, comme dans cet exemple :
```
aws ec2 describe-byoip-cidrs --max-results 5 --region us-east-1
```
S’il y a des problèmes pendant la mise en service et que l’état passe à `failed-provision`, vous devez exécuter à nouveau la commande `provision-byoip-cidr` une fois que les problèmes ont été résolus.
## Fournir une plage d' IPv6 adresses qui ne fait pas l'objet d'une publicité publique
Par défaut, une plage d’adresses est allouée pour être publiquement publiée sur Internet. Vous pouvez fournir une plage d' IPv6 adresses qui ne fera pas l'objet d'une publicité publique. Pour les acheminements qui ne sont pas publiquement annoncés, le processus d’approvisionnement se termine généralement en quelques minutes. [Lorsque vous associez un bloc d'adresse IPv6 CIDR provenant d'une plage d'adresses non publique à un VPC, le IPv6 CIDR n'est accessible que via des options de connectivité hybrides compatibles IPv6, telles que le [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)VPN [AWS Site-to-Site ou](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) les passerelles de transit Amazon VPC.](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
Un ROA n’est pas nécessaire pour fournir une plage d’adresses non publique.
**Important**
Vous ne pouvez spécifier si une plage d’adresses est publiquement publiée que pendant l’allocation. Vous ne pouvez pas modifier l’état annoncé ultérieurement.
Amazon VPC ne prend pas en charge les [adresses locales uniques](https://en.wikipedia.org/wiki/Unique_local_address) (ULA). CIDRs Tous VPCs doivent être uniques IPv6 CIDRs. Deux ne VPCs peuvent pas avoir la même plage d' IPv6 adresses CIDR.
Pour fournir une plage d' IPv6 adresses qui ne sera pas publiée publiquement, utilisez la [provision-byoip-cidr](https://docs.aws.amazon.com/cli/latest/reference/ec2/provision-byoip-cidr.html)commande suivante.
```
aws ec2 provision-byoip-cidr --cidr address-range --cidr-authorization-context Message="$text_message",Signature="$signed_message" --no-publicly-advertisable --region us-east-1
```
## Faites connaître la plage d'adresses via AWS
Une fois que la plage d’adresses est mise en service, elle est prête à être publiée. Vous devez publier la plage d’adresses exacte que vous avez mise en service. Vous ne pouvez pas publier seulement une portion de la plage d’adresses mise en service.
Si vous avez fourni une plage d' IPv6 adresses qui ne sera pas publiée publiquement, vous n'avez pas besoin de suivre cette étape.
Nous vous recommandons de cesser de faire de la publicité pour la plage d'adresses ou toute partie de cette plage depuis d'autres sites avant de la diffuser AWS. Si vous annoncez constamment votre plage d'adresses IP ou une partie de celle-ci depuis d'autres endroits, nous ne pourrons pas la prendre en charge de manière fiable ni résoudre les problèmes. Plus précisément, nous ne pouvons pas garantir que le trafic de la plage d'adresses ou d'une partie de la plage entrera dans notre réseau.
Pour minimiser les temps d'arrêt, vous pouvez configurer vos AWS ressources pour utiliser une adresse de votre pool d'adresses avant qu'elle ne soit publiée, puis arrêter de la publier depuis son emplacement actuel et commencer à en faire la publicité par le biais AWS de cette adresse. Pour plus d’informations sur l’allocation d’une adresse IP Elastic à partir de votre groupe d’adresses, consultez [allouer une adresse IP Elastic ;](working-with-eips.md#using-instance-addressing-eips-allocating).
**Limitations**
+ Vous pouvez exécuter la commande **advertise-byoip-cidr** au moins une fois tous les 10 secondes, même si vous spécifiez des plages d’adresses différentes à chaque fois.
+ Vous pouvez exécuter la commande **withdraw-byoip-cidr** au moins une fois tous les 10 secondes, même si vous spécifiez des plages d’adresses différentes à chaque fois.
Pour publier la plage d'adresses, utilisez la [advertise-byoip-cidr](https://docs.aws.amazon.com/cli/latest/reference/ec2/advertise-byoip-cidr.html)commande suivante.
```
aws ec2 advertise-byoip-cidr --cidr address-range --region us-east-1
```
Pour arrêter de publier la plage d'adresses, utilisez la [withdraw-byoip-cidr](https://docs.aws.amazon.com/cli/latest/reference/ec2/withdraw-byoip-cidr.html)commande suivante.
```
aws ec2 withdraw-byoip-cidr --cidr address-range --region us-east-1
```
## Mise hors service de la plage d’adresses
Pour arrêter d'utiliser votre plage d'adresses AWS, libérez d'abord toutes les adresses IP élastiques et dissociez les blocs IPv6 CIDR encore alloués du pool d'adresses. Ensuite, arrêtez la publicité de la plage d’adresses et enfin, mettez hors service la plage d’adresses.
Vous ne pouvez pas mettre hors service une partie de la plage d’adresses. Si vous souhaitez utiliser une plage d'adresses plus spécifique avec AWS, déprovisionnez l'ensemble de la plage d'adresses et configurez une plage d'adresses plus spécifique.
(IPv4) Pour libérer chaque adresse IP élastique, utilisez la commande [release-address](https://docs.aws.amazon.com/cli/latest/reference/ec2/release-address.html) suivante.
```
aws ec2 release-address --allocation-id eipalloc-12345678abcabcabc --region us-east-1
```
(IPv6) Pour dissocier un bloc IPv6 CIDR, utilisez la commande suivante [disassociate-vpc-cidr-block](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-vpc-cidr-block.html).
```
aws ec2 disassociate-vpc-cidr-block --association-id vpc-cidr-assoc-12345abcd1234abc1 --region us-east-1
```
Pour arrêter de publier la plage d'adresses, utilisez la [withdraw-byoip-cidr](https://docs.aws.amazon.com/cli/latest/reference/ec2/withdraw-byoip-cidr.html)commande suivante.
```
aws ec2 withdraw-byoip-cidr --cidr address-range --region us-east-1
```
Pour déprovisionner la plage d'adresses, utilisez la [deprovision-byoip-cidr](https://docs.aws.amazon.com/cli/latest/reference/ec2/deprovision-byoip-cidr.html)commande suivante.
```
aws ec2 deprovision-byoip-cidr --cidr address-range --region us-east-1
```
La mise hors service d’une plage d’adresses peut prendre jusqu’à un jour.
## Valider votre BYOIP
1. Valider la paire de clés x.509 auto-signée
Vérifiez que le certificat a été chargé et est valide via la commande whois.
Pour ARIN, utilisez `whois -h whois.arin.net r + 2001:0DB8:6172::/48` pour rechercher le registre RDAP pour votre plage d’adresses. Recherchez la `NetRange` (plage réseau) dans la section `Public Comments` dans la sortie de commande. Le certificat doit être ajouté dans la section `Public Comments` pour la plage d’adresses.
Vous pouvez inspecter le `Public Comments` contenant le certificat à l’aide de la commande suivante :
```
whois -h whois.arin.net r + 2001:0DB8:6172::/48 | grep Comments | grep BEGIN
```
Cela renvoie une sortie avec le contenu de la clé, qui devrait être similaire à ce qui suit :
```
Public Comments:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
```
Pour RIPE, utilisez `whois -r -h whois.ripe.net 2001:0DB8:7269::/48` pour rechercher le registre RDAP pour votre plage d’adresses. Recherchez l’object `inetnum` (plage réseau) dans la section `descr` dans la sortie de commande. Le certificat doit être ajouté en tant que nouveau champ `descr` pour la plage d’adresses.
Vous pouvez inspecter le `descr` contenant le certificat à l’aide de la commande suivante :
```
whois -r -h whois.ripe.net 2001:0DB8:7269::/48 | grep descr | grep BEGIN
```
Cela renvoie une sortie avec le contenu de la clé, qui devrait être similaire à ce qui suit :
```
descr:
-----BEGIN CERTIFICATE-----MIID1zCCAr+gAwIBAgIUBkRPNSLrPqbRAFP8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-----END CERTIFICATE-----
```
Pour APNIC, utilisez `whois -h whois.apnic.net 2001:0DB8:6170::/48` pour rechercher le registre RDAP pour votre plage d’adresses BYOIP. Recherchez l’object `inetnum` (plage réseau) dans la section `remarks` dans la sortie de commande. Le certificat doit être ajouté en tant que nouveau champ `remarks` pour la plage d’adresses.
Vous pouvez inspecter le `remarks` contenant le certificat à l’aide de la commande suivante :
```
whois -h whois.apnic.net 2001:0DB8:6170::/48 | grep remarks | grep BEGIN
```
Cela renvoie une sortie avec le contenu de la clé, qui devrait être similaire à ce qui suit :
```
remarks:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
```
1. Valider la création d’un objet ROA
Validez la création réussie des objets ROA à l'aide de l'API RIPEstat Data. Assurez-vous de tester votre plage d'adresses par rapport aux adresses Amazon ASNs 16509 et 14618, ainsi qu'à celles ASNs qui sont actuellement autorisées à faire de la publicité pour la plage d'adresses.
Vous pouvez inspecter les objets ROA provenant de différents Amazon ASNs avec votre plage d'adresses à l'aide de la commande suivante :
```
curl --location --request GET "https://stat.ripe.net/data/rpki-validation/data.json?resource=ASN&prefix=CIDR
```
Dans cet exemple de sortie, la réponse a un résultat de `"status": "valid"` pour l’ASN 16509 d’Amazon. Cela indique que l’objet ROA de la plage d’adresses a été créé avec succès :
```
{
"messages": [],
"see_also": [],
"version": "0.3",
"data_call_name": "rpki-validation",
"data_call_status": "supported",
"cached": false,
"data": {
"validating_roas": [
{
"origin": "16509",
"prefix": "2001:0DB8::/32",
"max_length": 48,
"validity": "valid"
},
{
"origin": "14618",
"prefix": "2001:0DB8::/32",
"max_length": 48,
"validity": "invalid_asn"
},
{
"origin": "64496",
"prefix": "2001:0DB8::/32",
"max_length": 48,
"validity": "invalid_asn"
}
],
"status": "valid",
"validator": "routinator",
"resource": "16509",
"prefix": "2001:0DB8::/32"
},
"query_id": "20230224152430-81e6384e-21ba-4a86-852a-31850787105f",
"process_time": 58,
"server_id": "app116",
"build_version": "live.2023.2.1.142",
"status": "ok",
"status_code": 200,
"time": "2023-02-24T15:24:30.773654"
}
```
Le statut `“unknown”` indique que l’objet ROA de la plage d’adresses n’a pas été créé. Le statut `“invalid_asn”` indique que l’objet ROA de la plage d’adresses n’a pas été créé avec succès.