Filtraggio del file JSON Implementazione del controllo in uscita

Trova gli indirizzi IP dei AWS servizi e limita l'accesso ai servizi

Il file `ip-ranges.json` fornito da AWS può essere una risorsa preziosa per trovare gli indirizzi IP di vari AWS servizi e sfruttare tali informazioni per migliorare la sicurezza della rete e il controllo degli accessi. Analizzando i dati dettagliati contenuti in questo file JSON, è possibile identificare con precisione gli intervalli di indirizzi IP associati a servizi e regioni specifici. AWS

Ad esempio, è possibile utilizzare gli intervalli di indirizzi IP per configurare solide politiche di sicurezza di rete, impostare regole firewall granulari per consentire o negare l'accesso a determinate risorse. AWS Queste informazioni possono essere utili anche per diverse attività. AWS Network Firewall Questo livello di controllo è fondamentale per proteggere le applicazioni e i dati, garantendo che solo il traffico autorizzato possa raggiungere i AWS servizi necessari. Inoltre, disporre di questa intelligenza IP può aiutarvi a garantire che le applicazioni siano configurate correttamente per comunicare con gli AWS endpoint giusti, migliorando l'affidabilità e le prestazioni complessive.

Oltre alle semplici regole del firewall, il file `ip-ranges.json` può essere utilizzato anche per configurare sofisticati filtri in uscita sull'infrastruttura di rete. Comprendendo gli intervalli di indirizzi IP di destinazione per AWS i diversi servizi, è possibile impostare politiche di routing o sfruttare soluzioni di sicurezza di rete avanzate, ad esempio autorizzare o bloccare selettivamente il traffico in uscita in base alla destinazione prevista. Questo controllo delle uscite è essenziale per mitigare il rischio di perdita di dati e accesso non autorizzato.

È importante notare che il file `ip-ranges.json` viene aggiornato regolarmente, quindi mantenere una copia up-to-date locale è fondamentale per garantire le informazioni più accurate e aggiornate. Sfruttando continuamente il contenuto di questo file, è possibile gestire in modo efficiente l'accesso alla rete e la sicurezza per le applicazioni AWS basate, rafforzando il livello generale di sicurezza del cloud.

Filtraggio del file JSON

È possibile scaricare uno strumento a riga di comando che consenta di filtrare solo le informazioni desiderate.

Windows

AWS Tools for Windows PowerShell include un cmdlet, Get-AWSPublicIpAddressRange, per analizzare questo file JSON. I seguenti esempi ne illustrato l'utilizzo. Per ulteriori informazioni, vedere Interrogazione degli intervalli di indirizzi IP pubblici AWS e Get -. AWSPublicIpAddressRange

Esempio 1. Come ottenere la data di creazione


PS C:\> Get-AWSPublicIpAddressRange -OutputPublicationDate

Wednesday, August 22, 2018 9:22:35 PM

Esempio 2. Come ottenere le informazioni su una regione specifica


PS C:\> Get-AWSPublicIpAddressRange -Region us-east-1

IpPrefix        Region      NetworkBorderGroup         Service
--------        ------       -------                   -------
23.20.0.0/14    us-east-1    us-east-1                 AMAZON
50.16.0.0/15    us-east-1    us-east-1                 AMAZON
50.19.0.0/16    us-east-1    us-east-1                 AMAZON
...

Esempio 3. Come ottenere tutti gli indirizzi IP


PS C:\> (Get-AWSPublicIpAddressRange).IpPrefix
23.20.0.0/14
27.0.0.0/22
43.250.192.0/24
...
2406:da00:ff00::/64
2600:1fff:6000::/40
2a01:578:3::/64
2600:9000::/28

Esempio 4. Come ottenere tutti gli indirizzi IPv4


PS C:\> Get-AWSPublicIpAddressRange | where {$_.IpAddressFormat -eq "Ipv4"} | select IpPrefix

IpPrefix
--------
23.20.0.0/14
27.0.0.0/22
43.250.192.0/24
...

Esempio 5. Come ottenere tutti gli indirizzi IPv6


PS C:\> Get-AWSPublicIpAddressRange | where {$_.IpAddressFormat -eq "Ipv6"} | select IpPrefix

IpPrefix
--------
2a05:d07c:2000::/40
2a05:d000:8000::/40
2406:dafe:2000::/40
...

Esempio 6. Come ottenere tutti gli indirizzi IP per un servizio specifico


PS C:\> Get-AWSPublicIpAddressRange -ServiceKey CODEBUILD | select IpPrefix

IpPrefix
--------
52.47.73.72/29
13.55.255.216/29
52.15.247.208/29
...

Linux

I comandi di esempio seguenti utilizzano lo strumento jq per analizzare una copia locale del file JSON.

Esempio 1. Come ottenere la data di creazione


$ jq .createDate < ip-ranges.json

"2016-02-18-17-22-15"

Esempio 2. Come ottenere le informazioni su una regione specifica


$ jq '.prefixes[] | select(.region=="us-east-1")' < ip-ranges.json

{
  "ip_prefix": "23.20.0.0/14",
  "region": "us-east-1",
  "network_border_group": "us-east-1",
  "service": "AMAZON"
},
{
  "ip_prefix": "50.16.0.0/15",
  "region": "us-east-1",
  "network_border_group": "us-east-1",
  "service": "AMAZON"
},
{
  "ip_prefix": "50.19.0.0/16",
  "region": "us-east-1",
  "network_border_group": "us-east-1",
  "service": "AMAZON"
},
...

Esempio 3. Come ottenere tutti gli indirizzi IPv4


$ jq -r '.prefixes | .[].ip_prefix' < ip-ranges.json

23.20.0.0/14
27.0.0.0/22
43.250.192.0/24
...

Esempio 4. Come ottenere tutti gli indirizzi IPv6


$ jq -r '.ipv6_prefixes | .[].ipv6_prefix' < ip-ranges.json

2a05:d07c:2000::/40
2a05:d000:8000::/40
2406:dafe:2000::/40
...

Esempio 5. Come ottenere tutti gli indirizzi IPv4 per un servizio specifico


$ jq -r '.prefixes[] | select(.service=="CODEBUILD") | .ip_prefix' < ip-ranges.json

52.47.73.72/29
13.55.255.216/29
52.15.247.208/29
...

Esempio 6. Come ottenere tutti gli indirizzi IPv4 per un servizio specifico in una regione specifica


$ jq -r '.prefixes[] | select(.region=="us-east-1") | select(.service=="CODEBUILD") | .ip_prefix' < ip-ranges.json

34.228.4.208/28

Esempio 7. Ottenere informazioni per un determinato gruppo di confine di rete


$ jq -r '.prefixes[] | select(.region=="us-west-2") | select(.network_border_group=="us-west-2-lax-1") | .ip_prefix' < ip-ranges.json
70.224.192.0/18
52.95.230.0/24
15.253.0.0/16
...

Implementazione del controllo in uscita

Per consentire alle risorse create con un AWS servizio di accedere solo ad altri AWS servizi, puoi utilizzare le informazioni sull'intervallo di indirizzi IP nel file ip-ranges.json per eseguire il filtraggio in uscita. Assicurati che le regole del gruppo di sicurezza consentano il traffico in uscita verso i blocchi CIDR nell'elenco AMAZON. Sono previste quote per i gruppi di sicurezza. A seconda del numero di intervalli di indirizzi IP in ciascuna regione, potrebbero essere necessari più gruppi di sicurezza per regione.

Nota

Alcuni AWS servizi sono basati su EC2 e utilizzano lo spazio degli indirizzi IP EC2. Se blocchi il traffico verso lo spazio dell'indirizzo IP EC2, blocchi anche il traffico verso questi servizi non EC2.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

AWS Intervalli di indirizzi IP

Sintassi