オンプレミスで所有しているIPアドレス(≒自社保有のIPv4/IPv6ブロック)をAWSに持ち込む(BYOIP: Bring Your Own IP)場合、Route Origin Authorization(ROA)の登録は必須です。これは、AWSがそのIPアドレスをインターネットに広報(BGPアナウンス)するために、正当性を証明するためです。
🛠 ROA登録~AWS BYOIP の流れ
1. IPアドレスを自社で保有していることを確認
- RIR(地域インターネットレジストリ)からの正式割り当てが必要
- 例:APNIC/JPNIC から
203.0.113.0/24を割当済み
2. ROA を作成
- RPKIマネージャー(APNIC、ARINなどのRIRポータル)で
- 「このIPプレフィックスは AS16509 がアナウンス可能」と指定
- 例:
203.0.113.0/24→AS16509
3. ROAの公開・有効化
- RPKIで署名・公開(通常は即時か数時間以内に反映)
4. AWSコンソールでBYOIP申請
- VPC > IPアドレス > Bring Your Own IP
- 対象CIDRブロック、ROA登録済みであることを確認
5. AWSによるバリデーション
- ROAの有無、WHOIS情報、IP割当証明書などを元に確認
- 通常1~2営業日で完了(追加書類を求められる場合も)
6. アドバタイズと使用開始
- Global Accelerator、ELB、EC2 ENI、NAT Gatewayなどで使用可能
🔐 ポイント
- ROAに指定するAS番号を間違えると AWS によるバリデーションが失敗します
- AWSが広報するAS番号(通常は AS16509)を必ず指定
- ROAが Invalid や Not Found 状態だと、AWS側でアドバタイズ不可