Vérifiez votre domaine avec un certificat X.509 Vérifiez votre domaine à l’aide d’un enregistrement DNS TXT

Vérification du contrôle du domaine

Avant de transférer une plage d’adresses IP vers AWS, vous devez utiliser l’une des options décrites dans cette section pour vérifier que vous contrôlez l’espace d’adresses IP. Plus tard, lorsque vous amènerez la plage d’adresses IP vers AWS, AWS confirmera que vous contrôlez la plage d’adresses IP. Cette validation empêche les clients d’utiliser des plages d’adresses IP appartenant à d’autres, ce qui permet d’éviter les problèmes de routage et de sécurité.

Il existe deux méthodes pour vérifier que vous contrôlez la plage :

Certificat X.509 : si votre plage d’adresses IP est enregistrée auprès d’un registre Internet qui prend en charge le protocole RDAP (tel que ARIN, RIPE et APNIC), vous pouvez utiliser un certificat X.509 pour vérifier la propriété de votre domaine.
Enregistrement DNS TXT : que votre registre Internet prenne en charge le protocole RDAP ou non, vous pouvez utiliser un jeton de vérification et un enregistrement DNS TXT pour vérifier la propriété de votre domaine.

Table des matières

Vérifiez votre domaine avec un certificat X.509
Vérifiez votre domaine à l’aide d’un enregistrement DNS TXT

Vérifiez votre domaine avec un certificat X.509

Cette section explique comment vérifier votre domaine à l’aide d’un certificat X.509 avant de transférer votre plage d’adresses IP à IPAM.

Vérification de votre domaine avec un certificat X.509

Suivez les trois étapes décrites dans la section Prerequisites for BYOIP in Amazon EC2 du Guide d’utilisation d’Amazon EC2.

Note
Lorsque vous créez les ROA, pour les CIDR IPv4, vous devez définir la longueur maximale d'un préfixe d'adresse IP sur /24. Pour les CIDR IPv6, si vous les ajoutez à un groupe annoncé, la longueur maximale d'un préfixe d'adresse IP doit être /48. Cela garantit que vous disposez d’une flexibilité totale pour diviser votre adresse IP publique dans les Régions AWS. L'IPAM applique la longueur maximale que vous avez définie. La longueur maximale est la plus petite annonce de longueur de préfixe que vous autorisez pour cet acheminement. Par exemple, si vous apportez un bloc d'adresse CIDR /20 dans AWS, en définissant la longueur maximale sur /24, vous pouvez diviser un grand bloc comme vous le souhaitez (par exemple avec /21, /22 ou/24) et distribuer ces blocs d'adresse CIDR plus petits dans n'importe quelle Région. Si vous définissez la longueur maximale sur /23, vous ne serez pas en mesure de diviser et de publier un bloc /24 à partir du bloc plus grand. Notez également que /24 est le plus petit bloc IPv4 et /48 le plus petit bloc IPv6 que vous pouvez publier depuis une Région vers Internet.
Effectuez les étapes 1 et 2 uniquement sous Provisionner une plage d’adresses publiable dans AWS dans le Guide de l’utilisateur Amazon EC2, et ne provisionnez pas encore la plage d’adresses (étape 3). Enregistrez le text_message et signed_message. Vous en aurez besoin plus tard dans ce processus.

Lorsque vous avez terminé ces étapes, continuez avec Apporter votre propre IP à IPAM en utilisant à la fois la console de gestion AWS et l’AWS CLI ou Apportez votre propre CIDR IP sur IPAM en utilisant uniquement laAWSCLI.

Vérifiez votre domaine à l’aide d’un enregistrement DNS TXT

Suivez les étapes décrites dans cette section pour vérifier votre domaine à l’aide d’un enregistrement DNS TXT avant de transférer votre plage d’adresses IP à IPAM.

Vous pouvez utiliser les enregistrements DNS TXT pour vérifier que vous contrôlez une plage d’adresses IP publiques. Les enregistrements DNS TXT sont un type d’enregistrement DNS qui contient des informations sur votre nom de domaine. Cette fonctionnalité vous permet d’importer les adresses IP enregistrées dans n’importe quel registre Internet (tel que JPNIC, LACNIC et AFRINIC), et pas seulement celles qui prennent en charge les validations basées sur des enregistrements RDAP (Registration Data Access Protocol) (telles que ARIN, RIPE et APNIC).

Important

Avant de pouvoir continuer, vous devez avoir créé un IPAM dans le niveau gratuit ou avancé. Si vous n’avez pas d’IPAM, complétez Création d'un IPAM d’abord.

Table des matières

Étape 1 : créer une ROA si vous n’en avez pas
Étape 2. Créez un jeton de vérification
Étape 3. Configuration de la zone DNS et de l’enregistrement TXT

Étape 1 : créer une ROA si vous n’en avez pas

Vous devez disposer d’une autorisation d’origine d’éitinéraire (ROA) dans votre registre Internet régional (RIR) pour les plages d’adresses IP que vous souhaitez promouvoir. Si vous n’avez pas de ROA dans votre RIR, complétez 3. Créez un objet ROA dans votre RIR dans le Guide de l’utilisateur Amazon EC2. Ignorez les autres étapes.

La plage d’adresses IPv4 la plus spécifique que vous pouvez apporter est /24. La plage d’adresses IPv6 la plus spécifique que vous pouvez apporter est /48 pour les CIDR publiquement publiés et /60 pour les CIDR qui ne sont pas publiquement publiés.

Étape 2. Créez un jeton de vérification

Un jeton de vérification est une valeur aléatoire AWS générée que vous pouvez utiliser pour prouver le contrôle d’une ressource externe. Par exemple, vous pouvez utiliser un jeton de vérification pour vérifier que vous contrôlez une plage d’adresses IP publiques lorsque vous transmettez une plage d’adresses IP à AWS (BYOIP).

Suivez les étapes décrites dans cette section pour créer un jeton de vérification dont vous aurez besoin ultérieurement dans ce tutoriel pour transférer votre plage d’adresses IP vers IPAM. Suivez les instructions ci-dessous pour la console AWS ou le AWS CLI.

AWS Management Console

Création d’un jeton de vérification

Ouvrez la console IPAM à partir de l'adresse https://console.aws.amazon.com/ipam/.
Dans la Console de gestion AWS, choisissez la région AWS dans laquelle vous avez créé votre IPAM.
Dans le panneau de navigation de gauche, sélectionnez IPAMs.
Choisissez votre IPAM, puis cliquez sur l’onglet Jetons de vérification.
Sélectionnez Créer un jeton de vérification.
Après avoir créé le jeton, laissez cet onglet de navigateur ouvert. Vous aurez besoin de la valeur du jeton, du nom du jeton à l’étape suivante et de l’identifiant du jeton à une étape ultérieure.

Remarques :

Une fois que vous avez créé un jeton de vérification, vous pouvez le réutiliser pour plusieurs CIDR BYOIP que vous fournissez depuis votre IPAM dans les 72 heures. Si vous souhaitez fournir plus de CIDR après 72 heures, vous avez besoin d’un nouveau jeton.
Vous pouvez créer jusqu’à 100 jetons. Si vous atteignez cette limite, supprimez les jetons expirés.

Command line

Demandez à IPAM de créer un jeton de vérification que vous utiliserez pour la configuration DNS avec create-ipam-external-resource-verification-token :


aws ec2 create-ipam-external-resource-verification-token --ipam-id ipam-id

Cela renverra un IpamExternalResourceVerificationTokenId et un jeton avec TokenName et TokenValue, ainsi que l’heure d’expiration (NotAfter) du jeton.


{ 
    "IpamExternalResourceVerificationToken": { 
        "IpamExternalResourceVerificationTokenId": "ipam-ext-res-ver-token-0309ce7f67a768cf0", 
        "IpamId": "ipam-0f9e8725ac3ae5754", 
        "TokenValue": "a34597c3-5317-4238-9ce7-50da5b6e6dc8", 
        "TokenName": "86950620", 
        "NotAfter": "2024-05-19T14:28:15.927000+00:00", 
        "Status": "valid", 
        "Tags": [], 
        "State": "create-in-progress" }
}

Remarques :

Une fois que vous avez créé un jeton de vérification, vous pouvez le réutiliser pour plusieurs CIDR BYOIP que vous fournissez depuis votre IPAM dans les 72 heures. Si vous souhaitez fournir plus de CIDR après 72 heures, vous avez besoin d’un nouveau jeton.
Vous pouvez consulter vos jetons à l’aide de describe-ipam-external-resource-verification-tokens.
Vous pouvez créer jusqu’à 100 jetons. Si vous atteignez cette limite, vous pouvez supprimer les jetons expirés à l’aide de delete-ipam-external-resource-verification-token.

Étape 3. Configuration de la zone DNS et de l’enregistrement TXT

Effectuez les étapes décrites dans cette section pour configurer la zone DNS et l’enregistrement TXT. Si vous n’utilisez pas Route53 comme DNS, suivez la documentation fournie par votre fournisseur DNS pour configurer une zone DNS et ajouter un enregistrement TXT.

Si vous utilisez Route53, prenez les éléments suivants en considération :

Pour créer une zone de recherche inversée dans la console AWS, consultez la section Création d’une zone hébergée publique dans le Guide du développeur Amazon Route 53 ou utilisez la commande AWS CLI create-hosted-zone.
Pour créer un enregistrement dans la zone de recherche inversée de la console AWS, consultez la section Création d’enregistrements à l’aide de la console Amazon Route 53 dans le Guide du développeur Amazon Route 53 ou utilisez la commande AWS CLI change-resource-record-sets.
Une fois que vous avez créé votre zone hébergée, déléguez la zone hébergée de votre RIR aux serveurs de noms fournis par Route53 (par exemple pour LACNIC ou APNIC).

Que vous utilisiez un autre fournisseur DNS ou Route53, tenez compte des points suivants lorsque vous configurez l’enregistrement TXT :

Le nom de l’enregistrement doit être le nom de votre jeton.
Le type d’enregistrement doit être TXT.
ResourceRecord Value doit être la valeur du jeton.

Exemple :

Nom: 86950620.113.0.203.in-addr.arpa
Type: TXT
ResourceRecords Value: a34597c3-5317-4238-9ce7-50da5b6e6dc8

Où :

86950620 est le nom du jeton de vérification.
113.0.203.in-addr.arpa est le nom de la zone de recherche inversée.
TXT est le type d’enregistrement.
a34597c3-5317-4238-9ce7-50da5b6e6dc8 est la valeur du jeton de vérification.

Note

En fonction de la taille du préfixe à apporter à IPAM avec BYOIP, un ou plusieurs enregistrements d’authentification doivent être créés dans le DNS. Ces enregistrements d’authentification sont de type TXT et doivent être placés dans la zone inverse du préfixe lui-même ou de son préfixe parent.

Pour IPv4, les enregistrements d’authentification doivent être alignés sur les plages situées à la limite d’un octet qui constitue le préfixe.
- Exemples d
- Pour 198.18.123.0/24, qui est déjà aligné à la limite d’un octet, vous devez créer un enregistrement d’authentification unique à l’adresse suivante :
  - token-name.123.18.198.in-addr.arpa. IN TXT “token-value”
- Pour 198.18.12.0/22, qui lui-même n’est pas aligné sur la limite des octets, vous devez créer quatre enregistrements d’authentification. Ces enregistrements doivent couvrir les sous-réseaux 198.18.12.0/24, 198.18.13.0/24, 198.18.14.0/24 et 198.18.15.0/24 qui sont alignés à la limite d’un octet. Les entrées DNS correspondantes doivent être :
  - token-name.12.18.198.in-addr.arpa. IN TXT “token-value”
  - token-name.13.18.198.in-addr.arpa. IN TXT “token-value”
  - token-name.14.18.198.in-addr.arpa. IN TXT “token-value”
  - token-name.15.18.198.in-addr.arpa. IN TXT “token-value”
- Pour 198.18.0.0/16, qui est déjà aligné à la limite d’un octet, vous devez créer un enregistrement d’authentification unique :
  - token-name.18.198.in-addr.arpa. IN TXT “token-value”
Pour IPv6, les enregistrements d’authentification doivent être alignés sur les plages situées à la limite de nibble qui constituent le préfixe. Les valeurs de nibble valides sont par exemple 32, 36, 40, 44, 48, 52, 56 et 60.
- Exemples d
  - Pour 2001:0db8::/40, qui est déjà aligné à la limite de nibble, vous devez créer un enregistrement d’authentification unique :
    
    token-name.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”
  - Pour 2001:0db8:80::/42, qui n’est pas alignée à la limite de nibble, vous devez créer quatre enregistrements d’authentification. Ces enregistrements doivent couvrir les sous-réseaux 2001:db8:80::/44, 2001:db8:90::/44, 2001:db8:a0::/44, et 2001:db8:b0::/44 qui sont alignés sur une limite de nibble. Les entrées DNS correspondantes doivent être :
    
    token-name.8.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”
    
    token-name.9.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”
    
    token-name.a.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
    
    token-name.b.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
  - Pour la plage non annoncée 2001:db8:0:1000::/54, qui n’est elle-même pas alignée à une limite de nibble, vous devez créer quatre enregistrements d’authentification. Ces enregistrements doivent couvrir les sous-réseaux 2001:db8:0:1000::/56, 2001:db8:0:1100::/56, 2001:db8:0:1200::/56 et 2001:db8:0:1300::/56 qui sont alignés à une limite de nibble. Les entrées DNS correspondantes doivent être :
    
    token-name.0.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
    
    token-name.1.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
    
    token-name.2.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
    
    token-name.3.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
- Pour valider le nombre correct de nombres hexadécimaux entre le nom du jeton et la chaîne « ip6.arpa », multipliez le nombre par quatre. Le résultat doit correspondre à la longueur du préfixe. Par exemple, pour un préfixe /56, vous devez avoir 14 chiffres hexadécimaux.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Apporter vos adresses IP à IPAM

BYOIP avec console AWS et CLI