Didacticiel : apporter votre ASN à l'IPAM - Amazon Virtual Private Cloud
Conditions préalables à l'onboarding de votre ASNÉtapes du didacticiel

Didacticiel : apporter votre ASN à l'IPAM

Si vos applications utilisent des adresses IP approuvées et des numéros de système autonome (ASN) que vos partenaires ou clients ont autorisés sur leur réseau, vous pouvez exécuter ces applications dans AWS sans demander à vos partenaires ou clients de modifier leurs listes d'autorisation.

Un numéro de système autonome (ASN) est un numéro globalement unique qui permet d'identifier un groupe de réseaux sur Internet et d'échanger des données de routage avec d'autres réseaux de manière dynamique à l'aide du Protocole Border Gateway. Les fournisseurs de services Internet (FSI), par exemple, utilisent des ASN pour identifier la source du trafic réseau. Toutes les organisations n'achètent pas leur propre ASN, mais celles qui le font peuvent apporter leur ASN à AWS.

Apportez votre propre numéro de système autonome (BYOASN) vous permet de publier les adresses IPv4 ou IPv6 que vous apportez à AWS avec votre propre ASN public au lieu de l’ASN AWS. Lorsque vous utilisez le BYOASN, le trafic provenant de votre adresse IP transporte votre ASN au lieu de l'ASN AWS et vos charges de travail sont accessibles aux clients ou aux partenaires qui ont autorisé le trafic répertorié en fonction de votre adresse IP et de votre ASN.

Important

  • Effectuez ce didacticiel en utilisant le compte administrateur IPAM dans la région d’accueil de votre IPAM.

  • Ce didacticiel suppose que vous possédez l'ASN public que vous souhaitez apporter à l'IPAM et que vous avez déjà apporté un CIDR BYOIP à AWS et l'avez provisionné dans un groupe dans votre portée publique. Vous pouvez apporter un ASN à l'IPAM à tout moment, mais pour l'utiliser, vous devez l'associer à un CIDR que vous avez ajouté à votre compte AWS. Ce tutoriel suppose que vous l'avez déjà fait. Pour plus d'informations, consultez Didacticiel : apporter vos adresses IP à IPAM.

  • Vous pouvez changer sans délai entre votre propre ASN publicitaire ou un ASN AWS, mais vous êtes limité à passer d'un ASN AWS à votre propre ASN une fois par heure.

  • Si votre CIDR BYOIP est publié actuellement, vous n'avez pas à le retirer de la publicité pour l'associer à votre ASN.

Conditions préalables à l'onboarding de votre ASN

Vous aurez besoin des éléments suivants pour suivre ce didacticiel :

  • Votre ASN public de 2 ou 4 octets.

  • Si vous avez déjà apporté une plage d’adresses IP à AWS avec Didacticiel : apporter vos adresses IP à IPAM, vous avez besoin de la plage d’adresses IP CIDR. Vous aurez également besoin d’une clé privée. Vous pouvez utiliser la clé privée que vous avez créée lorsque vous avez introduit la plage d’adresses IP CIDR dans AWS, ou vous pouvez créer une nouvelle clé privée comme décrit dans la section Create a private key and generate an X.509 certificate du Guide d’utilisation d’Amazon EC2.

  • Lorsque vous apportez une plage d’adresses IPv4 ou IPv6 à AWS avec Didacticiel : apporter vos adresses IP à IPAM, vous créez un certificat X.509 et vous chargez ce certificat X.509 dans le registre RDAP de votre RIR. Vous devez charger le même certificat que vous avez créé dans le registre RDAP de votre RIR pour l’ASN. Veillez à inclure le -----BEGIN CERTIFICATE----- and -----END CERTIFICATE----- avant et après la partie encodée. Tout ce contenu doit se trouver sur une seule et longue ligne. La procédure de mise à jour de RDAP dépend de votre RIR :

    • Pour ARIN, utilisez le portail du gestionnaire de compte pour ajouter le certificat dans la section « Commentaires publics » pour l’objet « Informations réseau » représentant votre ASN à l’aide de l’option « Modifier l’ASN ». Ne l’ajoutez pas à la section des commentaires de votre organisation.

    • Pour RIPE, ajoutez le certificat en tant que nouveau champ « descr » à l’objet « aut-num » représentant votre ASN. Vous les trouverez généralement dans la section « Mes ressources » du

      portail de la base de données RIPE . Ne l’ajoutez pas dans la section des commentaires de votre organisation ni dans le champ « remarques » de l’objet « aut-num ».

    • Pour l’APNIC, envoyez le certificat par e-mail à l’adresse helpdesk@apnic.net afin de l’ajouter manuellement au champ « remarques » de votre ASN. Envoyez l’e-mail en utilisant le contact autorisé APNIC pour l’ASN.

  • Lorsque vous apportez une plage d’adresses IP à IPAM, vous créez un ROA pour vérifier que vous contrôlez l’espace d’adresses IP que vous apportez à IPAM. En plus de ce ROA, vous devez avoir un deuxième ROA dans votre RIR avec l’ASN que vous apportez à IPAM. Si vous n’avez pas ce deuxième ROA pour l’ASN dans votre RIR, complétez 3. Créez un objet ROA dans votre RIR. Ignorez les autres étapes.

Étapes du didacticiel

Effectuez les étapes ci-dessous à l'aide de la console AWS ou de la AWS CLI.

AWS Management Console

  1. Ouvrez la console IPAM à partir de l'adresse https://console.aws.amazon.com/ipam/.

  2. Dans le panneau de navigation de gauche, sélectionnez IPAMs.

  3. Choisissez votre IPAM.

  4. Choisissez l'onglet BYOASNs, puis Provisionner BYOASNs.

  5. Saisissez l'ASN. Par conséquent, le champ Message est automatiquement renseigné avec le message que vous devrez vous connecter à l'étape suivante.

    • Le format du message est le suivant, où ACCOUNT est votre numéro de compte AWS, ASN est l'ASN que vous apportez à IPAM et AAAAMMJJ est la date d'expiration du message (qui par défaut est le dernier jour du mois suivant). Exemple :

      text_message="1|aws|ACCOUNT|ASN|YYYYMMDD|SHA256|RSAPSS"

  6. Copiez le message et remplacez la date d'expiration par votre propre valeur si vous le souhaitez.

  7. Signer le message à l’aide de la clé privée. Exemple :

    signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")

  8. Sous Signature, entrez la signature.

  9. (Facultatif) Pour provisionner un autre ASN, choisissez Provisionner un autre ASN. Vous pouvez provisionner jusqu'à 5 ASN. Pour augmenter ce quota, consultez Quotas pour votre IPAM.

  10. Choisissez Provisionner.

  11. Consultez le processus de provisionnement dans l'onglet BYOASNs. Attendez que l'État passe de Provisionnement en attente à Provisionné. Les BYOASN dont l'état est de Provisionnement échoué sont automatiquement supprimés au bout de 7 jours. Une fois que l'ASN est correctement provisionné, vous pouvez l'associer à un CIDR BYOIP.

  12. Dans le panneau de navigation de gauche, choisissez Groupes.

  13. Choisissez votre portée publique. Pour plus d'informations sur les portées, consultez Fonctionnement d'IPAM.

  14. Choisissez un groupe régional auquel un CIDR BYOIP est provisionné. Le Service du groupe doit être défini sur EC2 et un paramètre régional doit être choisi.

  15. Choisissez l'onglet CIDRs et sélectionnez un CIDR BYOIP.

  16. Choisissez Actions > Gérer les associations BYOASN.

  17. Sous BYOASNs associés, choisissez l'ASN que vous avez apporté à AWS. Si vous avez plusieurs ASN, vous pouvez associer plusieurs ASN au CIDR BYOIP. Vous pouvez associer autant d’ASN que vous pouvez apporter à IPAM. Notez que vous pouvez apporter jusqu'à 5 ASN à l'IPAM par défaut. Pour plus d'informations, consultez Quotas pour votre IPAM.

  18. Choisissez Associer.

  19. Attendez que l'association d'ASN soit terminée. Une fois que l'ASN est correctement associé au CIDR BYOIP, vous pouvez à nouveau publier le CIDR BYOIP.

  20. Choisissez l'onglet CIDRs pour groupe.

  21. Sélectionnez le CIDR BYOIP et cliquez sur Actions >Publicité. Par conséquent, vos options d'ASN sont affichées : l'ASN Amazon et tous les ASN que vous avez apportés à IPAM.

  22. Sélectionnez l'ASN que vous avez apporté à l'IPAM et choisissez Publicité CIDR. Par conséquent, le CIDR BYOIP est annoncé et la valeur dans la colonne Publicité passe de Retiré à Publié. La colonne Numéro de système autonome affiche l'ASN associé au CIDR.

  23. (facultatif) Si vous décidez de reconvertir l'association d'ASN en Amazon ASN, sélectionnez le CIDR BYOIP, puis choisissez à nouveau Actions > Publicité. Cette fois, choisissez l'ASN Amazon. Vous pouvez revenir à l'ASN Amazon à tout moment, mais vous ne pouvez passer à un ASN personnalisé qu'une fois par heure.

Le didacticiel est terminé.

Nettoyage

  1. Dissocier l'ASN du CIDR BYOIP

    • Pour retirer le CIDR BYOIP de la publicité, dans votre groupe dans la portée publique, choisissez le CIDR BYOIP et choisissez Actions > Retirer de la publicité.

    • Pour dissocier l'ASN du CIDR, choisissez Actions > Gérer les associations BYOASN.

  2. Déprovisionner l'ASN

    • Pour déprovisionner l'ASN, sous l'onglet BYOASNs, choisissez l'ASN, puis choisissez Déprovisionner l'ASN. Par conséquent, l'ASN est déprovisionné. Les BYOASN dont l'état est de Déprovisionné sont automatiquement supprimés au bout de 7 jours.

Le nettoyage est terminé.

Command line

  1. Fournissez votre ASN en incluant votre ASN et votre message d’autorisation. La signature est le message signé avec votre clé privée.

    aws ec2 provision-ipam-byoasn --ipam-id $ipam_id --asn 12345 --asn-authorization-context Message="$text_message",Signature="$signed_message"

  2. Décrivez votre ASN pour suivre le processus de provisionnement. Si la demande aboutit, le ProvisionStatus devrait être défini sur provisionné au bout de quelques minutes.

    aws ec2 describe-ipam-byoasn

  3. Associez votre ASN à votre CIDR BYOIP. Tout ASN personnalisé à partir duquel vous souhaitez faire de la publicité doit d'abord être associé à votre CIDR.

    aws ec2 associate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  4. Décrivez votre CIDR pour suivre le processus d'association.

    aws ec2 describe-byoip-cidrs --max-results 10

  5. Publiez votre CIDR avec votre ASN. Si le CIDR est déjà publié, cela remplacera l'ASN d'origine d'Amazon par le vôtre.

    aws ec2 advertise-byoip-cidr --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  6. Décrivez votre CIDR pour voir l'état de l'ASN passer d'associé à publié.

    aws ec2 describe-byoip-cidrs --max-results 10

Le didacticiel est terminé.

Nettoyage

  1. Effectuez l’une des actions suivantes :

    • Pour retirer uniquement votre publicité ASN et recommencer à utiliser les ASN Amazon tout en maintenant le CIDR publié, vous devez appeler advertise-byoip-cidr avec la valeur spéciale AWS du paramètre ASN. Vous pouvez revenir à l'ASN Amazon à tout moment, mais vous ne pouvez passer à un ASN personnalisé qu'une fois par heure.

      aws ec2 advertise-byoip-cidr --asn AWS --cidr xxx.xxx.xxx.xxx/n

    • Pour retirer simultanément votre publicité CIDR et ASN, vous pouvez appeler withdraw-byoip-cidr.

      aws ec2 withdraw-byoip-cidr --cidr xxx.xxx.xxx.xxx/n

  2. Pour nettoyer votre ASN, vous devez d'abord le dissocier de votre CIDR BYOIP.

    aws ec2 disassociate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n

  3. Une fois que votre ASN est dissocié de tous les CIDR BYOIP auxquels vous l'avez associé, vous pouvez le déprovisionner.

    aws ec2 deprovision-ipam-byoasn --ipam-id $ipam_id --asn 12345

  4. Le CIDR BYOIP peut également être déprovisionné une fois que toutes les associations ASN ont été supprimées.

    aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-1234567890abcdef0 --cidr xxx.xxx.xxx.xxx/n

  5. Confirmez le déprovisionnement.

    aws ec2 get-ipam-pool-cidrs --ipam-pool-id ipam-pool-1234567890abcdef0

Le nettoyage est terminé.