本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 驗證網域控制
在將 IP 地址範圍帶入目的地之前 AWS,您必須使用本節所述的其中一個選項來驗證您是否控制 IP 地址空間。稍後,當您將 IP 地址範圍設為 時 AWS, 會 AWS 驗證您是否控制 IP 地址範圍。此驗證可確保客戶無法使用屬於其他人的 IP 範圍,從而防止路由和安全性問題。
您可以使用兩種方法來驗證您控制此範圍:
+ **X.509 憑證**:如果您的 IP 位址範圍已向支援 RDAP 的網際網路註冊機構 (例如 ARIN、RIPE 和 APNIC) 註冊,您可以使用 X.509 憑證驗證網域所有權。
+ **DNS TXT 記錄**:無論您的網際網路登錄檔是否支援 RDAP,您都可以使用驗證符記和 DNS TXT 記錄來驗證網域所有權。
**Topics**
+ [
## 使用 X.509 憑證驗證網域
](#tutorials-byoip-ipam-domain-verification-cert)
+ [
## 使用 DNS TXT 記錄驗證網域
](#tutorials-byoip-ipam-domain-verification-dns-txt)
## 使用 X.509 憑證驗證網域
本節介紹如何在將 IP 位址範圍帶入 IPAM 前使用 X.509 憑證驗證網域。
**使用 X.509 憑證驗證網域**
1. 請完成 *Amazon EC2 User Guide* 的 [Prerequisites for BYOIP in Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/prepare-for-byoip.html) 中的這三個步驟。
**注意**
建立 ROA 時,必須將 IPv4 CIDR 的 IP 地址字首的長度上限設定為 `/24`。若要將 IPv6 CIDR 新增至可公告集區,則 IP 地址字首的長度上限必須為 `/48`。這可確保您擁有將公有 IP 地址跨 AWS 區域分割的完整彈性。IPAM 會強制執行您設定的長度上限。此長度上限是您宣告的此路由的允許字首最小長度。例如,如果您自攜 `/20` CIDR 區塊至 AWS,那麼只要將長度上限設為 `/24`,即可任意分割更大的區塊 (例如 `/21`、`/22` 或 `/24`),並將那些更小的 CIDR 區塊分配給任何區域。若要將長度上限設定為 `/23`,便無法從更大的區塊分割和公告 `/24`。另請注意,`/24` 是最小的 IPv4 區塊,`/48` 則是您可從區域公告到網際網路的最小 IPv6 區塊。
1. 僅完成*《Amazon EC2 使用者指南》*中的[在 AWS中的佈建可公開公告的地址範圍](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html#byoip-provision)下的第 1 步和第 2 步,**暫時不要佈建地址範圍 (第 3 步)**。儲存 `text_message` 和 `signed_message`。您稍後在此過程中會需要這些資訊。
完成這些步驟後,請繼續執行 [使用 AWS 管理主控台和 AWS CLI 兩者,自攜 IP 至 IPAM](tutorials-byoip-ipam-console-intro.md) 或 [僅使用 AWS CLI,自攜 IP CIDR 至 IPAM](tutorials-byoip-ipam-cli-only-intro.md)。
## 使用 DNS TXT 記錄驗證網域
完成本節中的步驟,在將 IP 位址範圍帶入 IPAM 之前,使用 DNS TXT 記錄驗證網域。
您可以使用 DNS TXT 記錄來驗證您是否控制公有 IP 位址範圍。DNS TXT 記錄是一種 DNS 記錄類型,其中包含關於您網域名稱的資訊。此功能允許您將註冊於任何網際網路註冊機構 (例如 JPNIC、LACNIC 和 AFRINIC) 的 IP 位址帶入,而不限於支援基於 RDAP (註冊資料存取通訊協定) 驗證的機構 (例如 ARIN、RIPE 和 APNIC)。
**重要**
必須先在免費或進階方案中建立 IPAM,才能繼續。如果您沒有 IPAM,請先完成[建立 IPAM](create-ipam.md)。
**Topics**
+ [
### 第 1 步:如果您尚未建立 ROA,請先建立 ROA
](#tutorials-byoip-ipam-domain-verification-dns-txt-roa)
+ [
### 步驟 2. 建立驗證符記
](#tutorials-byoip-ipam-domain-verification-dns-txt-token)
+ [
### 步驟 3。設定 DNS 區域與 TXT 記錄
](#tutorials-byoip-ipam-domain-verification-dns-txt-dns)
### 第 1 步:如果您尚未建立 ROA,請先建立 ROA
您必須在區域網際網路登記機構 (RIR) 中擁有路由來源授權 (ROA),以公告您希望使用的 IP 位址範圍。如果您的 RIR 中沒有 ROA,請完成 [3. 在 RIR 中建立 ROA 物件](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html#byoip-create-roa-object) (該步驟載於*《Amazon EC2 使用者指南*》。忽略其他步驟。
您可以使用的最特定 IPv4 位址範圍是 /24。針對可公開公告的 CIDR,您可以使用的最特定 IPv6 地址範圍是 /48,而針對不可公開公告的 CIDR,則是 /60。
### 步驟 2. 建立驗證符記
驗證字符是 AWS產生的隨機值,可用來證明對外部資源的控制。例如,當您將 IP 地址範圍帶至 AWS (BYOIP) 時,您可以使用驗證字符來驗證您是否控制公有 IP 地址範圍。
完成本節的步驟以建立驗證符記,您在本教學稍後的步驟中將需要此字符來將 IP 位址範圍帶入 IPAM。針對 AWS 主控台或 使用下列指示 AWS CLI。
------
#### [ AWS Management Console ]
**建立驗證符記**
1. 請在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 開啟 IPAM 主控台。
1. 在 AWS 管理主控台中,選擇您建立 IPAM AWS 的區域。
1. 在左側導覽窗格中,選擇 **IPAMs** (IPAM)。
1. 選擇您的 IPAM,然後選擇 **驗證符記標籤**。
1. 選取 **建立驗證符記**。
1. 建立符記之後,請保持此瀏覽器索引標籤開啟。接下來的步驟您需要用到 **符記值**、**符記名稱**,以及後續步驟中需要的 **符記 ID**。
注意下列事項:
+ 建立驗證符記後,您可以在 72 小時內重複使用該符記,用於從 IPAM 中佈建的多個 BYOIP CIDR。若超過 72 小時仍需佈建更多 CIDR,則需要建立新的驗證符記。
+ 您最多可以建立 100 個符記。如果您達到限制,請刪除過期的符記。
------
#### [ Command line ]
+ 使用 [create-ipam-external-resource-verification-token](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-ipam-external-resource-verification-token.html) 請求 IPAM 建立驗證符記,該字符將用於 DNS 組態:
```
aws ec2 create-ipam-external-resource-verification-token --ipam-id ipam-id
```
這將傳回具有 `TokenName` 和 `TokenValue` 的 IpamExternalResourceVerificationTokenId 和字符,以及符記的過期時間 (`NotAfter`)。
```
{
"IpamExternalResourceVerificationToken": {
"IpamExternalResourceVerificationTokenId": "ipam-ext-res-ver-token-0309ce7f67a768cf0",
"IpamId": "ipam-0f9e8725ac3ae5754",
"TokenValue": "a34597c3-5317-4238-9ce7-50da5b6e6dc8",
"TokenName": "86950620",
"NotAfter": "2024-05-19T14:28:15.927000+00:00",
"Status": "valid",
"Tags": [],
"State": "create-in-progress" }
}
```
注意下列事項:
+ 建立驗證符記後,您可以在 72 小時內重複使用該符記,用於從 IPAM 中佈建的多個 BYOIP CIDR。若超過 72 小時仍需佈建更多 CIDR,則需要建立新的驗證符記。
+ 您可以使用 [describe-ipam-external-resource-verification-tokens](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-ipam-external-resource-verification-tokens.html) 檢視符記。
+ 您最多可以建立 100 個符記。如果您達到限制,您可以使用 [delete-ipam-external-resource-verification-token](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/delete-ipam-external-resource-verification-token.html) 刪除過期的符記。
------
### 步驟 3。設定 DNS 區域與 TXT 記錄
完成本節中的步驟,以設定 DNS 區域和 TXT 記錄。如果您未使用 Route53 作為 DNS,請參閱您的 DNS 提供商提供的文檔來設定 DNS 區域並新增 TXT 記錄。
如果您使用的是 Route53,請注意下列事項:
+ 若要在 AWS 主控台中建立反向查詢區域,請參閱《*Amazon Route 53 開發人員指南*》中的[建立公有託管區域](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/CreatingHostedZone.html)或使用 AWS CLI 命令 [create-hosted-zone](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-hosted-zone.html)。
+ 若要在 AWS 主控台的反向查詢區域中建立記錄,請參閱《[Amazon Route 53 開發人員指南》中的使用 Amazon Route 53 主控台建立記錄](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html)或使用 AWS CLI 命令 [change-resource-record-sets](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/change-resource-record-sets.html)。 * *
+ 建立託管區域後,請將 RIR 中的託管區域委派給 Route53 提供的名稱伺服器 (例如 [LACNIC](https://www.lacnic.net/1017/2/lacnic/reverse-dns-resolution) 或 [APNIC](https://www.apnic.net/manage-ip/manage-resources/reverse-dns/))。
無論您是使用其他 DNS 供應商或 Route53,當您設定 TXT 記錄時,請注意下列事項:
+ 記錄名稱應為符記名稱。
+ 記錄類型應為 TXT。
+ ResourceRecord 值應為符記值。
範例:
+ **名稱:** `86950620.113.0.203.in-addr.arpa`
+ **Type (類型)**:`TXT`
+ **ResourceRecords 值**:`a34597c3-5317-4238-9ce7-50da5b6e6dc8`
其中:
+ `86950620` 是驗證符記名稱。
+ `113.0.203.in-addr.arpa` 是反向查詢區域名稱。
+ `TXT` 是記錄類型。
+ `a34597c3-5317-4238-9ce7-50da5b6e6dc8` 是驗證符記值。
**注意**
根據使用 BYOIP 帶入 IPAM 的字首大小,必須在 DNS 中建立一或多個身分驗證記錄。這些身分驗證記錄屬於 TXT 記錄類型,並且必須放置在字首本身或其父字首的反向區域中。
對於 IPv4,身分驗證記錄需要與構成字首的八位元組界限範圍對齊。
**範例**
對於已在八位元組界限對齊的 198.18.123.0/24,您需要在以下位置建立單一身分驗證記錄:
`token-name.123.18.198.in-addr.arpa. IN TXT “token-value”`
對於 198.18.12.0/22,其本身未與八位元組界限對齊,您將需要建立四個身分驗證記錄。這些記錄必須涵蓋在八位元組界限對齊的子網路 198.18.12.0/24、198.18.13.0/24、198.18.14.0/24 和 198.18.15.0/24。對應的 DNS 項目必須是:
`token-name.12.18.198.in-addr.arpa. IN TXT “token-value”`
`token-name.13.18.198.in-addr.arpa. IN TXT “token-value”`
`token-name.14.18.198.in-addr.arpa. IN TXT “token-value”`
`token-name.15.18.198.in-addr.arpa. IN TXT “token-value”`
對於已在八位元組界限對齊的 198.18.0.0/16,您需要建立單一身分驗證記錄:
`token-name.18.198.in-addr.arpa. IN TXT “token-value”`
對於 IPv6,身分驗證記錄需要與構成字首的半位元組界限範圍對齊。有效的小數位值為 32、36、40、44、48、52、56 和 60。
**範例**
對於已在半位元組界限對齊的 2001:0db8::/40,您需要建立單一身分驗證記錄:
`token-name.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”`
對於 2001:0db8:80::/42,其本身未對齊半位字節界限,您需要建立四個身分驗證記錄。這些記錄必須涵蓋在半位字節界限對齊的子網路 2001:db8:80::/44、2001:db8:90::/44、2001:db8:a0::/44 和 2001:db8:b0::/44。對應的 DNS 項目必須是:
`token-name.8.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”`
`token-name.9.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”`
`token-name.a.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”`
`token-name.b.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”`
對於本身未在半位界限對齊的非廣告範圍 2001:db8:0:1000::/54,您需要建立四個身分驗證記錄。這些記錄必須涵蓋在半位字節界限對齊的子網路 2001:db8:0:1000::/56、2001:db8:0:1100::/56、2001:db8:0:1200::/56 和 2001:db8:0:1300::/56。對應的 DNS 項目必須是:
`token-name.0.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”`
`token-name.1.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”`
`token-name.2.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”`
`token-name.3.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”`
若要驗證 *token-name* 與 "ip6.arpa" 字串之間的正確十六進位數字,請將該數字乘以四。結果應符合字首長度。例如,對於 /56 字首,您應該有 14 個十六進位數字。
完成這些步驟後,請繼續執行 [使用 AWS 管理主控台和 AWS CLI 兩者,自攜 IP 至 IPAM](tutorials-byoip-ipam-console-intro.md) 或 [僅使用 AWS CLI,自攜 IP CIDR 至 IPAM](tutorials-byoip-ipam-cli-only-intro.md)。