Téléchargement Syntaxe Filtrage du fichier JSON Implémentation du contrôle de sortie AWSnotifications de plages d'adresses IP.Notes de mise à jour En savoir plus

AWSPlages d'adresses IP

Amazon Web Services (AWS) publie ses plages d'adresses IP actuelles au format JSON. Pour afficher les plages actuelles, téléchargez le fichier .json. Pour conserver l'historique, enregistrez les versions successives du fichier .json sur votre système. Pour déterminer si des modifications ont été apportées depuis la dernière fois que vous avez enregistré le fichier, vérifiez l'heure de publication du fichier actuel et comparez-la à l'heure de publication du dernier fichier que vous avez enregistré.

Les plages d'adresses IP que vous envoyez àAWSvia Fourniture de vos propres adresses IP (BYOIP) ne sont pas incluses dans les.jsonfichier.

Table des matières

Téléchargement
Syntaxe
Filtrage du fichier JSON
Implémentation du contrôle de sortie
AWSnotifications de plages d'adresses IP.
Notes de mise à jour
En savoir plus

Téléchargement

Téléchargez ip-ranges.json .

Si vous accédez à ce fichier par programmation, vous êtes tenu de vous s'assurer que l'application télécharge le fichier seulement après avoir correctement vérifié le certificat TLS présenté par le serveur.

Syntaxe

La syntaxe d'ip-ranges.json est la suivante.


{
  "syncToken": "0123456789",
  "createDate": "yyyy-mm-dd-hh-mm-ss",
  "prefixes": [
    {
      "ip_prefix": "cidr",
      "region": "region",
      "network_border_group": "network_border_group",
      "service": "subset"
    }
  ],
  "ipv6_prefixes": [
    {
      "ipv6_prefix": "cidr",
      "region": "region",
      "network_border_group": "network_border_group",
      "service": "subset"
    }
  ]  
}

syncToken

L'heure de publication, au format d'heure Unix epoch.

Type : Chaîne

Exemple : "syncToken": "1416435608"

createDate

La date et l'heure de publication, en UTC YY-MM-DD-hh-mm-ss .

Type : Chaîne

Exemple : "createDate": "2014-11-19-23-29-02"

prefixes

Les préfixes IP pour les plages d'adresses IPv4.

Type : Tableau

ipv6_prefixes

Les préfixes IP pour les plages d'adresses IPv6.

Type : Tableau

ip_prefix

La plage d'adresses IPv4 publiques, en notation CIDR. Notez qu'AWS peut publier un préfixe dans des plages d'adresses plus spécifiques. Par exemple, le préfixe 96.127.0.0/17 du fichier peut être annoncé comme 96.127.0.0/21, 96.127.8.0/21, 96.127.32.0/19 et 96.127.64.0/18.

Type : Chaîne

Exemple : "ip_prefix": "198.51.100.2/24"

ipv6_prefix

La plage d'adresses IPv6 publiques, en notation CIDR. Notez qu'AWS peut publier un préfixe dans des plages d'adresses plus spécifiques.

Type : Chaîne

Exemple : "ipv6_prefix": "2001:db8:1234::/64"

network_border_group

Nom du groupe de bordure réseau, qui est un ensemble unique de zones de disponibilité ou de Local Zones à partir desquellesAWSannonce des adresses IP.

Type : Chaîne

Exemple : "network_border_group": "us-west-2-lax-1"

Région

La région AWS ou GLOBAL pour les emplacements périphériques. Les plages CLOUDFRONT et ROUTE53 ont pour valeur GLOBAL.

Type : Chaîne

Exemple : "region": "us-east-1"

web

Le sous-ensemble des plages d'adresses IP. Les adresses répertoriées pour API_GATEWAY sont des adresses de sortie uniquement. Spécifiez AMAZON pour obtenir toutes les plages d'adresses IP (ce qui signifie que chaque sous-ensemble se trouve également dans le sous-ensemble AMAZON). Cependant, certaines plages d'adresses IP se trouvent uniquement dans le sous-ensemble AMAZON (ce qui signifie qu'elles ne sont pas disponibles dans un autre sous-ensemble).

Type : Chaîne

Exemple : "service": "AMAZON"

Filtrage du fichier JSON

Vous pouvez télécharger un outil de ligne de commande pour vous aider à ne filtrer que les informations que vous recherchez.

Windows

Les AWS Tools for Windows PowerShell incluent une applet de commande, Get-AWSPublicIpAddressRange pour analyser ce fichier JSON. Les exemples suivants illustrent son utilisation. Pour plus d'informations, veuillez consulter la rubriqueInterrogation des plages d'adresses IP publiques pourAWSetGet...AWSPublicIpAddressRange.

Exemple 1. Obtenir la date de création


PS C:\> Get-AWSPublicIpAddressRange -OutputPublicationDate

Wednesday, August 22, 2018 9:22:35 PM

Exemple 2. Obtenir l'information pour une région spécifique


PS C:\> Get-AWSPublicIpAddressRange -Region us-east-1

IpPrefix        Region      NetworkBorderGroup         Service
--------        ------       -------                   -------
23.20.0.0/14    us-east-1    us-east-1                 AMAZON
50.16.0.0/15    us-east-1    us-east-1                 AMAZON
50.19.0.0/16    us-east-1    us-east-1                 AMAZON
...

Exemple 3. Obtenir toutes les adresses IP


PS C:\> (Get-AWSPublicIpAddressRange).IpPrefix
23.20.0.0/14
27.0.0.0/22
43.250.192.0/24
...
2406:da00:ff00::/64
2600:1fff:6000::/40
2a01:578:3::/64
2600:9000::/28

Exemple 4. Obtenir toutes les adresses IPv4


PS C:\> Get-AWSPublicIpAddressRange | where {$_.IpAddressFormat -eq "Ipv4"} | select IpPrefix

IpPrefix
--------
23.20.0.0/14
27.0.0.0/22
43.250.192.0/24
...

Exemple 5. Obtenir toutes les adresses IPv6


PS C:\> Get-AWSPublicIpAddressRange | where {$_.IpAddressFormat -eq "Ipv6"} | select IpPrefix

IpPrefix
--------
2a05:d07c:2000::/40
2a05:d000:8000::/40
2406:dafe:2000::/40
...

Exemple 6. Obtenir toutes les adresses IP pour un service spécifique


PS C:\> Get-AWSPublicIpAddressRange -ServiceKey CODEBUILD | select IpPrefix

IpPrefix
--------
52.47.73.72/29
13.55.255.216/29
52.15.247.208/29
...

Linux

Les exemples de commandes suivantes utilisent l'outil jq pour analyser une copie locale du fichier JSON.

Exemple 1. Obtenir la date de création


$ jq .createDate < ip-ranges.json

"2016-02-18-17-22-15"

Exemple 2. Obtenir l'information pour une région spécifique


$ jq '.prefixes[] | select(.region=="us-east-1")' < ip-ranges.json

{
  "ip_prefix": "23.20.0.0/14",
  "region": "us-east-1",
  "network_border_group": "us-east-1",
  "service": "AMAZON"
},
{
  "ip_prefix": "50.16.0.0/15",
  "region": "us-east-1",
  "network_border_group": "us-east-1",
  "service": "AMAZON"
},
{
  "ip_prefix": "50.19.0.0/16",
  "region": "us-east-1",
  "network_border_group": "us-east-1",
  "service": "AMAZON"
},
...

Exemple 3. Obtenir toutes les adresses IPv4


$ jq -r '.prefixes | .[].ip_prefix' < ip-ranges.json

23.20.0.0/14
27.0.0.0/22
43.250.192.0/24
...

Exemple 4. Obtenir toutes les adresses IPv6


$ jq -r '.ipv6_prefixes | .[].ipv6_prefix' < ip-ranges.json

2a05:d07c:2000::/40
2a05:d000:8000::/40
2406:dafe:2000::/40
...

Exemple 5. Obtenir toutes les adresses IPv4 pour un service spécifique


$ jq -r '.prefixes[] | select(.service=="CODEBUILD") | .ip_prefix' < ip-ranges.json

52.47.73.72/29
13.55.255.216/29
52.15.247.208/29
...

Exemple 6. Obtenir toutes les adresses IPv4 pour un service spécifique dans une région spécifique


$ jq -r '.prefixes[] | select(.region=="us-east-1") | select(.service=="CODEBUILD") | .ip_prefix' < ip-ranges.json

34.228.4.208/28

Exemple 7. Obtention d'informations sur un groupe de bordure réseau spécifique


$ jq -r '.prefixes[] | select(.region=="us-west-2") | select(.network_border_group=="us-west-2-lax-1") | .ip_prefix' < ip-ranges.json
70.224.192.0/18
52.95.230.0/24
15.253.0.0/16
...

Implémentation du contrôle de sortie

Pour autoriser l'accès à une instance uniquementAWSservices, créez un groupe de sécurité avec des règles qui autorisent le trafic sortant vers les blocs CIDR dansAMAZONliste, moins les blocs CIDR qui se trouvent également dans leEC2liste. Les adresses IP dans la liste EC2 peuvent être attribuées à des instances EC2.

Windows PowerShell

les PowerShell un exemple vous montre comment obtenir les adresses IP qui se trouvent dansAMAZONliste mais pas laEC2liste. Copiez le script et enregistrez-le dans un fichier appelé Select_address.ps1.


$amazon_addresses = Get-AWSPublicIpAddressRange -ServiceKey amazon
$ec2_addresses = Get-AWSPublicIpAddressRange -ServiceKey ec2

ForEach ($address in $amazon_addresses)
{
    if( $ec2_addresses.IpPrefix -notcontains $address.IpPrefix)
    {
       ($address).IpPrefix 
    }
}

Vous pouvez exécuter ce script comme suit :


PS C:\> .\Select_address.ps1
13.32.0.0/15
13.35.0.0/16
13.248.0.0/20
13.248.16.0/21
13.248.24.0/22
13.248.28.0/22
27.0.0.0/22
43.250.192.0/24
43.250.193.0/24
...

jq

L'exemple suivant vous montre comment obtenir les adresses IP qui se trouvent dans la liste AMAZON, mais pas la liste EC2 pour toutes les régions :


jq -r '[.prefixes[] | select(.service=="AMAZON").ip_prefix] - [.prefixes[] | select(.service=="EC2").ip_prefix] | .[]' < ip-ranges.json

52.94.22.0/24
52.94.17.0/24
52.95.154.0/23
52.95.212.0/22
54.239.0.240/28
54.239.54.0/23
52.119.224.0/21
...

L'exemple suivant vous montre comment filtrer les résultats pour une région :


jq -r '[.prefixes[] | select(.region=="us-east-1" and .service=="AMAZON").ip_prefix] - [.prefixes[] | select(.region=="us-east-1" and .service=="EC2").ip_prefix] | .[]' < ip-ranges.json

Python

Le script python suivant vous montre comment obtenir les adresses IP qui se trouvent dans la liste AMAZON, mais pas la liste EC2. Copiez le script et enregistrez-le dans un fichier appelé get_ips.py.


#!/usr/bin/env python
import requests

ip_ranges = requests.get('https://ip-ranges.amazonaws.com/ip-ranges.json').json()['prefixes']
amazon_ips = [item['ip_prefix'] for item in ip_ranges if item["service"] == "AMAZON"]
ec2_ips = [item['ip_prefix'] for item in ip_ranges if item["service"] == "EC2"]

amazon_ips_less_ec2=[]
     
for ip in amazon_ips:
    if ip not in ec2_ips:
        amazon_ips_less_ec2.append(ip)

for ip in amazon_ips_less_ec2: print(str(ip))

Vous pouvez exécuter ce script comme suit :


$ python ./get_ips.py
13.32.0.0/15
13.35.0.0/16
13.248.0.0/20
13.248.16.0/21
13.248.24.0/22
13.248.28.0/22
27.0.0.0/22
43.250.192.0/24
43.250.193.0/24
...

Chaque fois qu'il y a un changement dansAWSPlages d'adresses IP, nous envoyons des notifications aux abonnés deAmazonIpSpaceChangedRubrique. La charge utile contient des informations au format suivant :


{
  "create-time":"yyyy-mm-ddThh:mm:ss+00:00",
  "synctoken":"0123456789",
  "md5":"6a45316e8bc9463c9e926d5d37836d33",
  "url":"https://ip-ranges.amazonaws.com/ip-ranges.json"
}

create-time

La date et l'heure de création.

Les notifications peuvent être diffusées dans le désordre. Par conséquent, nous vous recommandons de vérifier les horodatages pour vous assurer que l'ordre est correct.

synctoken

L'heure de publication, au format d'heure Unix epoch.

md5

La valeur de hachage de chiffrement du fichier ip-ranges.json. Vous pouvez utiliser cette valeur pour vérifier si le fichier téléchargé est corrompu.

url

L'emplacement du fichier ip-ranges.json.

Si vous souhaitez être averti chaque fois qu'une modification est apportée àAWSPlages d'adresses IP, vous pouvez vous abonner comme suit pour recevoir des notifications via Amazon SNS.

Pour s'abonner àAWSNotifications de plage d'adresses

Ouvrez la console Amazon SNS à partir de l'adresse https://console.aws.amazon.com/sns/v3/home.
Dans la barre de navigation, changez la région en US Est (Virginie du Nord), si nécessaire. Vous devez sélectionner cette région, car les notifications SNS auxquelles vous vous abonnez ont été créées dans cette région.
Dans le panneau de navigation, choisissez Abonnements.
Choisissez Créer un abonnement.
Dans la boîte de dialogue Créer un abonnement, exécutez l'une des actions suivantes :
1. Pour ARN de la rubrique, copiez l'Amazon Resource Name (ARN) suivant :
```
arn:aws:sns:us-east-1:806199016981:AmazonIpSpaceChanged
```
2. Pour Protocole, choisissez le protocole à utiliser (par exemple, Email).
3. Pour Point de terminaison, tapez le point de terminaison qui recevra la notification (par exemple, votre adresse e-mail).
4. Choisissez Create subscription (Créer un abonnement).
Vous allez être contacté sur le point de terminaison que vous avez spécifié et sur lequel vous avez été invité à confirmer votre abonnement. Par exemple, si vous avez spécifié une adresse e-mail, vous recevrez un message électronique avec l'objet AWS Notification - Subscription Confirmation. Suivez les instructions pour confirmer votre abonnement.

Les notifications sont soumises à la disponibilité du point de terminaison. Par conséquent, vous voudrez peut-être consulter le fichier JSON régulièrement pour vérifier que vous disposez bien des dernières plages d'adresses. Pour plus d'informations sur la fiabilité Amazon SNS, consultez.http://aws.amazon.com/sns/faqs/#Reliability.

Si vous ne souhaitez plus recevoir ces notifications, exécutez la procédure suivante pour annuler votre abonnement.

Pour annuler votre abonnementAWSnotifications de plages d'adresses IP.

Ouvrez la console Amazon SNS à partir de l'adresse https://console.aws.amazon.com/sns/v3/home.
Dans le panneau de navigation, choisissez Abonnements.
Cochez la case correspondant à l'abonnement.
Dans le menu Actions, choisissez Supprimer des abonnements.
Lorsque vous êtes invité à confirmer l'opération, choisissez Delete (Supprimer).

Pour plus d'informations sur Amazon SNS, consultez le Guide du développeur d'Amazon Simple Notification Service.

Notes de mise à jour

Le tableau suivant décrit les mises à jour apportées àAWSPlages d'adresses IP. Nous ajoutons également de nouveaux codes de région à chaque lancement de région.

Description	Date de publication
Ajout du code de service `CLOUDFRONT_ORIGIN_FACING`.	12 octobre 2021
Ajout du code de service `ROUTE53_RESOLVER`.	24 juin 2021
Ajout du code de service `EBS`.	12 mai 2021
Ajout du code de service `KINESIS_VIDEO_STREAMS`.	19 novembre 2020
Ajout des codes de service `CHIME_MEETINGS` et `CHIME_VOICECONNECTOR`.	19 juin 2020
Ajout du code de service `AMAZON_APPFLOW`.	9 juin 2020
Ajout de la prise en charge du groupe de bordure réseau.	7 avril 2020
Ajout du code de service `WORKSPACES_GATEWAYS`.	30 mars 2020
Ajout du code de service `ROUTE53_HEALTHCHECK_PUBLISHING`.	30 janvier 2020
Ajout du code de service `API_GATEWAY`.	26 septembre 2019
Ajout du code de service `EC2_INSTANCE_CONNECT`.	26 juin 2019
Ajout du code de service `DYNAMODB`.	25 avril 2019
Ajout du code de service `GLOBALACCELERATOR`.	le 20 décembre 2018
Ajout du code de service `AMAZON_CONNECT`.	le 20 juin 2018
Ajout du code de service `CLOUD9`.	le 20 juin 2018
Ajout du code de service `CODEBUILD`.	19 avril 2018
Ajout du code de service `S3`.	28 février 2017
Ajout de la prise en charge des plages d'adresses IPv6.	22 août 2016
Première version	19 novembre 2014

En savoir plus

AMAZON_APPFLOW–Plages d'adresses IP
AMAZON_CONNECT–Configurer votre réseau
CLOUDFRONT–Emplacements et plages d'adresses IP de CloudFront serveurs périphériques
DYNAMODB–Plages d'adresses IP
EC2–Adresses IPV4 publiques
EC2_INSTANCE_CONNECT–Configurer EC2 Instance Connect
GLOBALACCELERATOR–Emplacements et plages d'adresses IP des serveurs périphériques Global Accelerator
ROUTE53–Plages d'adresses IP de serveurs Amazon Route 53
ROUTE53_HEALTHCHECKS–Plages d'adresses IP de serveurs Amazon Route 53
ROUTE53_HEALTHCHECKS_PUBLISHING–Plages d'adresses IP de serveurs Amazon Route 53
WORKSPACES_GATEWAYS–Serveurs de passerelle PCoIP

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Amazon Resource Names (ARN)

Prise en charge d'IPv6