Menü
Amazon Web Services
Allgemeine Referenz (Version 1.0)

IP-Adressbereiche für AWS

Amazon Web Services (AWS) veröffentlicht seine aktuellen IP-Adressbereiche im JSON-Format. Um die aktuellen Bereiche anzuzeigen, laden Sie die .json-Datei herunter. Um einen Verlauf zu pflegen, speichern Sie nachfolgende Versionen der .json-Datei in Ihrem System. Um festzustellen, ob seit der letzten Speicherung der Datei Änderungen vorgenommen wurden, prüfen Sie den Zeitpunkt der letzten Veröffentlichung in der aktuellen Datei und vergleichen Sie ihn mit dem Zeitpunkt der Veröffentlichung in der letzten Datei, die Sie gespeichert haben.

Herunterladen

Herunterladen von ip-ranges.json

Wenn Sie auf diese Datei programmgesteuert zugreifen, liegt es in Ihrer Verantwortung sicherzustellen, dass die Anwendung die Datei erst herunterlädt, nachdem das vom Server bereitgestellte TLS-Zertifikat erfolgreich überprüft wurde.

Syntax

Die Syntax von ip-ranges.json ist wie folgt:

Copy
{ "syncToken": "0123456789", "createDate": "yyyy-mm-dd-hh-mm-ss", "prefixes": [ { "ip_prefix": "cidr", "region": "region", "service": "subset" } ], "ipv6_prefixes": [ { "ipv6_prefix": "cidr", "region": "region", "service": "subset" } ] }
syncToken

Zeitpunkt der Veröffentlichung (als Zeit seit Unix-Epoche)

Typ: Zeichenkette

Beispiel: "syncToken": "1416435608"

createDate

Datum und Uhrzeit der Veröffentlichung

Typ: Zeichenkette

Beispiel: "createDate": "2014-11-19-23-29-02"

prefixes

Die IP-Präfixe für die IPv4-Adressbereiche

Typ: Array

ipv6_prefixes

Die IP-Präfixe für die IPv6-Adressbereiche

Typ: Array

ip_prefix

Der öffentliche IPv4-Adressbereich, in CIDR-Notation. Beachten Sie, dass AWS einen Präfix in spezifischeren Bereichen ankündigen kann. Zum Beispiel könnte der Präfix 96.127.0.0/17 in der Datei als 96.127.0.0/21, 96.127.8.0/21, 96.127.32.0/19 und 96.127.64.0/18 angekündigt werden.

Typ: Zeichenkette

Beispiel: "ip_prefix": "198.51.100.2/24"

ipv6_prefix

Der öffentliche IPv6-Adressbereich, in CIDR-Notation. Beachten Sie, dass AWS einen Präfix in spezifischeren Bereichen ankündigen kann.

Typ: Zeichenkette

Beispiel: "ipv6_prefix": "2001:db8:1234::/64"

Region

Die AWS-Region oder GLOBAL für Edge-Standorte. Beachten Sie, dass die CLOUDFRONT- und ROUTE53-Bereiche GLOBAL sind. Sie sollten alle Werte ignorieren, die nicht mit den hier aufgeführten Werten übereinstimmen.

Typ: Zeichenkette

Gültige Werte: ap-northeast-1 | ap-northeast-2 | ap-south-1 | ap-southeast-1 | ap-southeast-2 | cn-north-1 | eu-central-1 | eu-west-1 | sa-east-1 | us-east-1 | us-gov-west-1 | us-west-1 | us-west-2 | GLOBAL

Beispiel: "region": "us-east-1"

Service nicht zulässig

Die Untergruppe der IP-Adressbereiche. Geben Sie AMAZON an, um alle IP-Adressbereiche abzurufen (z. B. sind die Bereiche in der EC2-Untergruppe auch in der AMAZON-Untergruppe enthalten). Beachten Sie, dass einige IP-Adressbereiche nur in der AMAZON-Untergruppe enthalten sind. Sie sollten alle Werte ignorieren, die nicht mit den hier aufgeführten Werten übereinstimmen.

Typ: Zeichenkette

Zulässige Werte: AMAZON | EC2 | CLOUDFRONT | ROUTE53 | ROUTE53_HEALTHCHECKS | S3

Beispiel: "service": "AMAZON"

Filtern der JSON-Datei

Sie können ein Befehlszeilen-Tool herunterladen, um die Informationen so zu filtern, dass Sie nur die gewünschten Informationen erhalten.

Windows 

AWS-Tools für Windows PowerShell enthält ein Cmdlet Get-AWSPublicIpAddressRange für die Analyse dieser JSON-Datei. Die folgenden Beispiele zeigen, wie Sie das Cmdlet verwenden. Weitere Informationen finden Sie unter Abfragen der öffentlichen IP-Adressbereiche für AWS.

Beispiel 1. Abrufen des Erstellungsdatums

Copy
PS C:\> Get-AWSPublicIpAddressRange -OutputPublicationDate Thursday, February 18, 2016 5:22:15 PM

Beispiel 2. Abrufen der Informationen für eine bestimmte Region

Copy
PS C:\> Get-AWSPublicIpAddressRange -Region us-east-1 IpPrefix Region Service -------- ------ ------- 23.20.0.0/14 us-east-1 AMAZON 50.16.0.0/15 us-east-1 AMAZON 50.19.0.0/16 us-east-1 AMAZON ...

Beispiel 3. Abrufen aller IP-Adressen

Copy
PS C:\> (Get-AWSPublicIpAddressRange).IpPrefix 23.20.0.0/14 27.0.0.0/22 43.250.192.0/24 ...

Linux

Die folgenden Beispielbefehle verwenden das jq-Tool, um eine lokale Kopie der JSON-Datei zu analysieren.

Beispiel 1. Abrufen des Erstellungsdatums

Copy
$ jq .createDate < ipranges.json "2016-02-18-17-22-15"

Beispiel 2. Abrufen der Informationen für eine bestimmte Region

Copy
$ jq '.prefixes[] | select(.region=="us-east-1")' < ipranges.json { "ip_prefix": "23.20.0.0/14", "region": "us-east-1", "service": "AMAZON" }, { "ip_prefix": "50.16.0.0/15", "region": "us-east-1", "service": "AMAZON" }, { "ip_prefix": "50.19.0.0/16", "region": "us-east-1", "service": "AMAZON" }, ...

Beispiel 3. Abrufen aller IP-Adressen

Copy
$ jq -r '.prefixes | .[].ip_prefix' < ipranges.json 23.20.0.0/14 27.0.0.0/22 43.250.192.0/24 ...

Implementieren der Kontrolle ausgehenden Datenverkehrs

Um einer Instance nur den Zugriff auf AWS-Services zu erlauben, erstellen Sie eine Sicherheitsgruppe mit Regeln, die ausgehenden Datenverkehr zu den CIDR-Blöcken in der AMAZON-Liste zulassen, abzüglich der CIDR-Blöcke, die auch in der EC2-Liste enthalten sind.

Benachrichtigungen zu den IP-Adressbereichen von AWS

Wenn eine Änderung an den IP-Adressbereichen von AWS erfolgt, senden wir entsprechende Benachrichtigungen an die Abonnenten des Themas AmazonIpSpaceChanged. Die Nutzlast enthält Informationen im folgenden Format:

Copy
{ "create-time":"yyyy-mm-ddThh:mm:ss+00:00", "synctoken":"0123456789", "md5":"6a45316e8bc9463c9e926d5d37836d33", "url":"https://ip-ranges.amazonaws.com/ip-ranges.json" }
create-time

Datum und Zeitpunkt der Erstellung

Es kann vorkommen, dass Benachrichtigungen nicht in der richtigen Reihenfolge versandt werden. Daher wird empfohlen, die Zeitstempel zu überprüfen, um für die richtige Reihenfolge zu sorgen.

synctoken

Zeitpunkt der Veröffentlichung (als Zeit seit Unix-Epoche)

md5

Der kryptografische Hash-Wert der Datei ip-ranges.json. Sie können diesen Wert verwenden, um zu überprüfen, ob die heruntergeladene Datei beschädigt ist.

URL

Der Speicherort der Datei ip-ranges.json

Wenn Sie benachrichtigt werden möchten, wenn eine Änderung an den IP-Adressbereichen von AWS erfolgt, können Sie den Empfang von Amazon SNS-Benachrichtigungen wie folgt abonnieren.

So melden Sie sich für Benachrichtigungen zu AWS-IP-Adressbereichen an

  1. Öffnen Sie die Amazon SNS-Konsole unter https://console.aws.amazon.com/sns/v2/home.

  2. Ändern Sie bei Bedarf die Region in der Navigationsleiste zu USA Ost (Nord-Virginia). Sie müssen diese Region auswählen, da die SNS-Benachrichtigungen, die Sie abonnieren, in dieser Region erstellt wurden.

  3. Wählen Sie im Navigationsbereich Subscriptions aus.

  4. Wählen Sie Create subscription.

  5. Führen Sie im Dialogfeld Create subscription Folgendes aus:

    1. Kopieren Sie für Topic ARN den folgenden Amazon-Ressourcennamen (ARN):

      Copy
      arn:aws:sns:us-east-1:806199016981:AmazonIpSpaceChanged
    2. Wählen Sie für Protocol das zu verwendende Protokoll aus (z. B. Email).

    3. Geben Sie für den Endpoint den Endpunkt ein, an den die Benachrichtigung zugestellt werden soll (z. B. Ihre E-Mail-Adresse).

    4. Wählen Sie Create subscription.

  6. Sie werden über den angegebenen Endpunkt kontaktiert und gebeten, Ihr Abonnement zu bestätigen. Wenn Sie beispielsweise eine E-Mail-Adresse angegeben haben, erhalten Sie eine E-Mail-Nachricht mit der Betreffzeile AWS Notification - Subscription Confirmation. Befolgen Sie die Anweisungen, um Ihr Abonnement zu bestätigen.

Benachrichtigungen hängen von der Verfügbarkeit des Endpunkts ab. Aus diesem Grund sollten Sie die JSON-Datei regelmäßig überprüfen, um sicherzustellen, dass Sie über die neuesten Bereiche verfügen. Weitere Informationen zur Zuverlässigkeit von Amazon SNS erhalten Sie unter https://aws.amazon.com/sns/faqs/#Reliability.

Wenn Sie diese Benachrichtigungen nicht mehr erhalten möchten, führen Sie die folgenden Schritte aus, um sich abzumelden.

So melden Sie sich von den Benachrichtigungen für AWS-IP-Adressbereiche ab

  1. Öffnen Sie die Amazon SNS-Konsole unter https://console.aws.amazon.com/sns/v2/home.

  2. Wählen Sie im Navigationsbereich Subscriptions aus.

  3. Aktivieren Sie das Kontrollkästchen für das Abonnement.

  4. Wählen Sie Actions und dann Delete subscriptions.

  5. Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie Delete.

Weitere Informationen zu Amazon SNS finden Sie unter Entwicklerhandbuch für Amazon Simple Notification Service.