# Prepare-se para levar seu intervalo de endereços IP para sua conta da AWS: autorização
<a name="using-byoip.prepare"></a>

Para garantir que somente você possa levar seu espaço de endereço IP para a Amazon, exigimos duas autorizações:
+ Você deve autorizar a Amazon a anunciar o intervalo de endereços IP.
+ Você deve fornecer prova de que possui o intervalo de endereços IP e, portanto, tem autoridade para trazê-lo para a AWS.
**nota**  
Quando você usa o BYOIP para trazer um intervalo de endereços IP para a AWS, você não pode transferir a propriedade desse intervalo de endereços para uma conta ou empresa diferente enquanto o anunciamos. Você também não pode transferir diretamente um intervalo de endereços IP de uma conta da AWS para outra. Para transferir a propriedade ou transferir entre contas da AWS, você deve desprovisionar o intervalo de endereços e, em seguida, o novo proprietário deve seguir as etapas para adicionar o intervalo de endereços à conta da AWS.

Para autorizar a Amazon a anunciar o intervalo de endereços IP, você fornece à Amazon uma mensagem de autorização assinada. Use uma Autorização de Origem de Rota (ROA) para fornecer essa autorização. Uma ROA é uma declaração de criptografia sobre anúncios de sua rota que podem ser criados por meio de seu Registro Regional de Internet (RIR). Uma ROA contém o intervalo de endereços IP, os números de sistema autônomo (ASN) com permissão para anunciar o intervalo de endereços IP e uma data de expiração. A ROA autoriza a Amazon a anunciar um intervalo de endereços IP em um Sistema Autônomo (AS) específico. 

Uma ROA não autoriza sua conta da AWS a levar o intervalo de endereços IP para a AWS. Para fornecer essa autorização, você deve publicar um certificado X.509 autoassinado nas observações do protocolo de acesso de dados de registro (RDAP) para o intervalo de endereços IP. O certificado contém uma chave pública, que a AWS usa para verificar a assinatura do contexto de autorização que você fornece. Mantenha sua chave privada segura e use-a para assinar a mensagem em contexto de autorização.

As seções a seguir fornecem etapas detalhadas para concluir essas tarefas de autorização. Os comandos nestas etapas são compatíveis com o Linux. Se você usa o Windows, é possível usar o [Subsistema Windows para Linux](https://docs.microsoft.com/en-us/windows/wsl/about) para executar comandos do Linux.

## Etapas para fornecer autorização
<a name="using-byoip.prepare-steps"></a>
+ [Etapa 1: criar um objeto ROA](#using-byoip.prepare-steps-1)
+ [Etapa 2: Criar um certificado X.509 autoassinado](#using-byoip.prepare-steps-2)
+ [Etapa 3: criar uma mensagem de autorização assinada](#using-byoip.prepare-steps-3)

## Etapa 1: criar um objeto ROA
<a name="using-byoip.prepare-steps-1"></a>

Crie um objeto ROA para autorizar o Amazon ASNs 16509 a anunciar o intervalo de endereços IP, bem como os ASNs atualmente autorizados a anunciar o intervalo de endereços IP. A ROA deve conter o endereço IP /24 que você deseja levar para a AWS e deve definir o tamanho máximo como /24. 

Para obter mais informações sobre como criar uma solicitação de ROA, consulte as seções a seguir, dependendo de onde você registrou seu intervalo de endereços IP:
+ ARIN: [solicitações de ROA](https://www.arin.net/resources/rpki/roarequest.html)
+ RIPE: [gerenciamento de ROAs](https://www.ripe.net/manage-ips-and-asns/resource-management/certification/resource-certification-roa-management)
+ APNIC: [gerenciamento de rota](https://www.apnic.net/wp-content/uploads/2017/01/route-roa-management-guide.pdf)

## Etapa 2: Criar um certificado X.509 autoassinado
<a name="using-byoip.prepare-steps-2"></a>

Crie um par de chaves e um certificado X.509 autoassinado e, em seguida, adicione o certificado ao registro RDAP para seu RIR. As etapas a seguir descrevem como executar essas tarefas.

**nota**  
Os comandos `openssl` nessas etapas requerem o OpenSSL versão 1.0.2 ou posterior.

## Para criar e adicionar um certificado X.509


1. Gere um par de chaves RSA de 2048 bits usando o comando a seguir.

   ```
   openssl genrsa -out private.key 2048
   ```

1. Crie um certificado X.509 público a partir do par de chaves usando o seguinte comando.

   ```
   openssl req -new -x509 -key private.key -days 365 | tr -d "\n" > publickey.cer
   ```

   Neste exemplo, o certificado expira em 365 dias, após o qual ele não é mais confiável. Ao executar o comando, certifique-se de definir a opção `–days` com o valor desejado para a expiração correta. Quando forem solicitadas outras informações, você pode aceitar os valores padrão.

1. Atualize o registro RDAP para seu RIR com o certificado X.509 usando as etapas a seguir, dependendo do seu RIR.

   1. Visualize seu certificado executando o seguinte comando.

      ```
      cat publickey.cer
      ```

   1. Adicione o certificado criado anteriormente ao registro RDAP do RIR. Certifique-se de incluir as strings `-----BEGIN CERTIFICATE-----` e `-----END CERTIFICATE-----` antes e depois da parte codificada. Todo esse conteúdo deve estar em uma única e longa linha. O procedimento para atualizar o RDAP depende do RIR:
      + Para o ARIN, use o [portal do Account Manager](https://account.arin.net/public/secure/dashboard) para adicionar o certificado na seção “Comentários públicos” para o objeto “Informações de rede” que representa seu intervalo de endereços. Não o adicione à seção de comentários da sua organização.
      + Para o RIPE, adicione o certificado como um novo campo “descr” ao objeto “inetnum” ou “inet6num” que representa seu intervalo de endereços. Geralmente, eles podem ser encontrados na seção “Meus recursos” do [portal do banco de dados RIPE](https://apps.db.ripe.net/db-web-ui/myresources/overview). Não o adicione à seção de comentários da sua organização ou ao campo “comentários” dos objetos acima.
      + Para o APNIC, envie o certificado por e-mail para [helpdesk@apnic.net](mailto:helpdesk@apnic.net) para adicioná-lo manualmente ao campo “remarks” (observações) do intervalo de endereços. Envie o e-mail usando o contato autorizado do APNIC para os endereços IP.

      É possível remover o certificado do seu registro do RIR após a conclusão da etapa de provisionamento abaixo. 

## Etapa 3: criar uma mensagem de autorização assinada
<a name="using-byoip.prepare-steps-3"></a>

Crie uma mensagem de autorização assinada para permitir que a Amazon anuncie seu intervalo de endereços IP. 

O formato da mensagem é o seguinte, em que a data `YYYYMMDD` é a data de expiração da mensagem.

```
1|aws|aws-account|address-range|YYYYMMDD|SHA256|RSAPSS
```

## Para criar uma mensagem de autorização assinada


1. Crie uma mensagem de autorização de texto não criptografado e armazene-a em uma variável chamada `text_message`, conforme mostrado no exemplo a seguir. Substitua o número de conta, o intervalo de endereços IP e a data de expiração de exemplo por seus próprios valores.

   ```
   text_message="1|aws|123456789012|203.0.113.0/24|20191201|SHA256|RSAPSS"
   ```

1. Assine a mensagem de autorização em `text_message` usando o par de chaves criado na seção anterior.

1. Armazene a mensagem em uma variável chamada `signed_message`, conforme mostrado no exemplo a seguir.

   ```
   signed_message=$(echo $text_message | tr -d "\n" | openssl dgst -sha256 -sigopt 
   						rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private.key -keyform PEM | openssl base64 | 
   						tr -- '+=/' '-_~' | tr -d "\n")
   ```