Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS IP-Adressbereiche
AWS veröffentlicht seine aktuellen IP-Adressbereiche im JSON-Format. Mit diesen Informationen können Sie den Datenverkehr von identifizieren AWS. Sie können diese Informationen auch verwenden, um Datenverkehr zu oder von einigen - AWS Services zuzulassen oder zu verweigern.
Anmerkung
Nur einige AWS Service-IP-Adressbereiche werden in ip-ranges.json veröffentlicht. Wir veröffentlichen die IP-Adressbereiche für Services, für die Kunden häufig Ausgangsfilterung
durchführen möchten. Services können die IP-Adressbereiche verwenden, um mit anderen -Services zu kommunizieren, oder Services können die IP-Bereiche verwenden, um mit einem Kundennetzwerk zu kommunizieren.
Um die aktuellen Bereiche anzuzeigen, laden Sie die .json
-Datei herunter. Um einen Verlauf zu pflegen, speichern Sie nachfolgende Versionen der .json
-Datei in Ihrem System. Um festzustellen, ob seit der letzten Speicherung der Datei Änderungen vorgenommen wurden, prüfen Sie den Zeitpunkt der letzten Veröffentlichung in der aktuellen Datei und vergleichen Sie ihn mit dem Zeitpunkt der Veröffentlichung in der letzten Datei, die Sie gespeichert haben.
Die IP-Adressbereiche, die Sie AWS über Bring Your Own IP Addresses (BYOIP) zu bringen, sind nicht in der .json
Datei enthalten.
Alternativ veröffentlichen einige Services ihre Adressbereiche mithilfe von AWS verwalteten Präfixlisten. Weitere Informationen finden Sie unter Verfügbare von AWS verwaltete Präfixlisten.
Inhalt
Herunterladen
Laden Sie ip-ranges.json
Wenn Sie auf diese Datei programmgesteuert zugreifen, liegt es in Ihrer Verantwortung sicherzustellen, dass die Anwendung die Datei erst herunterlädt, nachdem das vom Server bereitgestellte TLS-Zertifikat erfolgreich überprüft wurde.
Syntax
Die Syntax von ip-ranges.json
ist wie folgt:
{ "syncToken": "
0123456789
", "createDate": "yyyy
-mm
-dd
-hh
-mm
-ss
", "prefixes": [ { "ip_prefix": "cidr
", "region": "region
", "network_border_group": "network_border_group
", "service": "subset
" } ], "ipv6_prefixes": [ { "ipv6_prefix": "cidr
", "region": "region
", "network_border_group": "network_border_group
", "service": "subset
" } ] }
- syncToken
-
Zeitpunkt der Veröffentlichung (als Zeit seit Unix-Epoche)
Typ: Zeichenfolge
Beispiel:
"syncToken": "1416435608"
- createDate
-
Das Veröffentlichungsdatum und die Veröffentlichungszeit im UTC YY-MM-DD-hh-mm-ss Format.
Typ: Zeichenfolge
Beispiel:
"createDate": "2014-11-19-23-29-02"
- prefixes
-
Die IP-Präfixe für die IPv4-Adressbereiche
Typ: Array
- ipv6_prefixes
-
Die IP-Präfixe für die IPv6-Adressbereiche
Typ: Array
- ip_prefix
-
Der öffentliche IPv4-Adressbereich, in CIDR-Notation. Beachten Sie, dass ein Präfix in bestimmten Bereichen ankündigen AWS kann. Zum Beispiel könnte der Präfix 96.127.0.0/17 in der Datei als 96.127.0.0/21, 96.127.8.0/21, 96.127.32.0/19 und 96.127.64.0/18 angekündigt werden.
Typ: Zeichenfolge
Beispiel:
"ip_prefix": "198.51.100.2/24"
- ipv6_prefix
-
Der öffentliche IPv6-Adressbereich, in CIDR-Notation. Beachten Sie, dass ein Präfix in bestimmten Bereichen ankündigen AWS kann.
Typ: Zeichenfolge
Beispiel:
"ipv6_prefix": "2001:db8:1234::/64"
- network_border_group
-
Der Name der Netzwerkgrenzgruppe, bei der es sich um einen eindeutigen Satz von Availability Zones oder Local Zones handelt, aus denen IP-Adressen AWS ankündigt, oder
GLOBAL
. Der Datenverkehr für -GLOBAL
Services kann von mehreren (bis zu allen) Availability Zones oder Local Zones angezogen werden, von denen IP-Adressen AWS ankündigt.Typ: Zeichenfolge
Beispiel:
"network_border_group": "us-west-2-lax-1"
- Region
-
Die AWS Region oder
GLOBAL
. Der Datenverkehr für -GLOBAL
Services kann von mehreren (bis zu allen) AWS Regionen angezogen werden oder aus diesen stammen.Typ: Zeichenfolge
Zulässige Werte:
af-south-1
|ap-east-1
|ap-northeast-1
|ap-northeast-2
|ap-northeast-3
|ap-south-1
|ap-south-2
|ap-southeast-1
|ap-southeast-2
|ap-southeast-3
|ap-southeast-4
|ca-central-1
|cn-north-1
|cn-northwest-1
|eu-central-1
|eu-central-2
|eu-north-1
|eu-south-1
|eu-south-2
|eu-west-1
|eu-west-2
|eu-west-3
|me-central-1
|me-south-1
|sa-east-1
|us-east-1
|us-east-2
|us-gov-east-1
|us-gov-west-1
|us-west-1
|us-west-2
|GLOBAL
Beispiel:
"region": "us-east-1"
- Service nicht zulässig
-
Die Untergruppe der IP-Adressbereiche. Die aufgelisteten Adressen für
API_GATEWAY
sind nur Egress. Geben SieAMAZON
an, um alle IP-Adressbereiche abzurufen (d. h. die jeweiligen Teilmengen sind auch in derAMAZON
-Teilmenge enthalten). Einige IP-Adressbereiche sind jedoch nur in derAMAZON
-Teilmenge (d. h. in keiner weiteren Teilmenge) enthalten.Typ: Zeichenfolge
Zulässige Werte:
AMAZON
|AMAZON_APPFLOW
|AMAZON_CONNECT
|API_GATEWAY
|CHIME_MEETINGS
|CHIME_VOICECONNECTOR
|CLOUD9
|CLOUDFRONT
|CLOUDFRONT_ORIGIN_FACING
|CODEBUILD
|DYNAMODB
|EBS
|EC2
|EC2_INSTANCE_CONNECT
|GLOBALACCELERATOR
|KINESIS_VIDEO_STREAMS
|MEDIA_PACKAGE_V2
|ROUTE53
|ROUTE53_HEALTHCHECKS
|ROUTE53_HEALTHCHECKS_PUBLISHING
|ROUTE53_RESOLVER
|S3
|WORKSPACES_GATEWAYS
Beispiel:
"service": "AMAZON"
Bereich überschneidet sich
Die von einem Servicecode zurückgegebenen IP-Adressbereiche werden auch vom AMAZON
-Servicecode zurückgegeben. Zum Beispiel werden alle Adressbereiche, die vom S3
-Servicecode zurückgegeben werden, auch vom AMAZON
-Servicecode zurückgegeben.
Wenn Service A Ressourcen von Service B verwendet, gibt es IP-Adressbereiche, die von den Servicecodes für Service A und Service B zurückgegeben werden. Diese IP-Adressbereiche werden jedoch ausschließlich von Service A verwendet und können nicht von Service B genutzt werden. Amazon S3 verwendet beispielsweise Ressourcen von Amazon EC2, daher gibt es IP-Adressbereiche, die vom S3
- und vom EC2
-Servicecode zurückgegeben werden. Diese IP-Adressbereiche werden jedoch ausschließlich von Amazon S3 genutzt. Daher gibt der S3
-Servicecode alle IP-Adressbereiche zurück, die ausschließlich von Amazon S3 verwendet werden. Um die IP-Adressbereiche zu ermitteln, die ausschließlich von Amazon EC2 genutzt werden, suchen Sie nach den IP-Adressbereichen, die vom EC2
-Servicecode, aber nicht vom S3
-Servicecode zurückgegeben werden.
Filtern der JSON-Datei
Sie können ein Befehlszeilen-Tool herunterladen, um die Informationen so zu filtern, dass Sie nur die gewünschten Informationen erhalten.
Windows
AWS Tools for Windows PowerShell enthält ein Cmdlet (Get-AWSPublicIpAddressRange
) für die Analyse dieser JSON-Datei. Die folgenden Beispiele zeigen, wie Sie das Cmdlet verwenden. Weitere Informationen finden Sie unter Abfragen der öffentlichen IP-Adressbereiche für AWS
Beispiel 1. Abrufen des Erstellungsdatums
PS C:\>
Get-AWSPublicIpAddressRange -OutputPublicationDate
Wednesday, August 22, 2018 9:22:35 PM
Beispiel 2. Abrufen der Informationen für eine bestimmte Region
PS C:\>
Get-AWSPublicIpAddressRange -Region us-east-1
IpPrefix Region NetworkBorderGroup Service -------- ------ ------- ------- 23.20.0.0/14 us-east-1 us-east-1 AMAZON 50.16.0.0/15 us-east-1 us-east-1 AMAZON 50.19.0.0/16 us-east-1 us-east-1 AMAZON ...
Beispiel 3. Abrufen aller IP-Adressen
PS C:\>
(Get-AWSPublicIpAddressRange).IpPrefix
23.20.0.0/14 27.0.0.0/22 43.250.192.0/24 ... 2406:da00:ff00::/64 2600:1fff:6000::/40 2a01:578:3::/64 2600:9000::/28
Beispiel 4. Abrufen aller IPv4-Adressen
PS C:\>
Get-AWSPublicIpAddressRange | where {$_.IpAddressFormat -eq "Ipv4"} | select IpPrefix
IpPrefix -------- 23.20.0.0/14 27.0.0.0/22 43.250.192.0/24 ...
Beispiel 5. Abrufen aller IPv6-Adressen
PS C:\>
Get-AWSPublicIpAddressRange | where {$_.IpAddressFormat -eq "Ipv6"} | select IpPrefix
IpPrefix -------- 2a05:d07c:2000::/40 2a05:d000:8000::/40 2406:dafe:2000::/40 ...
Beispiel 6. Abrufen aller IP-Adressen für einen bestimmten Service
PS C:\>
Get-AWSPublicIpAddressRange -ServiceKey CODEBUILD | select IpPrefix
IpPrefix -------- 52.47.73.72/29 13.55.255.216/29 52.15.247.208/29 ...
Linux
Die folgenden Beispielbefehle verwenden das jq-Tool
Beispiel 1. Abrufen des Erstellungsdatums
$
jq .createDate < ip-ranges.json
"2016-02-18-17-22-15"
Beispiel 2. Abrufen der Informationen für eine bestimmte Region
$
jq '.prefixes[] | select(.region=="us-east-1")' < ip-ranges.json
{ "ip_prefix": "23.20.0.0/14", "region": "us-east-1", "network_border_group": "us-east-1", "service": "AMAZON" }, { "ip_prefix": "50.16.0.0/15", "region": "us-east-1", "network_border_group": "us-east-1", "service": "AMAZON" }, { "ip_prefix": "50.19.0.0/16", "region": "us-east-1", "network_border_group": "us-east-1", "service": "AMAZON" }, ...
Beispiel 3. Abrufen aller IPv4-Adressen
$
jq -r '.prefixes | .[].ip_prefix' < ip-ranges.json
23.20.0.0/14 27.0.0.0/22 43.250.192.0/24 ...
Beispiel 4. Abrufen aller IPv6-Adressen
$
jq -r '.ipv6_prefixes | .[].ipv6_prefix' < ip-ranges.json
2a05:d07c:2000::/40 2a05:d000:8000::/40 2406:dafe:2000::/40 ...
Beispiel 5. Abrufen aller IPv4-Adressen für einen bestimmten Service
$
jq -r '.prefixes[] | select(.service=="CODEBUILD") | .ip_prefix' < ip-ranges.json
52.47.73.72/29 13.55.255.216/29 52.15.247.208/29 ...
Beispiel 6. Abrufen aller IPv4-Adressen für einen bestimmten Service in einer bestimmten Region
$
jq -r '.prefixes[] | select(.region=="us-east-1") | select(.service=="CODEBUILD") | .ip_prefix' < ip-ranges.json
34.228.4.208/28
Beispiel 7. Abrufen von Informationen für eine bestimmte Netzwerkgrenzgruppe
$
jq -r '.prefixes[] | select(.region=="us-west-2") | select(.network_border_group=="us-west-2-lax-1") | .ip_prefix' < ip-ranges.json
70.224.192.0/18 52.95.230.0/24 15.253.0.0/16 ...
Implementieren der Kontrolle ausgehenden Datenverkehrs
Um Ressourcen, die Sie mit einem - AWS Service erstellt haben, nur den Zugriff auf andere AWS -Services zu erlauben, können Sie die IP-Adressbereichsinformationen in der Datei ip-ranges.json verwenden, um die Ausgangsfilterung
Anmerkung
Einige AWS Services, die auf EC2 basieren und EC2-IP-Adressraum verwenden. Wenn Sie den Verkehr zur EC2-IP-Adressumgebung blockieren, blockieren Sie auch den Verkehr zu diesen Nicht-EC2-Diensten.
AWS Benachrichtigungen zu IP-Adressbereichen
Immer wenn sich die AWS IP-Adressbereiche ändern, senden wir Benachrichtigungen an Abonnenten des AmazonIpSpaceChanged
Themas. Die Nutzlast enthält Informationen im folgenden Format:
{ "create-time":"
yyyy
-mm
-dd
Thh
:mm
:ss
+00:00", "synctoken":"0123456789
", "md5":"6a45316e8bc9463c9e926d5d37836d33
", "url":"https://ip-ranges.amazonaws.com/ip-ranges.json" }
- create-time
-
Datum und Zeitpunkt der Erstellung
Es kann vorkommen, dass Benachrichtigungen nicht in der richtigen Reihenfolge versandt werden. Daher wird empfohlen, die Zeitstempel zu überprüfen, um für die richtige Reihenfolge zu sorgen.
- synctoken
-
Zeitpunkt der Veröffentlichung (als Zeit seit Unix-Epoche)
- md5
-
Der kryptografische Hash-Wert der Datei
ip-ranges.json
. Sie können diesen Wert verwenden, um zu überprüfen, ob die heruntergeladene Datei beschädigt ist. - URL
-
Der Speicherort der Datei
ip-ranges.json
Wenn Sie benachrichtigt werden möchten, wenn sich die AWS IP-Adressbereiche ändern, können Sie wie folgt abonnieren, um Benachrichtigungen mit Amazon SNS zu erhalten.
So abonnieren Sie Benachrichtigungen über den AWS IP-Adressbereich
Öffnen Sie die Amazon SNS-Konsole unter https://console.aws.amazon.com/sns/v3/home
. -
Ändern Sie, falls erforderlich, die Region in der Navigationsleiste zu US East (N. Virginia). Sie müssen diese Region auswählen, da die SNS-Benachrichtigungen, die Sie abonnieren, in dieser Region erstellt wurden.
-
Wählen Sie im Navigationsbereich Subscriptions aus.
-
Wählen Sie Create subscription.
-
Führen Sie im Dialogfeld Create subscription Folgendes aus:
-
Kopieren Sie für Topic ARN den folgenden Amazon-Ressourcennamen (ARN):
arn:aws:sns:us-east-1:806199016981:AmazonIpSpaceChanged
-
Wählen Sie für Protocol das zu verwendende Protokoll aus (z. B.
Email
). -
Geben Sie für den Endpoint den Endpunkt ein, an den die Benachrichtigung zugestellt werden soll (z. B. Ihre E-Mail-Adresse).
-
Wählen Sie Create subscription (Abonnement erstellen) aus.
-
-
Sie werden über den angegebenen Endpunkt kontaktiert und gebeten, Ihr Abonnement zu bestätigen. Wenn Sie beispielsweise eine E-Mail-Adresse angegeben haben, erhalten Sie eine E-Mail-Nachricht mit der Betreffzeile
AWS Notification - Subscription Confirmation
. Befolgen Sie die Anweisungen, um Ihr Abonnement zu bestätigen.
Benachrichtigungen hängen von der Verfügbarkeit des Endpunkts ab. Aus diesem Grund sollten Sie die JSON-Datei regelmäßig überprüfen, um sicherzustellen, dass Sie über die neuesten Bereiche verfügen. Weitere Informationen zur Zuverlässigkeit von Amazon SNS erhalten Sie unter https://aws.amazon.com/sns/faqs/#Reliability
Wenn Sie diese Benachrichtigungen nicht mehr erhalten möchten, führen Sie die folgenden Schritte aus, um sich abzumelden.
So melden Sie sich von den Benachrichtigungen für AWS IP-Adressbereiche ab
-
Öffnen Sie die Amazon SNS-Konsole unter https://console.aws.amazon.com/sns/v3/home
. -
Wählen Sie im Navigationsbereich Subscriptions aus.
-
Aktivieren Sie das Kontrollkästchen für das Abonnement.
-
Wählen Sie Actions und dann Delete subscriptions.
-
Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie Delete (Löschen).
Weitere Informationen zu Amazon SNS finden Sie im Amazon-Simple-Notification-Service-Entwicklerhandbuch.
Versionshinweise
Die folgende Tabelle beschreibt Aktualisierungen der Syntax von ip-ranges.json
. Wir fügen außerdem neue Regionscodes bei jedem Regionsstart hinzu.
Beschreibung | Datum der Veröffentlichung |
---|---|
Der MEDIA_PACKAGE_V2 -Servicecode wurde hinzugefügt. |
9. Mai 2023 |
Der CLOUDFRONT_ORIGIN_FACING -Servicecode wurde hinzugefügt. |
12. Oktober 2021 |
Der ROUTE53_RESOLVER -Servicecode wurde hinzugefügt. |
24. Juni 2021 |
Der EBS -Servicecode wurde hinzugefügt. |
12. Mai 2021 |
Der KINESIS_VIDEO_STREAMS -Servicecode wurde hinzugefügt. |
19. November 2020 |
Die CHIME_MEETINGS - und CHIME_VOICECONNECTOR -Dienstcodes und wurden hinzugefügt. |
19. Juni 2020 |
Der AMAZON_APPFLOW -Servicecode wurde hinzugefügt. |
9. Juni 2020 |
Fügen Sie Unterstützung für die Netzwerkgrenzgruppe hinzu. | 7. April 2020 |
Der WORKSPACES_GATEWAYS -Servicecode wurde hinzugefügt. |
30. März 2020 |
Der ROUTE53_HEALTHCHECK_PUBLISHING -Servicecode wurde hinzugefügt. |
30. Januar 2020 |
Der API_GATEWAY -Servicecode wurde hinzugefügt. |
26. September 2019 |
Der EC2_INSTANCE_CONNECT -Servicecode wurde hinzugefügt. |
26. Juni 2019 |
Der DYNAMODB -Servicecode wurde hinzugefügt. |
25. April 2019 |
Der GLOBALACCELERATOR -Servicecode wurde hinzugefügt. |
20. Dezember 2018 |
Der AMAZON_CONNECT -Servicecode wurde hinzugefügt. |
20. Juni 2018 |
Der CLOUD9 -Servicecode wurde hinzugefügt. |
20. Juni 2018 |
Der CODEBUILD -Servicecode wurde hinzugefügt. |
19. April 2018 |
Der S3 -Servicecode wurde hinzugefügt. |
28. Februar 2017 |
Unterstützung für IPv6-Adressbereiche hinzugefügt. | 22. August 2016 |
Erstversion | 19. November 2014 |
Weitere Informationen
-
AMAZON_APPFLOW
– IP-Adressbereiche -
AMAZON_CONNECT
– Einrichten Ihres Netzwerks -
CHIME_MEETINGS
– Konfiguration für Medien und Signalisierung -
CLOUDFRONT
– Standorte und IP-Adressbereiche von CloudFront Edge-Servern -
DYNAMODB
– IP-Adressbereiche -
EC2_INSTANCE_CONNECT
– Voraussetzungen für EC2 Instance Connect -
GLOBALACCELERATOR
– Standort und IP-Adressbereiche von Global-Accelerator-Edge-Servern -
ROUTE53_HEALTHCHECKS
– IP-Adressbereiche von Amazon-Route-53-Servern -
ROUTE53_HEALTHCHECKS_PUBLISHING
– IP-Adressbereiche von Amazon-Route-53-Servern -
WORKSPACES_GATEWAYS
– PCoIP-Gatewayserver