AWS IP 주소 범위 - Amazon Virtual Private Cloud
다운로드구문범위 중복JSON 파일 필터링송신 제어 구현AWS IP 주소 범위 알림릴리스 정보자세히 알아보기

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS IP 주소 범위

AWS 현재 IP 주소 범위를 JSON 형식으로 게시합니다. 이 정보를 사용하여 트래픽을 식별할 수 있습니다. AWS또한 이 정보를 사용하여 일부 AWS 서비스를 오가는 트래픽을 허용하거나 거부할 수 있습니다.

참고

현재 범위를 보려면 .json 파일을 다운로드합니다. 기록을 유지하려면 연속 버전의 .json 파일을 시스템에 저장합니다. 파일을 마지막으로 저장한 이후에 변경 사항이 있는지 확인하려면 현재 파일의 게시 시간을 마지막으로 저장한 파일의 게시 시간과 비교합니다.

자체 IP 주소 (BYOIP) 를 AWS 통해 가져오는 IP 주소 범위는 파일에 포함되지 않습니다. .json

또는 일부 서비스에서는 AWS-managed 접두사 목록을 사용하여 주소 범위를 게시할 수도 있습니다. 자세한 내용은 사용 가능한 AWS관리형 프리픽스 목록 단원을 참조하십시오.

다운로드

ip-ranges.json을 다운로드합니다.

이 파일에 프로그래밍 방식으로 액세스할 경우 애플리케이션에서 서버에 제공된 TLS 인증서를 확인한 이후에 파일을 다운로드하는지 직접 확인해야 합니다.

구문

ip-ranges.json 구문은 다음과 같습니다.

{
  "syncToken": "0123456789",
  "createDate": "yyyy-mm-dd-hh-mm-ss",
  "prefixes": [
    {
      "ip_prefix": "cidr",
      "region": "region",
      "network_border_group": "network_border_group",
      "service": "subset"
    }
  ],
  "ipv6_prefixes": [
    {
      "ipv6_prefix": "cidr",
      "region": "region",
      "network_border_group": "network_border_group",
      "service": "subset"
    }
  ]  
}
syncToken

게시 시간(Unix epoch 시간 형식)

타입: 문자열

예제: "syncToken": "1416435608"

createDate

게시 날짜 및 시간 (UTC YY-MM-DD- 형식) hh-mm-ss

타입: 문자열

예제: "createDate": "2014-11-19-23-29-02"

prefixes

IPv4 주소 범위에 대한 IP 접두사

형식: 배열

ipv6_prefixes

IPv6 주소 범위에 대한 IP 접두사

형식: 배열

ip_prefix

퍼블릭 IPv4 주소 범위(CIDR 표기법)입니다. 더 구체적인 범위에서는 접두사를 AWS 광고할 수 있다는 점을 참고하십시오. 예를 들어, 파일의 96.127.0.0/17 접두사를 96.127.0.0/21, 96.127.8.0/21, 96.127.32.0/19 및 96.127.64.0/18로 알릴 수 있습니다.

타입: 문자열

예제: "ip_prefix": "198.51.100.2/24"

ipv6_prefix

퍼블릭 IPv6 주소 범위(CIDR 표기법)입니다. 더 구체적인 범위에서는 접두사를 AWS 광고할 수 있다는 점에 유의하세요.

타입: 문자열

예제: "ipv6_prefix": "2001:db8:1234::/64"

network_border_group

네트워크 경계 그룹의 이름. 이 그룹은 IP 주소를 AWS 광고하는 고유한 가용 영역 또는 Local Zones 집합입니다. GLOBAL GLOBAL서비스 트래픽은 IP 주소를 AWS 광고하는 여러 (최대) 가용 영역 또는 Local Zone으로 유입되거나 해당 가용 영역에서 발생할 수 있습니다.

타입: 문자열

예제: "network_border_group": "us-west-2-lax-1"

region

AWS 지역 또는. GLOBAL GLOBAL서비스 트래픽은 여러 (최대 모든) AWS 지역으로 유입되거나 해당 지역에서 발생할 수 있습니다.

타입: 문자열

유효한 값: af-south-1 | ap-east-1 | ap-northeast-1 | ap-northeast-2 | ap-northeast-3 | ap-south-1 | ap-south-2 | ap-southeast-1 | ap-southeast-2 | ap-southeast-3 | ap-southeast-4 | ca-central-1 | cn-north-1 | cn-northwest-1 | eu-central-1 | eu-central-2 | eu-north-1 | eu-south-1 | eu-south-2 | eu-west-1 | eu-west-2 | eu-west-3 | me-central-1 | me-south-1 | sa-east-1 | us-east-1 | us-east-2 | us-gov-east-1 | us-gov-west-1 | us-west-1 | us-west-2 | GLOBAL

예제: "region": "us-east-1"

서비스

IP 주소 범위의 일부입니다. API_GATEWAY에 대해 나열된 주소는 송신 전용입니다. 모든 IP 주소 범위를 가져오도록 AMAZON을 지정합니다. 이렇게 하면 모든 서브셋이 AMAZON 서브셋에도 있습니다. 하지만 일부 IP 주소 범위는 AMAZON 서브셋에만 있습니다. 즉, 다른 서브셋에서 사용할 수 없습니다.

타입: 문자열

유효한 값: AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CLOUDFRONT_ORIGIN_FACING | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | MEDIA_PACKAGE_V2 | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS

예제: "service": "AMAZON"

범위 중복

모든 서비스 코드에서 반환되는 IP 주소 범위는 AMAZON 서비스 코드에서도 반환됩니다. 예를 들어 S3 서비스 코드에서 반환되는 모든 IP 주소 범위는 AMAZON 서비스 코드에서도 반환됩니다.

서비스 A가 서비스 B의 리소스를 사용하는 경우 서비스 A와 서비스 B 모두에 대해 서비스 코드에서 반환되는 IP 주소 범위가 있습니다. 그러나 이러한 IP 주소 범위는 서비스 A에서만 사용되며 서비스 B에서는 사용할 수 없습니다. 예를 들어 Amazon S3는 Amazon EC2의 리소스를 사용하므로 S3 및 EC2 서비스 코드 모두에서 반환되는 IP 주소 범위가 있습니다. 그러나 이러한 IP 주소 범위는 Amazon S3에서만 사용됩니다. 따라서 S3 서비스 코드는 Amazon S3에서만 사용하는 모든 IP 주소 범위를 반환합니다. Amazon EC2에서만 사용되는 IP 주소 범위를 식별하려면 EC2 서비스 코드에서 반환되지만 S3 서비스 코드에서는 반환되지 않는 IP 주소 범위를 찾으세요.

JSON 파일 필터링

명령줄 도구를 다운로드하여 원하는 정보만 표시하도록 필터링할 수 있습니다.

Windows

AWS Tools for Windows PowerShell에는 이 JSON 파일을 구문 분석하는 cmdlet인 Get-AWSPublicIpAddressRange가 포함되어 있습니다. 다음 예는 이 cmdlet의 사용법을 보여줍니다. 자세한 내용은 퍼블릭 IP 주소 범위 쿼리 AWS및 Get-를 참조하십시오. AWSPublicIpAddressRange

예 1. 생성 날짜 가져오기
PS C:\> Get-AWSPublicIpAddressRange -OutputPublicationDate

Wednesday, August 22, 2018 9:22:35 PM
예 2. 특정 리전에 대한 정보 가져오기
PS C:\> Get-AWSPublicIpAddressRange -Region us-east-1

IpPrefix        Region      NetworkBorderGroup         Service
--------        ------       -------                   -------
23.20.0.0/14    us-east-1    us-east-1                 AMAZON
50.16.0.0/15    us-east-1    us-east-1                 AMAZON
50.19.0.0/16    us-east-1    us-east-1                 AMAZON
...
예 3. 모든 IP 주소 가져오기
PS C:\> (Get-AWSPublicIpAddressRange).IpPrefix
23.20.0.0/14
27.0.0.0/22
43.250.192.0/24
...
2406:da00:ff00::/64
2600:1fff:6000::/40
2a01:578:3::/64
2600:9000::/28
예 4. 모든 IPv4 주소 가져오기
PS C:\> Get-AWSPublicIpAddressRange | where {$_.IpAddressFormat -eq "Ipv4"} | select IpPrefix

IpPrefix
--------
23.20.0.0/14
27.0.0.0/22
43.250.192.0/24
...
예 5. 모든 IPv6 주소 가져오기
PS C:\> Get-AWSPublicIpAddressRange | where {$_.IpAddressFormat -eq "Ipv6"} | select IpPrefix

IpPrefix
--------
2a05:d07c:2000::/40
2a05:d000:8000::/40
2406:dafe:2000::/40
...
예 6. 특정 서비스에 대한 모든 IP 주소를 가져옵니다.
PS C:\> Get-AWSPublicIpAddressRange -ServiceKey CODEBUILD | select IpPrefix

IpPrefix
--------
52.47.73.72/29
13.55.255.216/29
52.15.247.208/29
...

Linux

다음 예제 명령에서는 jq 도구를 사용하여 JSON 파일의 로컬 사본을 구문 분석합니다.

예 1. 생성 날짜 가져오기
$ jq .createDate < ip-ranges.json

"2016-02-18-17-22-15"
예 2. 특정 리전에 대한 정보 가져오기
$ jq '.prefixes[] | select(.region=="us-east-1")' < ip-ranges.json

{
  "ip_prefix": "23.20.0.0/14",
  "region": "us-east-1",
  "network_border_group": "us-east-1",
  "service": "AMAZON"
},
{
  "ip_prefix": "50.16.0.0/15",
  "region": "us-east-1",
  "network_border_group": "us-east-1",
  "service": "AMAZON"
},
{
  "ip_prefix": "50.19.0.0/16",
  "region": "us-east-1",
  "network_border_group": "us-east-1",
  "service": "AMAZON"
},
...
예 3. 모든 IPv4 주소 가져오기
$ jq -r '.prefixes | .[].ip_prefix' < ip-ranges.json

23.20.0.0/14
27.0.0.0/22
43.250.192.0/24
...
예 4. 모든 IPv6 주소 가져오기
$ jq -r '.ipv6_prefixes | .[].ipv6_prefix' < ip-ranges.json

2a05:d07c:2000::/40
2a05:d000:8000::/40
2406:dafe:2000::/40
...
예 5. 특정 서비스에 대한 모든 IPv4 주소를 가져옵니다.
$ jq -r '.prefixes[] | select(.service=="CODEBUILD") | .ip_prefix' < ip-ranges.json

52.47.73.72/29
13.55.255.216/29
52.15.247.208/29
...
예 6. 특정 리전의 특정 서비스에 대한 모든 IPv4 주소 가져오기
$ jq -r '.prefixes[] | select(.region=="us-east-1") | select(.service=="CODEBUILD") | .ip_prefix' < ip-ranges.json

34.228.4.208/28
예 7. 특정 네트워크 경계 그룹에 대한 정보 가져오기
$ jq -r '.prefixes[] | select(.region=="us-west-2") | select(.network_border_group=="us-west-2-lax-1") | .ip_prefix' < ip-ranges.json
70.224.192.0/18
52.95.230.0/24
15.253.0.0/16
...

송신 제어 구현

한 서비스로 만든 리소스가 다른 AWSAWS 서비스에만 액세스할 수 있도록 하려면 ip-ranges.json 파일의 IP 주소 범위 정보를 사용하여 이그레스 필터링을 수행할 수 있습니다. 보안 그룹 규칙에서 AMAZON 목록의 CIDR 블록으로의 아웃바운드 트래픽이 허용되는지 확인하세요. 보안 그룹에 대한 할당량이 있습니다. 각 리전의 IP 주소 범위 수에 따라 리전당 여러 보안 그룹이 필요할 수 있습니다.

참고

일부 AWS 서비스는 EC2를 기반으로 하며 EC2 IP 주소 공간을 사용합니다. EC2 IP 주소 공간으로의 트래픽을 차단할 경우 이러한 EC2 이외의 서비스에 대한 트래픽도 차단됩니다.

AWS IP 주소 범위 알림

AWS IP 주소 범위가 변경될 때마다 해당 AmazonIpSpaceChanged 주제의 구독자에게 알림을 보냅니다. 페이로드에는 다음 형식의 정보가 포함되어 있습니다.

{
  "create-time":"yyyy-mm-ddThh:mm:ss+00:00",
  "synctoken":"0123456789",
  "md5":"6a45316e8bc9463c9e926d5d37836d33",
  "url":"https://ip-ranges.amazonaws.com/ip-ranges.json"
}
create-time

생성 날짜 및 시간

알림이 제공되는 순서는 정해져 있지 않습니다. 따라서 타임스탬프를 통해 올바른 순서를 확인하는 것이 좋습니다.

synctoken

게시 시간(Unix epoch 시간 형식)

md5

ip-ranges.json 파일의 암호화 해시 값입니다. 이 값을 사용하여 다운로드한 파일이 손상되었는지 여부를 확인할 수 있습니다.

url

ip-ranges.json 파일의 위치

AWS IP 주소 범위가 변경될 때마다 알림을 받으려면 다음과 같이 구독하여 Amazon SNS를 사용하여 알림을 수신할 수 있습니다.

AWS IP 주소 범위 알림을 구독하려면

  1. https://console.aws.amazon.com/sns/v3/home에서 Amazon SNS 콘솔을 엽니다.

  2. 필요한 경우 탐색 모음에서 리전을 미국 동부(버지니아 북부)로 변경합니다. 구독하는 SNS 알림이 이 리전에 생성되었기 때문에 이 리전을 선택해야 합니다.

  3. 탐색 창에서 구독을 선택합니다.

  4. Create subscription을 선택합니다.

  5. 구독 생성 대화 상자에서 다음 작업을 수행합니다.

    1. [Topic ARN]의 경우, 다음 Amazon 리소스 이름(ARN)을 복사합니다.

      arn:aws:sns:us-east-1:806199016981:AmazonIpSpaceChanged

    2. [Protocol]의 경우, 사용할 프로토콜을 선택합니다(예: Email).

    3. [Endpoijnt]의 경우, 알림을 받을 엔드포인트를 입력합니다(예: 이메일 주소).

    4. 구독 생성을 선택합니다.

  6. 지정한 엔드포인트에서 연락이 오고 구독을 확인하라는 메시지가 표시됩니다. 예를 들어 이메일 주소를 지정한 경우, 제목이 AWS Notification - Subscription Confirmation인 이메일 메시지를 받게 됩니다. 지시에 따라 구독을 확인합니다.

알림은 엔드포인트의 가용성을 따릅니다. 따라서 JSON 파일을 주기적으로 확인하여 최신 범위를 가져왔는지 확인할 수 있습니다. Amazon SNS 안정성에 대한 자세한 내용은 https://aws.amazon.com/sns/faqs/#Reliability를 참조하세요.

이런 알림을 더 이상 받지 않기를 원하는 경우, 다음 절차를 수행해서 구독을 해제하세요.

AWS IP 주소 범위 알림 구독을 취소하려면

  1. https://console.aws.amazon.com/sns/v3/home에서 Amazon SNS 콘솔을 엽니다.

  2. 탐색 창에서 구독을 선택합니다.

  3. 구독의 확인란을 선택합니다.

  4. [Actions], [Delete subscriptions]를 차례로 선택합니다.

  5. 확인 메시지가 나타나면 삭제를 선택합니다.

Amazon SNS에 대한 자세한 내용은 Amazon Simple Notification Service 개발자 안내서를 참조하세요.

릴리스 정보

다음 표에서는 ip-ranges.json 구문에 대한 업데이트를 설명합니다. 또한 각 리전 출시와 함께 새로운 리전 코드도 추가됩니다.

설명 릴리스 날짜
MEDIA_PACKAGE_V2 서비스 코드를 추가했습니다. 2023년 5월 9일
CLOUDFRONT_ORIGIN_FACING 서비스 코드를 추가했습니다. 2021년 10월 12일
ROUTE53_RESOLVER 서비스 코드를 추가했습니다. 2021년 6월 24일
EBS 서비스 코드를 추가했습니다. 2021년 5월 12일
KINESIS_VIDEO_STREAMS 서비스 코드를 추가했습니다. 2020년 11월 19일
CHIME_MEETINGSCHIME_VOICECONNECTOR 서비스 코드를 추가했습니다. 2020년 6월 19일
AMAZON_APPFLOW 서비스 코드를 추가했습니다. 2020년 6월 9일
네트워크 경계 그룹에 대한 지원을 추가합니다. 2020년 4월 7일
WORKSPACES_GATEWAYS 서비스 코드를 추가했습니다. 2020년 3월 30일
ROUTE53_HEALTHCHECK_PUBLISHING 서비스 코드를 추가했습니다. 2020년 1월 30일
API_GATEWAY 서비스 코드를 추가했습니다. 2019년 9월 26일
EC2_INSTANCE_CONNECT 서비스 코드를 추가했습니다. 2019년 26월 6일
DYNAMODB 서비스 코드를 추가했습니다. 2019년 4월 25일
GLOBALACCELERATOR 서비스 코드를 추가했습니다. 2018년 12월 20일
AMAZON_CONNECT 서비스 코드를 추가했습니다. 2018년 6월 20일
CLOUD9 서비스 코드를 추가했습니다. 2018년 6월 20일
CODEBUILD 서비스 코드를 추가했습니다. 2018년 4월 19일
S3 서비스 코드를 추가했습니다. 2017년 2월 28일
IPv6 주소 범위에 대한 지원을 추가했습니다. 2016년 8월 22일
최초 릴리스 2014년 11월 19일

자세히 알아보기