AWSPlages d'adresses IP - Référence générale d'AWS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWSPlages d'adresses IP

Amazon Web Services (AWS) publie ses plages d'adresses IP actuelles au format JSON. Pour afficher les plages actuelles, téléchargez le fichier .json. Pour conserver l'historique, enregistrez les versions successives du fichier .json sur votre système. Pour déterminer si des modifications ont été apportées depuis la dernière fois que vous avez enregistré le fichier, vérifiez l'heure de publication du fichier actuel et comparez-la à l'heure de publication du dernier fichier que vous avez enregistré.

Download

Téléchargez ip-ranges.json .

Si vous accédez à ce fichier par programmation, vous êtes tenu de vous s'assurer que l'application télécharge le fichier seulement après avoir correctement vérifié le certificat TLS présenté par le serveur.

Syntax

La syntaxe d'ip-ranges.json est la suivante.

{ "syncToken": "0123456789", "createDate": "yyyy-mm-dd-hh-mm-ss", "prefixes": [ { "ip_prefix": "cidr", "region": "region", "network_border_group": "network_border_group", "service": "subset" } ], "ipv6_prefixes": [ { "ipv6_prefix": "cidr", "region": "region", "network_border_group": "network_border_group", "service": "subset" } ] }
syncToken

L'heure de publication, au format d'heure Unix epoch.

Type : String

Exemple: "syncToken": "1416435608"

createDate

Date et heure de publication, au format UTC Yy-MM-DD-HH-MM-SS.

Type : String

Exemple: "createDate": "2014-11-19-23-29-02"

prefixes

Les préfixes IP pour les plages d'adresses IPv4.

Type : Array

ipv6_prefixes

Les préfixes IP pour les plages d'adresses IPv6.

Type : Array

ip_prefix

La plage d'adresses IPv4 publiques, en notation CIDR. Notez qu'AWS peut publier un préfixe dans des plages d'adresses plus spécifiques. Par exemple, le préfixe 96.127.0.0/17 du fichier peut être annoncé comme 96.127.0.0/21, 96.127.8.0/21, 96.127.32.0/19 et 96.127.64.0/18.

Type : String

Exemple: "ip_prefix": "198.51.100.2/24"

ipv6_prefix

La plage d'adresses IPv6 publiques, en notation CIDR. Notez qu'AWS peut publier un préfixe dans des plages d'adresses plus spécifiques.

Type : String

Exemple: "ipv6_prefix": "2001:db8:1234::/64"

network_border_group

Nom du groupe de bordure réseau, qui est un ensemble unique de zones de disponibilité ou de Local Zones à partir desquellesAWSpublie les adresses IP.

Type : String

Exemple: "network_border_group": "us-west-2-lax-1"

region

La région AWS ou GLOBAL pour les emplacements périphériques. Les plages CLOUDFRONT et ROUTE53 ont pour valeur GLOBAL.

Type : String

Valeurs valides : ap-east-1 | ap-northeast-1 | ap-northeast-2 | ap-northeast-3 | ap-south-1 | ap-southeast-1 | ap-southeast-2 | ca-central-1 | cn-north-1 | cn-northwest-1 | eu-central-1 | eu-north-1 | eu-west-1 | eu-west-2 | eu-west-3 | sa-east-1 | us-east-1 | us-east-2 | us-gov-east-1 | us-gov-west-1 | us-west-1 | us-west-2 | GLOBAL

Exemple: "region": "us-east-1"

web

Le sous-ensemble des plages d'adresses IP. Les adresses répertoriées pour API_GATEWAY sont des adresses de sortie uniquement. Spécifiez AMAZON pour obtenir toutes les plages d'adresses IP (ce qui signifie que chaque sous-ensemble se trouve également dans le sous-ensemble AMAZON). Cependant, certaines plages d'adresses IP se trouvent uniquement dans le sous-ensemble AMAZON (ce qui signifie qu'elles ne sont pas disponibles dans un autre sous-ensemble).

Type : String

Valeurs valides :AMAZON|AMAZON_APPFLOW|AMAZON_CONNECT|API_GATEWAY|CHIME_MEETINGS|CHIME_VOICECONNECTOR|CLOUD9|CLOUDFRONT|CODEBUILD|DYNAMODB|EBS|EC2|EC2_INSTANCE_CONNECT|GLOBALACCELERATOR|KINESIS_VIDEO_STREAMS|ROUTE53|ROUTE53_HEALTHCHECKS|ROUTE53_HEALTHCHECKS_PUBLISHING|ROUTE53_RESOLVER|S3|WORKSPACES_GATEWAYS

Exemple: "service": "AMAZON"

Filtrage du fichier JSON

Vous pouvez télécharger un outil de ligne de commande pour vous aider à ne filtrer que les informations que vous recherchez.

Windows

Les AWS Tools for Windows PowerShell incluent une applet de commande, Get-AWSPublicIpAddressRange pour analyser ce fichier JSON. Les exemples suivants illustrent son utilisation. Pour plus d'informations, consultez Interrogation des plages d'adresses IP publiques pour AWS et Get-AWSPublicIpAddressRange.

Exemple 1. Obtenir la date de création

PS C:\> Get-AWSPublicIpAddressRange -OutputPublicationDate Wednesday, August 22, 2018 9:22:35 PM

Exemple 2. Obtenir l'information pour une région spécifique

PS C:\> Get-AWSPublicIpAddressRange -Region us-east-1 IpPrefix Region NetworkBorderGroup Service -------- ------ ------- ------- 23.20.0.0/14 us-east-1 us-east-1 AMAZON 50.16.0.0/15 us-east-1 us-east-1 AMAZON 50.19.0.0/16 us-east-1 us-east-1 AMAZON ...

Exemple 3. Obtenir toutes les adresses IP

PS C:\> (Get-AWSPublicIpAddressRange).IpPrefix 23.20.0.0/14 27.0.0.0/22 43.250.192.0/24 ... 2406:da00:ff00::/64 2600:1fff:6000::/40 2a01:578:3::/64 2600:9000::/28

Exemple 4. Obtenir toutes les adresses IPv4

PS C:\> Get-AWSPublicIpAddressRange | where {$_.IpAddressFormat -eq "Ipv4"} | select IpPrefix IpPrefix -------- 23.20.0.0/14 27.0.0.0/22 43.250.192.0/24 ...

Exemple 5. Obtenir toutes les adresses IPv6

PS C:\> Get-AWSPublicIpAddressRange | where {$_.IpAddressFormat -eq "Ipv6"} | select IpPrefix IpPrefix -------- 2a05:d07c:2000::/40 2a05:d000:8000::/40 2406:dafe:2000::/40 ...

Exemple 6. Obtenir toutes les adresses IP pour un service spécifique

PS C:\> Get-AWSPublicIpAddressRange -ServiceKey CODEBUILD | select IpPrefix IpPrefix -------- 52.47.73.72/29 13.55.255.216/29 52.15.247.208/29 ...

Linux

Les exemples de commandes suivantes utilisent l'outil jq pour analyser une copie locale du fichier JSON.

Exemple 1. Obtenir la date de création

$ jq .createDate < ip-ranges.json "2016-02-18-17-22-15"

Exemple 2. Obtenir l'information pour une région spécifique

$ jq '.prefixes[] | select(.region=="us-east-1")' < ip-ranges.json { "ip_prefix": "23.20.0.0/14", "region": "us-east-1", "network_border_group": "us-east-1", "service": "AMAZON" }, { "ip_prefix": "50.16.0.0/15", "region": "us-east-1", "network_border_group": "us-east-1", "service": "AMAZON" }, { "ip_prefix": "50.19.0.0/16", "region": "us-east-1", "network_border_group": "us-east-1", "service": "AMAZON" }, ...

Exemple 3. Obtenir toutes les adresses IPv4

$ jq -r '.prefixes | .[].ip_prefix' < ip-ranges.json 23.20.0.0/14 27.0.0.0/22 43.250.192.0/24 ...

Exemple 4. Obtenir toutes les adresses IPv6

$ jq -r '.ipv6_prefixes | .[].ipv6_prefix' < ip-ranges.json 2a05:d07c:2000::/40 2a05:d000:8000::/40 2406:dafe:2000::/40 ...

Exemple 5. Obtenir toutes les adresses IPv4 pour un service spécifique

$ jq -r '.prefixes[] | select(.service=="CODEBUILD") | .ip_prefix' < ip-ranges.json 52.47.73.72/29 13.55.255.216/29 52.15.247.208/29 ...

Exemple 6. Obtenir toutes les adresses IPv4 pour un service spécifique dans une région spécifique

$ jq -r '.prefixes[] | select(.region=="us-east-1") | select(.service=="CODEBUILD") | .ip_prefix' < ip-ranges.json 34.228.4.208/28

Exemple 7. Obtention d'informations sur un groupe de bordure réseau spécifique

$ jq -r '.prefixes[] | select(.region=="us-west-2") | select(.network_border_group=="us-west-2-lax-1") | .ip_prefix' < ip-ranges.json us-west-2-lax-1

Implémentation du contrôle de sortie

Pour autoriser une instance à accéder uniquementAWS, créez un groupe de sécurité avec des règles qui autorisent le trafic sortant vers les blocs CIDR dans leAMAZON, moins les blocs CIDR qui se trouvent également dans la listeEC2liste Les adresses IP dans la liste EC2 peuvent être attribuées à des instances EC2.

Windows PowerShell

L'exemple PowerShell suivant vous montre comment obtenir les adresses IP qui se trouvent dans la liste AMAZON, mais pas la liste EC2. Copiez le script et enregistrez-le dans un fichier appelé Select_address.ps1.

$amazon_addresses = Get-AWSPublicIpAddressRange -ServiceKey amazon $ec2_addresses = Get-AWSPublicIpAddressRange -ServiceKey ec2 ForEach ($address in $amazon_addresses) { if( $ec2_addresses.IpPrefix -notcontains $address.IpPrefix) { ($address).IpPrefix } }

Vous pouvez exécuter ce script comme suit :

PS C:\> .\Select_address.ps1 13.32.0.0/15 13.35.0.0/16 13.248.0.0/20 13.248.16.0/21 13.248.24.0/22 13.248.28.0/22 27.0.0.0/22 43.250.192.0/24 43.250.193.0/24 ...

jq

L'exemple suivant vous montre comment obtenir les adresses IP qui se trouvent dans la liste AMAZON, mais pas la liste EC2 pour toutes les régions :

jq -r '[.prefixes[] | select(.service=="AMAZON").ip_prefix] - [.prefixes[] | select(.service=="EC2").ip_prefix] | .[]' < ip-ranges.json 52.94.22.0/24 52.94.17.0/24 52.95.154.0/23 52.95.212.0/22 54.239.0.240/28 54.239.54.0/23 52.119.224.0/21 ...

L'exemple suivant vous montre comment filtrer les résultats pour une région :

jq -r '[.prefixes[] | select(.region=="us-east-1" and .service=="AMAZON").ip_prefix] - [.prefixes[] | select(.region=="us-east-1" and .service=="EC2").ip_prefix] | .[]' < ip-ranges.json

Python

Le script python suivant vous montre comment obtenir les adresses IP qui se trouvent dans la liste AMAZON, mais pas la liste EC2. Copiez le script et enregistrez-le dans un fichier appelé get_ips.py.

#!/usr/bin/env python import requests ip_ranges = requests.get('https://ip-ranges.amazonaws.com/ip-ranges.json').json()['prefixes'] amazon_ips = [item['ip_prefix'] for item in ip_ranges if item["service"] == "AMAZON"] ec2_ips = [item['ip_prefix'] for item in ip_ranges if item["service"] == "EC2"] amazon_ips_less_ec2=[] for ip in amazon_ips: if ip not in ec2_ips: amazon_ips_less_ec2.append(ip) for ip in amazon_ips_less_ec2: print(str(ip))

Vous pouvez exécuter ce script comme suit :

$ python ./get_ips.py 13.32.0.0/15 13.35.0.0/16 13.248.0.0/20 13.248.16.0/21 13.248.24.0/22 13.248.28.0/22 27.0.0.0/22 43.250.192.0/24 43.250.193.0/24 ...

AWSNotification des plages d'adresses IP

Chaque fois qu'il y a une modification de laAWSPlages d'adresses IP, nous envoyons des notifications aux abonnés de laAmazonIpSpaceChangedrubrique La charge utile contient des informations au format suivant :

{ "create-time":"yyyy-mm-ddThh:mm:ss+00:00", "synctoken":"0123456789", "md5":"6a45316e8bc9463c9e926d5d37836d33", "url":"https://ip-ranges.amazonaws.com/ip-ranges.json" }
create-time

La date et l'heure de création.

Les notifications peuvent être diffusées dans le désordre. Par conséquent, nous vous recommandons de vérifier les horodatages pour vous assurer que l'ordre est correct.

synctoken

L'heure de publication, au format d'heure Unix epoch.

md5

La valeur de hachage de chiffrement du fichier ip-ranges.json. Vous pouvez utiliser cette valeur pour vérifier si le fichier téléchargé est corrompu.

url

L'emplacement du fichier ip-ranges.json.

Si vous souhaitez être averti chaque fois qu'une modification deAWSPlages d'adresses IP, vous pouvez vous abonner comme suit pour recevoir des notifications à l'aide d'Amazon SNS.

Pour vous abonner àAWSNotification des plages d'adresses IP

  1. Ouvrez la console Amazon SNS à partir de l'adresse https://console.aws.amazon.com/sns/v3/home.

  2. Dans la barre de navigation, changez la région en US Est (Virginie du Nord), si nécessaire. Vous devez sélectionner cette région, car les notifications SNS auxquelles vous vous abonnez ont été créées dans cette région.

  3. Dans le panneau de navigation, choisissez Abonnements.

  4. Choisissez Créer un abonnement.

  5. Dans la boîte de dialogue Créer un abonnement, exécutez l'une des actions suivantes :

    1. Pour ARN de la rubrique, copiez l'Amazon Resource Name (ARN) suivant :

      arn:aws:sns:us-east-1:806199016981:AmazonIpSpaceChanged
    2. Pour Protocole, choisissez le protocole à utiliser (par exemple, Email).

    3. Pour Point de terminaison, tapez le point de terminaison qui recevra la notification (par exemple, votre adresse e-mail).

    4. Choisissez Créer un abonnement.

  6. Vous allez être contacté sur le point de terminaison que vous avez spécifié et sur lequel vous avez été invité à confirmer votre abonnement. Par exemple, si vous avez spécifié une adresse e-mail, vous recevrez un message électronique avec l'objet AWS Notification - Subscription Confirmation. Suivez les instructions pour confirmer votre abonnement.

Les notifications sont soumises à la disponibilité du point de terminaison. Par conséquent, vous voudrez peut-être consulter le fichier JSON régulièrement pour vérifier que vous disposez bien des dernières plages d'adresses. Pour de plus amples informations sur la fiabilité Amazon SNS, veuillez consulterhttp://aws.amazon.com/sns/faqs/#Reliability.

Si vous ne souhaitez plus recevoir ces notifications, exécutez la procédure suivante pour annuler votre abonnement.

Pour annuler votre abonnement àAWSNotification des plages d'adresses IP

  1. Ouvrez la console Amazon SNS à partir de l'adresse https://console.aws.amazon.com/sns/v3/home.

  2. Dans le panneau de navigation, choisissez Abonnements.

  3. Cochez la case correspondant à l'abonnement.

  4. Dans le menu Actions, choisissez Supprimer des abonnements.

  5. Lorsque vous êtes invité à confirmer l'opération, choisissez Supprimer.

Pour de plus amples informations sur Amazon SNS, veuillez consulter leGuide du développeur Amazon Simple Notification Service Guide.

Notes de mise à jour

Le tableau suivant décrit les mises à jour de laAWSPlages d'adresses IP Nous ajoutons également de nouveaux codes de région à chaque lancement de région.

Description Date de publication
Ajout du code de service ROUTE53_RESOLVER. 24 juin 2021
Ajout du code de service EBS. 12 mai 2021
Ajout du code de service KINESIS_VIDEO_STREAMS. 19 novembre 2020
Ajout des codes de service CHIME_MEETINGS et CHIME_VOICECONNECTOR. 19 juin 2020
Ajout du code de service AMAZON_APPFLOW. 9 juin 2020
Ajout de la prise en charge du groupe de bordure réseau. 7 avril 2020
Ajout du code de service WORKSPACES_GATEWAYS. 30 mars 2020
Ajout du code de service ROUTE53_HEALTHCHECK_PUBLISHING. 30 janvier 2020
Ajout du code de service API_GATEWAY. 26 septembre 2019
Ajout du code de service EC2_INSTANCE_CONNECT. 26 juin 2019
Ajout du code de service DYNAMODB. 25 avril 2019
Ajout du code de service GLOBALACCELERATOR. 20 décembre 2018
Ajout du code de service AMAZON_CONNECT. 20 juin 2018
Ajout du code de service CLOUD9. 20 juin 2018
Ajout du code de service CODEBUILD. 19 avril 2018
Ajout du code de service S3. 28 février 2017
Ajout de la prise en charge des plages d'adresses IPv6. 22 août 2016
Première version 19 novembre 2014