Download Syntax Filtrage du fichier JSON Implémentation du contrôle de sortie AWSNotification des plages d'adresses IP Notes de mise à jour

AWSPlages d'adresses IP

Amazon Web Services (AWS) publie ses plages d'adresses IP actuelles au format JSON. Pour afficher les plages actuelles, téléchargez le fichier .json. Pour conserver l'historique, enregistrez les versions successives du fichier .json sur votre système. Pour déterminer si des modifications ont été apportées depuis la dernière fois que vous avez enregistré le fichier, vérifiez l'heure de publication du fichier actuel et comparez-la à l'heure de publication du dernier fichier que vous avez enregistré.

Sommaire

Download
Syntax
Filtrage du fichier JSON
Implémentation du contrôle de sortie
AWSNotification des plages d'adresses IP
Notes de mise à jour

Download

Téléchargez ip-ranges.json .

Si vous accédez à ce fichier par programmation, vous êtes tenu de vous s'assurer que l'application télécharge le fichier seulement après avoir correctement vérifié le certificat TLS présenté par le serveur.

Syntax

La syntaxe d'ip-ranges.json est la suivante.


{
  "syncToken": "0123456789",
  "createDate": "yyyy-mm-dd-hh-mm-ss",
  "prefixes": [
    {
      "ip_prefix": "cidr",
      "region": "region",
      "network_border_group": "network_border_group",
      "service": "subset"
    }
  ],
  "ipv6_prefixes": [
    {
      "ipv6_prefix": "cidr",
      "region": "region",
      "network_border_group": "network_border_group",
      "service": "subset"
    }
  ]  
}

syncToken

L'heure de publication, au format d'heure Unix epoch.

Type : String

Exemple: "syncToken": "1416435608"

createDate

Date et heure de publication, au format UTC Yy-MM-DD-HH-MM-SS.

Type : String

Exemple: "createDate": "2014-11-19-23-29-02"

prefixes

Les préfixes IP pour les plages d'adresses IPv4.

Type : Array

ipv6_prefixes

Les préfixes IP pour les plages d'adresses IPv6.

Type : Array

ip_prefix

La plage d'adresses IPv4 publiques, en notation CIDR. Notez qu'AWS peut publier un préfixe dans des plages d'adresses plus spécifiques. Par exemple, le préfixe 96.127.0.0/17 du fichier peut être annoncé comme 96.127.0.0/21, 96.127.8.0/21, 96.127.32.0/19 et 96.127.64.0/18.

Type : String

Exemple: "ip_prefix": "198.51.100.2/24"

ipv6_prefix

La plage d'adresses IPv6 publiques, en notation CIDR. Notez qu'AWS peut publier un préfixe dans des plages d'adresses plus spécifiques.

Type : String

Exemple: "ipv6_prefix": "2001:db8:1234::/64"

network_border_group

Nom du groupe de bordure réseau, qui est un ensemble unique de zones de disponibilité ou de Local Zones à partir desquellesAWSpublie les adresses IP.

Type : String

Exemple: "network_border_group": "us-west-2-lax-1"

region

La région AWS ou GLOBAL pour les emplacements périphériques. Les plages CLOUDFRONT et ROUTE53 ont pour valeur GLOBAL.

Type : String

Exemple: "region": "us-east-1"

web

Le sous-ensemble des plages d'adresses IP. Les adresses répertoriées pour API_GATEWAY sont des adresses de sortie uniquement. Spécifiez AMAZON pour obtenir toutes les plages d'adresses IP (ce qui signifie que chaque sous-ensemble se trouve également dans le sous-ensemble AMAZON). Cependant, certaines plages d'adresses IP se trouvent uniquement dans le sous-ensemble AMAZON (ce qui signifie qu'elles ne sont pas disponibles dans un autre sous-ensemble).

Type : String

Exemple: "service": "AMAZON"

Filtrage du fichier JSON

Vous pouvez télécharger un outil de ligne de commande pour vous aider à ne filtrer que les informations que vous recherchez.

Windows

Les AWS Tools for Windows PowerShell incluent une applet de commande, Get-AWSPublicIpAddressRange pour analyser ce fichier JSON. Les exemples suivants illustrent son utilisation. Pour plus d'informations, consultez Interrogation des plages d'adresses IP publiques pour AWS et Get-AWSPublicIpAddressRange.

Exemple 1. Obtenir la date de création


PS C:\> Get-AWSPublicIpAddressRange -OutputPublicationDate

Wednesday, August 22, 2018 9:22:35 PM

Exemple 2. Obtenir l'information pour une région spécifique


PS C:\> Get-AWSPublicIpAddressRange -Region us-east-1

IpPrefix        Region      NetworkBorderGroup         Service
--------        ------       -------                   -------
23.20.0.0/14    us-east-1    us-east-1                 AMAZON
50.16.0.0/15    us-east-1    us-east-1                 AMAZON
50.19.0.0/16    us-east-1    us-east-1                 AMAZON
...

Exemple 3. Obtenir toutes les adresses IP


PS C:\> (Get-AWSPublicIpAddressRange).IpPrefix
23.20.0.0/14
27.0.0.0/22
43.250.192.0/24
...
2406:da00:ff00::/64
2600:1fff:6000::/40
2a01:578:3::/64
2600:9000::/28

Exemple 4. Obtenir toutes les adresses IPv4


PS C:\> Get-AWSPublicIpAddressRange | where {$_.IpAddressFormat -eq "Ipv4"} | select IpPrefix

IpPrefix
--------
23.20.0.0/14
27.0.0.0/22
43.250.192.0/24
...

Exemple 5. Obtenir toutes les adresses IPv6


PS C:\> Get-AWSPublicIpAddressRange | where {$_.IpAddressFormat -eq "Ipv6"} | select IpPrefix

IpPrefix
--------
2a05:d07c:2000::/40
2a05:d000:8000::/40
2406:dafe:2000::/40
...

Exemple 6. Obtenir toutes les adresses IP pour un service spécifique


PS C:\> Get-AWSPublicIpAddressRange -ServiceKey CODEBUILD | select IpPrefix

IpPrefix
--------
52.47.73.72/29
13.55.255.216/29
52.15.247.208/29
...

Linux

Les exemples de commandes suivantes utilisent l'outil jq pour analyser une copie locale du fichier JSON.

Exemple 1. Obtenir la date de création


$ jq .createDate < ip-ranges.json

"2016-02-18-17-22-15"

Exemple 2. Obtenir l'information pour une région spécifique


$ jq '.prefixes[] | select(.region=="us-east-1")' < ip-ranges.json

{
  "ip_prefix": "23.20.0.0/14",
  "region": "us-east-1",
  "network_border_group": "us-east-1",
  "service": "AMAZON"
},
{
  "ip_prefix": "50.16.0.0/15",
  "region": "us-east-1",
  "network_border_group": "us-east-1",
  "service": "AMAZON"
},
{
  "ip_prefix": "50.19.0.0/16",
  "region": "us-east-1",
  "network_border_group": "us-east-1",
  "service": "AMAZON"
},
...

Exemple 3. Obtenir toutes les adresses IPv4


$ jq -r '.prefixes | .[].ip_prefix' < ip-ranges.json

23.20.0.0/14
27.0.0.0/22
43.250.192.0/24
...

Exemple 4. Obtenir toutes les adresses IPv6


$ jq -r '.ipv6_prefixes | .[].ipv6_prefix' < ip-ranges.json

2a05:d07c:2000::/40
2a05:d000:8000::/40
2406:dafe:2000::/40
...

Exemple 5. Obtenir toutes les adresses IPv4 pour un service spécifique


$ jq -r '.prefixes[] | select(.service=="CODEBUILD") | .ip_prefix' < ip-ranges.json

52.47.73.72/29
13.55.255.216/29
52.15.247.208/29
...

Exemple 6. Obtenir toutes les adresses IPv4 pour un service spécifique dans une région spécifique


$ jq -r '.prefixes[] | select(.region=="us-east-1") | select(.service=="CODEBUILD") | .ip_prefix' < ip-ranges.json

34.228.4.208/28

Exemple 7. Obtention d'informations sur un groupe de bordure réseau spécifique


$ jq -r '.prefixes[] | select(.region=="us-west-2") | select(.network_border_group=="us-west-2-lax-1") | .ip_prefix' < ip-ranges.json

us-west-2-lax-1

Implémentation du contrôle de sortie

Pour autoriser une instance à accéder uniquementAWS, créez un groupe de sécurité avec des règles qui autorisent le trafic sortant vers les blocs CIDR dans leAMAZON, moins les blocs CIDR qui se trouvent également dans la listeEC2liste Les adresses IP dans la liste EC2 peuvent être attribuées à des instances EC2.

Windows PowerShell

L'exemple PowerShell suivant vous montre comment obtenir les adresses IP qui se trouvent dans la liste AMAZON, mais pas la liste EC2. Copiez le script et enregistrez-le dans un fichier appelé Select_address.ps1.


$amazon_addresses = Get-AWSPublicIpAddressRange -ServiceKey amazon
$ec2_addresses = Get-AWSPublicIpAddressRange -ServiceKey ec2

ForEach ($address in $amazon_addresses)
{
    if( $ec2_addresses.IpPrefix -notcontains $address.IpPrefix)
    {
       ($address).IpPrefix 
    }
}

Vous pouvez exécuter ce script comme suit :


PS C:\> .\Select_address.ps1
13.32.0.0/15
13.35.0.0/16
13.248.0.0/20
13.248.16.0/21
13.248.24.0/22
13.248.28.0/22
27.0.0.0/22
43.250.192.0/24
43.250.193.0/24
...

jq

L'exemple suivant vous montre comment obtenir les adresses IP qui se trouvent dans la liste AMAZON, mais pas la liste EC2 pour toutes les régions :


jq -r '[.prefixes[] | select(.service=="AMAZON").ip_prefix] - [.prefixes[] | select(.service=="EC2").ip_prefix] | .[]' < ip-ranges.json

52.94.22.0/24
52.94.17.0/24
52.95.154.0/23
52.95.212.0/22
54.239.0.240/28
54.239.54.0/23
52.119.224.0/21
...

L'exemple suivant vous montre comment filtrer les résultats pour une région :


jq -r '[.prefixes[] | select(.region=="us-east-1" and .service=="AMAZON").ip_prefix] - [.prefixes[] | select(.region=="us-east-1" and .service=="EC2").ip_prefix] | .[]' < ip-ranges.json

Python

Le script python suivant vous montre comment obtenir les adresses IP qui se trouvent dans la liste AMAZON, mais pas la liste EC2. Copiez le script et enregistrez-le dans un fichier appelé get_ips.py.


#!/usr/bin/env python
import requests

ip_ranges = requests.get('https://ip-ranges.amazonaws.com/ip-ranges.json').json()['prefixes']
amazon_ips = [item['ip_prefix'] for item in ip_ranges if item["service"] == "AMAZON"]
ec2_ips = [item['ip_prefix'] for item in ip_ranges if item["service"] == "EC2"]

amazon_ips_less_ec2=[]
     
for ip in amazon_ips:
    if ip not in ec2_ips:
        amazon_ips_less_ec2.append(ip)

for ip in amazon_ips_less_ec2: print(str(ip))

Vous pouvez exécuter ce script comme suit :


$ python ./get_ips.py
13.32.0.0/15
13.35.0.0/16
13.248.0.0/20
13.248.16.0/21
13.248.24.0/22
13.248.28.0/22
27.0.0.0/22
43.250.192.0/24
43.250.193.0/24
...

Chaque fois qu'il y a une modification de laAWSPlages d'adresses IP, nous envoyons des notifications aux abonnés de laAmazonIpSpaceChangedrubrique La charge utile contient des informations au format suivant :


{
  "create-time":"yyyy-mm-ddThh:mm:ss+00:00",
  "synctoken":"0123456789",
  "md5":"6a45316e8bc9463c9e926d5d37836d33",
  "url":"https://ip-ranges.amazonaws.com/ip-ranges.json"
}

create-time

La date et l'heure de création.

Les notifications peuvent être diffusées dans le désordre. Par conséquent, nous vous recommandons de vérifier les horodatages pour vous assurer que l'ordre est correct.

synctoken

L'heure de publication, au format d'heure Unix epoch.

md5

La valeur de hachage de chiffrement du fichier ip-ranges.json. Vous pouvez utiliser cette valeur pour vérifier si le fichier téléchargé est corrompu.

url

L'emplacement du fichier ip-ranges.json.

Si vous souhaitez être averti chaque fois qu'une modification deAWSPlages d'adresses IP, vous pouvez vous abonner comme suit pour recevoir des notifications à l'aide d'Amazon SNS.

Pour vous abonner àAWSNotification des plages d'adresses IP

Ouvrez la console Amazon SNS à partir de l'adresse https://console.aws.amazon.com/sns/v3/home.
Dans la barre de navigation, changez la région en US Est (Virginie du Nord), si nécessaire. Vous devez sélectionner cette région, car les notifications SNS auxquelles vous vous abonnez ont été créées dans cette région.
Dans le panneau de navigation, choisissez Abonnements.
Choisissez Créer un abonnement.
Dans la boîte de dialogue Créer un abonnement, exécutez l'une des actions suivantes :
1. Pour ARN de la rubrique, copiez l'Amazon Resource Name (ARN) suivant :
```
arn:aws:sns:us-east-1:806199016981:AmazonIpSpaceChanged
```
2. Pour Protocole, choisissez le protocole à utiliser (par exemple, Email).
3. Pour Point de terminaison, tapez le point de terminaison qui recevra la notification (par exemple, votre adresse e-mail).
4. Choisissez Créer un abonnement.
Vous allez être contacté sur le point de terminaison que vous avez spécifié et sur lequel vous avez été invité à confirmer votre abonnement. Par exemple, si vous avez spécifié une adresse e-mail, vous recevrez un message électronique avec l'objet AWS Notification - Subscription Confirmation. Suivez les instructions pour confirmer votre abonnement.

Les notifications sont soumises à la disponibilité du point de terminaison. Par conséquent, vous voudrez peut-être consulter le fichier JSON régulièrement pour vérifier que vous disposez bien des dernières plages d'adresses. Pour de plus amples informations sur la fiabilité Amazon SNS, veuillez consulterhttp://aws.amazon.com/sns/faqs/#Reliability.

Si vous ne souhaitez plus recevoir ces notifications, exécutez la procédure suivante pour annuler votre abonnement.

Pour annuler votre abonnement àAWSNotification des plages d'adresses IP

Ouvrez la console Amazon SNS à partir de l'adresse https://console.aws.amazon.com/sns/v3/home.
Dans le panneau de navigation, choisissez Abonnements.
Cochez la case correspondant à l'abonnement.
Dans le menu Actions, choisissez Supprimer des abonnements.
Lorsque vous êtes invité à confirmer l'opération, choisissez Supprimer.

Pour de plus amples informations sur Amazon SNS, veuillez consulter leGuide du développeur Amazon Simple Notification Service Guide.

Notes de mise à jour

Le tableau suivant décrit les mises à jour de laAWSPlages d'adresses IP Nous ajoutons également de nouveaux codes de région à chaque lancement de région.

Description	Date de publication
Ajout du code de service `ROUTE53_RESOLVER`.	24 juin 2021
Ajout du code de service `EBS`.	12 mai 2021
Ajout du code de service `KINESIS_VIDEO_STREAMS`.	19 novembre 2020
Ajout des codes de service `CHIME_MEETINGS` et `CHIME_VOICECONNECTOR`.	19 juin 2020
Ajout du code de service `AMAZON_APPFLOW`.	9 juin 2020
Ajout de la prise en charge du groupe de bordure réseau.	7 avril 2020
Ajout du code de service `WORKSPACES_GATEWAYS`.	30 mars 2020
Ajout du code de service `ROUTE53_HEALTHCHECK_PUBLISHING`.	30 janvier 2020
Ajout du code de service `API_GATEWAY`.	26 septembre 2019
Ajout du code de service `EC2_INSTANCE_CONNECT`.	26 juin 2019
Ajout du code de service `DYNAMODB`.	25 avril 2019
Ajout du code de service `GLOBALACCELERATOR`.	20 décembre 2018
Ajout du code de service `AMAZON_CONNECT`.	20 juin 2018
Ajout du code de service `CLOUD9`.	20 juin 2018
Ajout du code de service `CODEBUILD`.	19 avril 2018
Ajout du code de service `S3`.	28 février 2017
Ajout de la prise en charge des plages d'adresses IPv6.	22 août 2016
Première version	19 novembre 2014

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Amazon Resource Names (ARN)

API AWS