AWS Intervalli di indirizzi IP - Amazon Virtual Private Cloud
ScaricaSintassiSovrapposizione di intervalliFiltraggio del file JSONImplementazione del controllo in uscitaAWS Intervalli di indirizzi IP, notificheNote di rilascioUlteriori informazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Intervalli di indirizzi IP

AWS pubblica gli intervalli di indirizzi IP correnti in formato JSON. Con queste informazioni, è possibile identificare il traffico proveniente da. AWSÈ inoltre possibile utilizzare queste informazioni per consentire o negare il traffico da o verso alcuni AWS servizi.

Nota

Per vedere gli intervalli correnti, scarica il file .json. Per mantenere la cronologia, salva le versioni successive del file .json nel sistema. Per stabilire se ci sono state modifiche dall'ultima volta che hai salvato il file, verifica l'ora di pubblicazione del file corrente e confrontala con quella dell'ultimo file che hai salvato.

Gli intervalli di indirizzi IP a cui si AWS accede tramite Bring your own IP address (BYOIP) non sono inclusi nel .json file.

In alternativa, alcuni servizi pubblicano i propri intervalli di indirizzi utilizzando elenchi di prefissi AWS-managed. Per ulteriori informazioni, consulta Elenchi di AWS prefissi gestiti disponibili.

Scarica

Scarica ip-ranges.json.

Se accedi a questo file in modo programmatico, è tua responsabilità assicurare che l'applicazione scarichi il file solo dopo aver completato la verifica del certificato TLS presentato dal server.

Sintassi

La sintassi di ip-ranges.json è la seguente.

{
  "syncToken": "0123456789",
  "createDate": "yyyy-mm-dd-hh-mm-ss",
  "prefixes": [
    {
      "ip_prefix": "cidr",
      "region": "region",
      "network_border_group": "network_border_group",
      "service": "subset"
    }
  ],
  "ipv6_prefixes": [
    {
      "ipv6_prefix": "cidr",
      "region": "region",
      "network_border_group": "network_border_group",
      "service": "subset"
    }
  ]  
}
syncToken

L'ora di pubblicazione nel formato epoch Unix.

▬Tipo: stringa

Esempio: "syncToken": "1416435608"

createDate

Data e ora di pubblicazione, in formato UTC YY-MM-DD-. hh-mm-ss

▬Tipo: stringa

Esempio: "createDate": "2014-11-19-23-29-02"

prefissi

I prefissi IP per gli intervalli di indirizzi IPv4.

Tipo: Array

ipv6_prefixes

I prefissi IP per gli intervalli di indirizzi IPv6.

Tipo: Array

ip_prefix

L'intervallo di indirizzi IPv4 pubblici nella notazione CIDR. Nota che AWS potrebbe pubblicizzare un prefisso in intervalli più specifici. Ad esempio, il prefisso 96.127.0.0/17 nel file potrebbe essere visualizzato come 96.127.0.0/21, 96.127.8.0/21, 96.127.32.0/19 e 96.127.64.0/18.

▬Tipo: stringa

Esempio: "ip_prefix": "198.51.100.2/24"

ipv6_prefix

L'intervallo di indirizzi IPv6 pubblici nella notazione CIDR. Nota che AWS potrebbe pubblicizzare un prefisso in intervalli più specifici.

▬Tipo: stringa

Esempio: "ipv6_prefix": "2001:db8:1234::/64"

network_border_group

Il nome del gruppo di confine di rete, che è un insieme univoco di Availability Zones o Local Zones da cui AWS pubblicizza gli indirizzi IP, oppureGLOBAL. Il traffico per GLOBAL i servizi può essere attratto o provenire da più (fino a tutte) Zone di disponibilità o Local Zones da cui AWS pubblicizza gli indirizzi IP.

▬Tipo: stringa

Esempio: "network_border_group": "us-west-2-lax-1"

Regione

La AWS regione o. GLOBAL Il traffico destinato GLOBAL ai servizi può essere attratto o provenire da più AWS regioni (fino a tutte).

▬Tipo: stringa

Valori validi: af-south-1 | ap-east-1 | ap-northeast-1 | ap-northeast-2 | ap-northeast-3 | ap-south-1 | ap-south-2 | ap-southeast-1 | ap-southeast-2 | ap-southeast-3 | ap-southeast-4 | ca-central-1 | cn-north-1 | cn-northwest-1 | eu-central-1 | eu-central-2 | eu-north-1 | eu-south-1 | eu-south-2 | eu-west-1 | eu-west-2 | eu-west-3 | me-central-1 | me-south-1 | sa-east-1 | us-east-1 | us-east-2 | us-gov-east-1 | us-gov-west-1 | us-west-1 | us-west-2 | GLOBAL

Esempio: "region": "us-east-1"

service

Il sottoinsieme di intervalli di indirizzi IP. Gli indirizzi indicati per API_GATEWAY sono solo in uscita. Specificare AMAZON per ottenere tutti gli intervalli di indirizzi IP (il che significa che ogni sottoinsieme è anche nel sottoinsieme AMAZON). Tuttavia, alcuni intervalli di indirizzi IP sono solo nel sottoinsieme AMAZON (il che significa che non sono disponibili anche in un altro sottoinsieme).

▬Tipo: stringa

Valori validi: AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CLOUDFRONT_ORIGIN_FACING | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | MEDIA_PACKAGE_V2 | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS

Esempio: "service": "AMAZON"

Sovrapposizione di intervalli

Gli intervalli di indirizzi IP restituiti da qualsiasi codice di servizio vengono restituiti anche dal codice di servizio AMAZON. Ad esempio, tutti gli intervalli di indirizzi IP restituiti dal codice di servizio S3 vengono restituiti anche da quello AMAZON.

Quando il servizio A utilizza delle risorse provenienti dal servizio B, gli intervalli di indirizzi IP restituiti dai codici di servizio appartengono sia al servizio A che al servizio B. Tuttavia, questi intervalli di indirizzi IP vengono utilizzati esclusivamente dal servizio A, non dal servizio B. Ad esempio, Amazon S3 utilizza le risorse provenienti da Amazon EC2, per cui sono presenti intervalli di indirizzi IP che vengono restituiti sia dal codice di servizio S3 che da quello EC2. Tuttavia, questi intervalli di indirizzi IP vengono utilizzati esclusivamente da Amazon S3. Pertanto, il codice di servizio S3 restituisce tutti gli intervalli di indirizzi IP utilizzati esclusivamente da Amazon S3. Per identificare gli intervalli di indirizzi IP utilizzati esclusivamente da Amazon EC2, individua gli intervalli di indirizzi IP restituiti dal codice di servizio EC2 ma non da quello S3.

Filtraggio del file JSON

È possibile scaricare uno strumento a riga di comando che consenta di filtrare solo le informazioni desiderate.

Windows

AWS Tools for Windows PowerShell include un cmdlet, Get-AWSPublicIpAddressRange, per analizzare questo file JSON. I seguenti esempi ne illustrato l'utilizzo. Per ulteriori informazioni, vedere Interrogazione degli intervalli di indirizzi IP pubblici AWS e Get- AWSPublicIpAddressRange.

Esempio 1. Come ottenere la data di creazione
PS C:\> Get-AWSPublicIpAddressRange -OutputPublicationDate

Wednesday, August 22, 2018 9:22:35 PM
Esempio 2. Come ottenere le informazioni su una regione specifica
PS C:\> Get-AWSPublicIpAddressRange -Region us-east-1

IpPrefix        Region      NetworkBorderGroup         Service
--------        ------       -------                   -------
23.20.0.0/14    us-east-1    us-east-1                 AMAZON
50.16.0.0/15    us-east-1    us-east-1                 AMAZON
50.19.0.0/16    us-east-1    us-east-1                 AMAZON
...
Esempio 3. Come ottenere tutti gli indirizzi IP
PS C:\> (Get-AWSPublicIpAddressRange).IpPrefix
23.20.0.0/14
27.0.0.0/22
43.250.192.0/24
...
2406:da00:ff00::/64
2600:1fff:6000::/40
2a01:578:3::/64
2600:9000::/28
Esempio 4. Come ottenere tutti gli indirizzi IPv4
PS C:\> Get-AWSPublicIpAddressRange | where {$_.IpAddressFormat -eq "Ipv4"} | select IpPrefix

IpPrefix
--------
23.20.0.0/14
27.0.0.0/22
43.250.192.0/24
...
Esempio 5. Come ottenere tutti gli indirizzi IPv6
PS C:\> Get-AWSPublicIpAddressRange | where {$_.IpAddressFormat -eq "Ipv6"} | select IpPrefix

IpPrefix
--------
2a05:d07c:2000::/40
2a05:d000:8000::/40
2406:dafe:2000::/40
...
Esempio 6. Come ottenere tutti gli indirizzi IP per un servizio specifico
PS C:\> Get-AWSPublicIpAddressRange -ServiceKey CODEBUILD | select IpPrefix

IpPrefix
--------
52.47.73.72/29
13.55.255.216/29
52.15.247.208/29
...

Linux

I comandi di esempio seguenti utilizzano lo strumento jq per analizzare una copia locale del file JSON.

Esempio 1. Come ottenere la data di creazione
$ jq .createDate < ip-ranges.json

"2016-02-18-17-22-15"
Esempio 2. Come ottenere le informazioni su una regione specifica
$ jq '.prefixes[] | select(.region=="us-east-1")' < ip-ranges.json

{
  "ip_prefix": "23.20.0.0/14",
  "region": "us-east-1",
  "network_border_group": "us-east-1",
  "service": "AMAZON"
},
{
  "ip_prefix": "50.16.0.0/15",
  "region": "us-east-1",
  "network_border_group": "us-east-1",
  "service": "AMAZON"
},
{
  "ip_prefix": "50.19.0.0/16",
  "region": "us-east-1",
  "network_border_group": "us-east-1",
  "service": "AMAZON"
},
...
Esempio 3. Come ottenere tutti gli indirizzi IPv4
$ jq -r '.prefixes | .[].ip_prefix' < ip-ranges.json

23.20.0.0/14
27.0.0.0/22
43.250.192.0/24
...
Esempio 4. Come ottenere tutti gli indirizzi IPv6
$ jq -r '.ipv6_prefixes | .[].ipv6_prefix' < ip-ranges.json

2a05:d07c:2000::/40
2a05:d000:8000::/40
2406:dafe:2000::/40
...
Esempio 5. Come ottenere tutti gli indirizzi IPv4 per un servizio specifico
$ jq -r '.prefixes[] | select(.service=="CODEBUILD") | .ip_prefix' < ip-ranges.json

52.47.73.72/29
13.55.255.216/29
52.15.247.208/29
...
Esempio 6. Come ottenere tutti gli indirizzi IPv4 per un servizio specifico in una regione specifica
$ jq -r '.prefixes[] | select(.region=="us-east-1") | select(.service=="CODEBUILD") | .ip_prefix' < ip-ranges.json

34.228.4.208/28
Esempio 7. Ottenere informazioni per un determinato gruppo di confine di rete
$ jq -r '.prefixes[] | select(.region=="us-west-2") | select(.network_border_group=="us-west-2-lax-1") | .ip_prefix' < ip-ranges.json
70.224.192.0/18
52.95.230.0/24
15.253.0.0/16
...

Implementazione del controllo in uscita

Per consentire alle risorse create con un AWS servizio di accedere solo ad altri AWS servizi, puoi utilizzare le informazioni sull'intervallo di indirizzi IP nel file ip-ranges.json per eseguire il filtraggio in uscita. Assicurati che le regole del gruppo di sicurezza consentano il traffico in uscita verso i blocchi CIDR nell'elenco AMAZON. Sono previste quote per i gruppi di sicurezza. A seconda del numero di intervalli di indirizzi IP in ciascuna regione, potrebbero essere necessari più gruppi di sicurezza per regione.

Nota

Alcuni AWS servizi sono basati su EC2 e utilizzano lo spazio degli indirizzi IP EC2. Se blocchi il traffico verso lo spazio dell'indirizzo IP EC2, blocchi anche il traffico verso questi servizi non EC2.

AWS Intervalli di indirizzi IP, notifiche

Ogni volta che viene apportata una modifica agli intervalli di indirizzi AWS IP, inviamo notifiche agli abbonati all'AmazonIpSpaceChangedargomento. Il payload contiene informazioni nel formato seguente:

{
  "create-time":"yyyy-mm-ddThh:mm:ss+00:00",
  "synctoken":"0123456789",
  "md5":"6a45316e8bc9463c9e926d5d37836d33",
  "url":"https://ip-ranges.amazonaws.com/ip-ranges.json"
}
create-time

Data e ora di creazione.

Le notifiche potrebbero essere recapitate senza seguire un ordine. Consigliamo pertanto di verificare i time stamp per garantire l'ordine corretto.

synctoken

L'ora di pubblicazione nel formato epoch Unix.

md5

Il valore hash di crittografia del file ip-ranges.json. Puoi utilizzare questo valore per controllare se il file scaricato è danneggiato.

url

La posizione del file ip-ranges.json.

Se desideri ricevere una notifica ogni volta che viene apportata una modifica agli intervalli di indirizzi AWS IP, puoi abbonarti come segue per ricevere notifiche tramite Amazon SNS.

Per iscriverti alle notifiche relative agli intervalli di indirizzi AWS IP

  1. Apri la console Amazon SNS all'indirizzo https://console.aws.amazon.com/sns/v3/home.

  2. Nella barra di navigazione modifica la regione in Stati Uniti orientali (Virginia settentrionale), se necessario. Devi selezionare questa regione perché le notifiche SNS per le quali hai effettuato l'iscrizione sono state create in questa regione.

  3. Nel riquadro di navigazione scegli Subscriptions (Sottoscrizioni).

  4. Scegli Crea sottoscrizione.

  5. Nella finestra di dialogo Crea sottoscrizione segui questi passaggi:

    1. In Topic ARN (ARN argomento) copia il seguente Amazon Resource Name (ARN):

      arn:aws:sns:us-east-1:806199016981:AmazonIpSpaceChanged

    2. In Protocol (Protocollo) scegli il protocollo da utilizzare (ad esempio Email).

    3. In Endpoint digita l'endpoint per la ricezione della notifica (ad esempio il tuo indirizzo e-mail).

    4. Scegli Crea sottoscrizione.

  6. Verrai contattato sull'endpoint specificato e ti verrà chiesto di confermare la sottoscrizione. Ad esempio, se hai specificato un indirizzo e-mail, riceverai un messaggio e-mail con l'oggetto AWS Notification - Subscription Confirmation. Segui le istruzioni per confermare la tu sottoscrizione.

Le notifiche sono soggette alla disponibilità dell'endpoint. Pertanto, è opportuno controllare periodicamente i file JSON per essere sicuri di aver ricevuto gli intervalli più recenti. Per ulteriori informazioni sull'affidabilità di Amazon SNS, consultare https://aws.amazon.com/sns/faqs/#Reliability.

Se non desideri più ricevere queste notifiche, segui la procedura seguente per annullare la sottoscrizione.

Per annullare l'iscrizione alle notifiche relative agli intervalli di indirizzi AWS IP

  1. Apri la console Amazon SNS all'indirizzo https://console.aws.amazon.com/sns/v3/home.

  2. Nel riquadro di navigazione scegli Subscriptions (Sottoscrizioni).

  3. Seleziona la casella di controllo per la sottoscrizione.

  4. Scegli Actions (Operazioni), Delete subscriptions (Cancella sottoscrizioni).

  5. Quando viene richiesta la conferma, seleziona Delete (Elimina).

Per ulteriori informazioni su Amazon SNS, consultare la Guida per gli sviluppatori di Amazon Simple Notification Service.

Note di rilascio

Nella tabella seguente vengono descritti gli aggiornamenti alla sintassi di ip-ranges.json. Aggiungiamo anche nuovi codici regione con ogni avvio della regione.

Descrizione Data di rilascio
Aggiunto il codice MEDIA_PACKAGE_V2 di servizio. 9 maggio 2023
Aggiunto il codice CLOUDFRONT_ORIGIN_FACING di servizio. 12 ottobre 2021
Aggiunto il codice ROUTE53_RESOLVER di servizio. 24 giugno 2021
Aggiunto il codice EBS di servizio. 12 maggio 2021
Aggiunto il codice KINESIS_VIDEO_STREAMS di servizio. 19 novembre 2020
Aggiunti i codici di servizio CHIME_MEETINGS e CHIME_VOICECONNECTOR. 19 giugno 2020
Aggiunto il codice AMAZON_APPFLOW di servizio. 9 giugno 2020
Aggiungere il supporto per il gruppo di confine di rete. 7 aprile 2020
Aggiunto il codice WORKSPACES_GATEWAYS di servizio. 30 marzo 2020
Aggiunto il codice ROUTE53_HEALTHCHECK_PUBLISHING di servizio. 30 gennaio 2020
Aggiunto il codice API_GATEWAY di servizio. 26 settembre 2019
Aggiunto il codice EC2_INSTANCE_CONNECT di servizio. 26 giugno 2019
Aggiunto il codice DYNAMODB di servizio. 25 aprile 2019
Aggiunto il codice GLOBALACCELERATOR di servizio. 20 dicembre 2018
Aggiunto il codice AMAZON_CONNECT di servizio. 20 giugno 2018
Aggiunto il codice CLOUD9 di servizio. 20 giugno 2018
Aggiunto il codice CODEBUILD di servizio. 19 aprile 2018
Aggiunto il codice S3 di servizio. 28 febbraio 2017
Aggiunto il supporto per gli intervalli di indirizzi IPv6. 22 agosto 2016
Rilascio iniziale 19 Novembre 2014

Ulteriori informazioni