AWS Plages d'adresses IP - Amazon Virtual Private Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Plages d'adresses IP

AWS publie ses plages d'adresses IP actuelles au format JSON. Grâce à ces informations, vous pouvez identifier le trafic provenant de AWS. Vous pouvez également utiliser ces informations pour autoriser ou refuser le trafic à destination ou en provenance de certains AWS services.

Note
  • Seules certaines plages d'adresses IP de AWS service sont publiées dans ip-ranges.json ; nous publions les plages d'adresses IP des services sur lesquels les clients souhaitent généralement effectuer un filtrage de sortie.

  • Les services peuvent utiliser les plages d'adresses IP pour communiquer avec d'autres services ou les services peuvent utiliser les plages d'adresses IP pour communiquer avec le réseau d'un client.

Pour afficher les plages actuelles, téléchargez le fichier .json. Pour conserver l'historique, enregistrez les versions successives du fichier .json sur votre système. Pour déterminer si des modifications ont été apportées depuis la dernière fois que vous avez enregistré le fichier, vérifiez l'heure de publication du fichier actuel et comparez-la à l'heure de publication du dernier fichier que vous avez enregistré.

Les plages d'adresses IP que vous transférez AWS via Bring Your Own IP addresses (BYOIP) ne sont pas incluses dans le .json fichier.

Certains services publient également leurs plages d'adresses à l'aide de listes de AWS préfixes gérées par -managed. Pour plus d’informations, consultez Listes AWS de préfixes gérées disponibles.

Téléchargement

Téléchargez ip-ranges.json .

Si vous accédez à ce fichier par programmation, vous êtes tenu de vous s'assurer que l'application télécharge le fichier seulement après avoir correctement vérifié le certificat TLS présenté par le serveur.

Syntaxe

La syntaxe d'ip-ranges.json est la suivante.

{ "syncToken": "0123456789", "createDate": "yyyy-mm-dd-hh-mm-ss", "prefixes": [ { "ip_prefix": "cidr", "region": "region", "network_border_group": "network_border_group", "service": "subset" } ], "ipv6_prefixes": [ { "ipv6_prefix": "cidr", "region": "region", "network_border_group": "network_border_group", "service": "subset" } ] }
syncToken

L'heure de publication, au format d'heure Unix epoch.

Type : chaîne

Exemple : "syncToken": "1416435608"

createDate

Date et heure de publication, au format UTC YY-MM-DD-. hh-mm-ss

Type : chaîne

Exemple : "createDate": "2014-11-19-23-29-02"

prefixes

Les préfixes IP pour les plages d'adresses IPv4.

Type : Array

ipv6_prefixes

Les préfixes IP pour les plages d'adresses IPv6.

Type : Array

ip_prefix

La plage d'adresses IPv4 publiques, en notation CIDR. Notez que cela AWS peut annoncer un préfixe dans des plages plus spécifiques. Par exemple, le préfixe 96.127.0.0/17 du fichier peut être annoncé comme 96.127.0.0/21, 96.127.8.0/21, 96.127.32.0/19 et 96.127.64.0/18.

Type : chaîne

Exemple : "ip_prefix": "198.51.100.2/24"

ipv6_prefix

La plage d'adresses IPv6 publiques, en notation CIDR. Notez que cela AWS peut annoncer un préfixe dans des plages plus spécifiques.

Type : chaîne

Exemple : "ipv6_prefix": "2001:db8:1234::/64"

network_border_group

Le nom du groupe frontalier du réseau, qui est un ensemble unique de zones de disponibilité ou de zones locales à partir duquel les AWS adresses IP sont publiées, ouGLOBAL. Le trafic pour les GLOBAL services peut être attiré ou provenir de plusieurs (jusqu'à toutes) zones de disponibilité ou zones locales à partir desquelles les adresses IP AWS sont publiées.

Type : chaîne

Exemple : "network_border_group": "us-west-2-lax-1"

region

La AWS région ouGLOBAL. Le trafic GLOBAL lié aux services peut être attiré ou provenir de plusieurs AWS régions (jusqu'à toutes).

Type : chaîne

Valeurs valides : af-south-1 | ap-east-1 | ap-northeast-1 | ap-northeast-2 | ap-northeast-3 | ap-south-1 | ap-south-2 | ap-southeast-1 | ap-southeast-2 | ap-southeast-3 | ap-southeast-4 | ca-central-1 | cn-north-1 | cn-northwest-1 | eu-central-1 | eu-central-2 | eu-north-1 | eu-south-1 | eu-south-2 | eu-west-1 | eu-west-2 | eu-west-3 | me-central-1 | me-south-1 | sa-east-1 | us-east-1 | us-east-2 | us-gov-east-1 | us-gov-west-1 | us-west-1 | us-west-2 | GLOBAL

Exemple : "region": "us-east-1"

web

Le sous-ensemble des plages d'adresses IP. Les adresses répertoriées pour API_GATEWAY sont des adresses de sortie uniquement. Spécifiez AMAZON pour obtenir toutes les plages d'adresses IP (ce qui signifie que chaque sous-ensemble se trouve également dans le sous-ensemble AMAZON). Cependant, certaines plages d'adresses IP se trouvent uniquement dans le sous-ensemble AMAZON (ce qui signifie qu'elles ne sont pas disponibles dans un autre sous-ensemble).

Type : chaîne

Valeurs valides : AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CLOUDFRONT_ORIGIN_FACING | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | MEDIA_PACKAGE_V2 | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS

Exemple : "service": "AMAZON"

Chevauchements de plages

Les plages d'adresses IP renvoyées par n'importe quel code de service sont également renvoyées par le code de service AMAZON. Par exemple, toutes les plages d'adresses IP renvoyées par le code de service S3 sont également renvoyées par le code de service AMAZON.

Lorsque le service A utilise des ressources du service B, certaines plages d'adresses IP sont renvoyées par les codes de service du service A et du service B. Toutefois, ces plages d'adresses IP sont utilisées exclusivement par le service A et ne peuvent pas être utilisées par le service B. Par exemple, Amazon S3 utilise des ressources d'Amazon EC2. Certaines plages d'adresses IP sont donc renvoyées à la fois par les codes de service S3 et EC2. Toutefois, ces plages d'adresses IP sont utilisées exclusivement par Amazon S3. Par conséquent, le code de service S3 renvoie toutes les plages d'adresses IP utilisées exclusivement par Amazon S3. Pour identifier les plages d'adresses IP utilisées exclusivement par Amazon EC2, recherchez les plages d'adresses IP renvoyées par le code de service EC2 mais pas le code de service S3.

Filtrage du fichier JSON

Vous pouvez télécharger un outil de ligne de commande pour vous aider à ne filtrer que les informations que vous recherchez.

Windows

Les AWS Tools for Windows PowerShell incluent une applet de commande, Get-AWSPublicIpAddressRange pour analyser ce fichier JSON. Les exemples suivants illustrent son utilisation. Pour plus d'informations, voir Interroger les plages d'adresses IP publiques pour AWS et Get- AWSPublicIpAddressRange.

Exemple 1. Obtenir la date de création
PS C:\> Get-AWSPublicIpAddressRange -OutputPublicationDate Wednesday, August 22, 2018 9:22:35 PM
Exemple 2. Obtenir l'information pour une région spécifique
PS C:\> Get-AWSPublicIpAddressRange -Region us-east-1 IpPrefix Region NetworkBorderGroup Service -------- ------ ------- ------- 23.20.0.0/14 us-east-1 us-east-1 AMAZON 50.16.0.0/15 us-east-1 us-east-1 AMAZON 50.19.0.0/16 us-east-1 us-east-1 AMAZON ...
Exemple 3. Obtenir toutes les adresses IP
PS C:\> (Get-AWSPublicIpAddressRange).IpPrefix 23.20.0.0/14 27.0.0.0/22 43.250.192.0/24 ... 2406:da00:ff00::/64 2600:1fff:6000::/40 2a01:578:3::/64 2600:9000::/28
Exemple 4. Obtenir toutes les adresses IPv4
PS C:\> Get-AWSPublicIpAddressRange | where {$_.IpAddressFormat -eq "Ipv4"} | select IpPrefix IpPrefix -------- 23.20.0.0/14 27.0.0.0/22 43.250.192.0/24 ...
Exemple 5. Obtenir toutes les adresses IPv6
PS C:\> Get-AWSPublicIpAddressRange | where {$_.IpAddressFormat -eq "Ipv6"} | select IpPrefix IpPrefix -------- 2a05:d07c:2000::/40 2a05:d000:8000::/40 2406:dafe:2000::/40 ...
Exemple 6. Obtenir toutes les adresses IP pour un service spécifique
PS C:\> Get-AWSPublicIpAddressRange -ServiceKey CODEBUILD | select IpPrefix IpPrefix -------- 52.47.73.72/29 13.55.255.216/29 52.15.247.208/29 ...

Linux

Les exemples de commandes suivantes utilisent l'outil jq pour analyser une copie locale du fichier JSON.

Exemple 1. Obtenir la date de création
$ jq .createDate < ip-ranges.json "2016-02-18-17-22-15"
Exemple 2. Obtenir l'information pour une région spécifique
$ jq '.prefixes[] | select(.region=="us-east-1")' < ip-ranges.json { "ip_prefix": "23.20.0.0/14", "region": "us-east-1", "network_border_group": "us-east-1", "service": "AMAZON" }, { "ip_prefix": "50.16.0.0/15", "region": "us-east-1", "network_border_group": "us-east-1", "service": "AMAZON" }, { "ip_prefix": "50.19.0.0/16", "region": "us-east-1", "network_border_group": "us-east-1", "service": "AMAZON" }, ...
Exemple 3. Obtenir toutes les adresses IPv4
$ jq -r '.prefixes | .[].ip_prefix' < ip-ranges.json 23.20.0.0/14 27.0.0.0/22 43.250.192.0/24 ...
Exemple 4. Obtenir toutes les adresses IPv6
$ jq -r '.ipv6_prefixes | .[].ipv6_prefix' < ip-ranges.json 2a05:d07c:2000::/40 2a05:d000:8000::/40 2406:dafe:2000::/40 ...
Exemple 5. Obtenir toutes les adresses IPv4 pour un service spécifique
$ jq -r '.prefixes[] | select(.service=="CODEBUILD") | .ip_prefix' < ip-ranges.json 52.47.73.72/29 13.55.255.216/29 52.15.247.208/29 ...
Exemple 6. Obtenir toutes les adresses IPv4 pour un service spécifique dans une région spécifique
$ jq -r '.prefixes[] | select(.region=="us-east-1") | select(.service=="CODEBUILD") | .ip_prefix' < ip-ranges.json 34.228.4.208/28
Exemple 7. Obtention d'informations sur un groupe de bordure réseau spécifique
$ jq -r '.prefixes[] | select(.region=="us-west-2") | select(.network_border_group=="us-west-2-lax-1") | .ip_prefix' < ip-ranges.json 70.224.192.0/18 52.95.230.0/24 15.253.0.0/16 ...

Implémentation du contrôle de sortie

Pour autoriser les ressources que vous avez créées avec un AWS service à accéder uniquement aux autres AWS services, vous pouvez utiliser les informations de plage d'adresses IP du fichier ip-ranges.json pour effectuer un filtrage de sortie. Assurez-vous que les règles du groupe de sécurité autorisent le trafic sortant vers les blocs CIDR de la liste AMAZON. Il existe des quotas pour les groupes de sécurité. En fonction du nombre de plages d'adresses IP dans chaque Région, vous pouvez avoir besoin de plusieurs groupes de sécurité par Région.

Note

Certains AWS services sont basés sur EC2 et utilisent l'espace d'adressage IP EC2. Si vous bloquez le trafic vers l'espace d'adresses IP EC2, vous bloquez également le trafic vers ces services qui ne sont pas basés sur EC2.

AWS Notifications relatives aux plages d'adresses IP

Chaque fois que les plages d'adresses AWS IP sont modifiées, nous envoyons des notifications aux abonnés du AmazonIpSpaceChanged sujet. La charge utile contient des informations au format suivant :

{ "create-time":"yyyy-mm-ddThh:mm:ss+00:00", "synctoken":"0123456789", "md5":"6a45316e8bc9463c9e926d5d37836d33", "url":"https://ip-ranges.amazonaws.com/ip-ranges.json" }
create-time

La date et l'heure de création.

Les notifications peuvent être diffusées dans le désordre. Par conséquent, nous vous recommandons de vérifier les horodatages pour vous assurer que l'ordre est correct.

synctoken

L'heure de publication, au format d'heure Unix epoch.

md5

La valeur de hachage de chiffrement du fichier ip-ranges.json. Vous pouvez utiliser cette valeur pour vérifier si le fichier téléchargé est corrompu.

url

L'emplacement du fichier ip-ranges.json.

Si vous souhaitez être averti chaque fois qu'une modification est apportée aux plages d'adresses AWS IP, vous pouvez vous abonner comme suit pour recevoir des notifications via Amazon SNS.

Pour vous abonner aux notifications relatives aux plages d'adresses AWS IP
  1. Ouvrez la console Amazon SNS à partir de l’adresse https://console.aws.amazon.com/sns/v3/home.

  2. Dans la barre de navigation, changez la région en US Est (Virginie du Nord), si nécessaire. Vous devez sélectionner cette région, car les notifications SNS auxquelles vous vous abonnez ont été créées dans cette région.

  3. Dans le panneau de navigation, choisissez Abonnements.

  4. Choisissez Créer un abonnement.

  5. Dans la boîte de dialogue Créer un abonnement, exécutez l’une des actions suivantes :

    1. Pour ARN de la rubrique, copiez l'Amazon Resource Name (ARN) suivant :

      arn:aws:sns:us-east-1:806199016981:AmazonIpSpaceChanged
    2. Pour Protocole, choisissez le protocole à utiliser (par exemple, Email).

    3. Pour Point de terminaison, tapez le point de terminaison qui recevra la notification (par exemple, votre adresse e-mail).

    4. Choisissez Créer un abonnement.

  6. Vous allez être contacté sur le point de terminaison que vous avez spécifié et sur lequel vous avez été invité à confirmer votre abonnement. Par exemple, si vous avez spécifié une adresse e-mail, vous recevrez un message électronique avec l'objet AWS Notification - Subscription Confirmation. Suivez les instructions pour confirmer votre abonnement.

Les notifications sont soumises à la disponibilité du point de terminaison. Par conséquent, vous voudrez peut-être consulter le fichier JSON régulièrement pour vérifier que vous disposez bien des dernières plages d'adresses. Pour plus d'informations sur la fiabilité d'Amazon SNS, consultez https://aws.amazon.com/sns/faqs/#Reliability.

Si vous ne souhaitez plus recevoir ces notifications, exécutez la procédure suivante pour annuler votre abonnement.

Pour vous désabonner des notifications relatives aux plages d'adresses AWS IP
  1. Ouvrez la console Amazon SNS à partir de l’adresse https://console.aws.amazon.com/sns/v3/home.

  2. Dans le panneau de navigation, choisissez Abonnements.

  3. Cochez la case correspondant à l'abonnement.

  4. Dans le menu Actions, choisissez Supprimer des abonnements.

  5. Lorsque vous êtes invité à confirmer l’opération, choisissez Supprimer.

Pour plus d'informations sur Amazon SNS, consultez le Guide du développeur d'Amazon Simple Notification Service.

Notes de mise à jour

Le tableau suivant décrit les mises à jour de la syntaxe de ip-ranges.json. Nous ajoutons également de nouveaux codes de région à chaque lancement de région.

Description Date de publication
Ajout du code de service MEDIA_PACKAGE_V2. 9 mai 2023
Ajout du code de service CLOUDFRONT_ORIGIN_FACING. 12 octobre 2021
Ajout du code de service ROUTE53_RESOLVER. 24 juin 2021
Ajout du code de service EBS. 12 mai 2021
Ajout du code de service KINESIS_VIDEO_STREAMS. 19 novembre 2020
Ajout des codes de service CHIME_MEETINGS et CHIME_VOICECONNECTOR. 19 juin 2020
Ajout du code de service AMAZON_APPFLOW. 9 juin 2020
Ajout de la prise en charge du groupe de bordure réseau. 7 avril 2020
Ajout du code de service WORKSPACES_GATEWAYS. 30 mars 2020
Ajout du code de service ROUTE53_HEALTHCHECK_PUBLISHING. 30 janvier 2020
Ajout du code de service API_GATEWAY. 26 septembre 2019
Ajout du code de service EC2_INSTANCE_CONNECT. 26 juin 2019
Ajout du code de service DYNAMODB. 25 avril 2019
Ajout du code de service GLOBALACCELERATOR. 20 décembre 2018
Ajout du code de service AMAZON_CONNECT. le 20 juin 2018
Ajout du code de service CLOUD9. le 20 juin 2018
Ajout du code de service CODEBUILD. 19 avril 2018
Ajout du code de service S3. 28 février 2017
Ajout de la prise en charge des plages d'adresses IPv6. 22 août 2016
Première version 19 novembre 2014

En savoir plus