기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS IP 주소 범위
AWS 현재 IP 주소 범위를 JSON 형식으로 게시합니다. 이 정보를 사용하여 트래픽을 식별할 수 있습니다. AWS또한 이 정보를 사용하여 일부 AWS 서비스를 오가는 트래픽을 허용하거나 거부할 수 있습니다.
참고
일부 AWS 서비스 IP 주소 범위만 ip-ranges.json에 게시되며, 고객이 일반적으로 이그레스 필터링을 수행하려는 서비스의 IP 주소 범위를 게시합니다.
서비스에서 IP 주소 범위를 사용하여 다른 서비스와 통신하거나 서비스에서 IP 범위를 사용하여 고객 네트워크와 통신할 수 있습니다.
현재 범위를 보려면 .json
파일을 다운로드합니다. 기록을 유지하려면 연속 버전의 .json
파일을 시스템에 저장합니다. 파일을 마지막으로 저장한 이후에 변경 사항이 있는지 확인하려면 현재 파일의 게시 시간을 마지막으로 저장한 파일의 게시 시간과 비교합니다.
자체 IP 주소 (BYOIP) 를 AWS 통해 가져오는 IP 주소 범위는 파일에 포함되지 않습니다. .json
또는 일부 서비스에서는 AWS-managed 접두사 목록을 사용하여 주소 범위를 게시할 수도 있습니다. 자세한 내용은 사용 가능한 AWS관리형 프리픽스 목록 단원을 참조하십시오.
다운로드
ip-ranges.json
이 파일에 프로그래밍 방식으로 액세스할 경우 애플리케이션에서 서버에 제공된 TLS 인증서를 확인한 이후에 파일을 다운로드하는지 직접 확인해야 합니다.
구문
ip-ranges.json
구문은 다음과 같습니다.
{ "syncToken": "
0123456789
", "createDate": "yyyy
-mm
-dd
-hh
-mm
-ss
", "prefixes": [ { "ip_prefix": "cidr
", "region": "region
", "network_border_group": "network_border_group
", "service": "subset
" } ], "ipv6_prefixes": [ { "ipv6_prefix": "cidr
", "region": "region
", "network_border_group": "network_border_group
", "service": "subset
" } ] }
- syncToken
-
게시 시간(Unix epoch 시간 형식)
타입: 문자열
예제:
"syncToken": "1416435608"
- createDate
-
게시 날짜 및 시간 (UTC YY-MM-DD- 형식) hh-mm-ss
타입: 문자열
예제:
"createDate": "2014-11-19-23-29-02"
- prefixes
-
IPv4 주소 범위에 대한 IP 접두사
형식: 배열
- ipv6_prefixes
-
IPv6 주소 범위에 대한 IP 접두사
형식: 배열
- ip_prefix
-
퍼블릭 IPv4 주소 범위(CIDR 표기법)입니다. 더 구체적인 범위에서는 접두사를 AWS 광고할 수 있다는 점을 참고하십시오. 예를 들어, 파일의 96.127.0.0/17 접두사를 96.127.0.0/21, 96.127.8.0/21, 96.127.32.0/19 및 96.127.64.0/18로 알릴 수 있습니다.
타입: 문자열
예제:
"ip_prefix": "198.51.100.2/24"
- ipv6_prefix
-
퍼블릭 IPv6 주소 범위(CIDR 표기법)입니다. 더 구체적인 범위에서는 접두사를 AWS 광고할 수 있다는 점에 유의하세요.
타입: 문자열
예제:
"ipv6_prefix": "2001:db8:1234::/64"
- network_border_group
-
네트워크 경계 그룹의 이름. 이 그룹은 IP 주소를 AWS 광고하는 고유한 가용 영역 또는 Local Zones 집합입니다.
GLOBAL
GLOBAL
서비스 트래픽은 IP 주소를 AWS 광고하는 여러 (최대) 가용 영역 또는 Local Zone으로 유입되거나 해당 가용 영역에서 발생할 수 있습니다.타입: 문자열
예제:
"network_border_group": "us-west-2-lax-1"
- region
-
AWS 지역 또는.
GLOBAL
GLOBAL
서비스 트래픽은 여러 (최대 모든) AWS 지역으로 유입되거나 해당 지역에서 발생할 수 있습니다.타입: 문자열
유효한 값:
af-south-1
|ap-east-1
|ap-northeast-1
|ap-northeast-2
|ap-northeast-3
|ap-south-1
|ap-south-2
|ap-southeast-1
|ap-southeast-2
|ap-southeast-3
|ap-southeast-4
|ca-central-1
|cn-north-1
|cn-northwest-1
|eu-central-1
|eu-central-2
|eu-north-1
|eu-south-1
|eu-south-2
|eu-west-1
|eu-west-2
|eu-west-3
|me-central-1
|me-south-1
|sa-east-1
|us-east-1
|us-east-2
|us-gov-east-1
|us-gov-west-1
|us-west-1
|us-west-2
|GLOBAL
예제:
"region": "us-east-1"
- 서비스
-
IP 주소 범위의 일부입니다.
API_GATEWAY
에 대해 나열된 주소는 송신 전용입니다. 모든 IP 주소 범위를 가져오도록AMAZON
을 지정합니다. 이렇게 하면 모든 서브셋이AMAZON
서브셋에도 있습니다. 하지만 일부 IP 주소 범위는AMAZON
서브셋에만 있습니다. 즉, 다른 서브셋에서 사용할 수 없습니다.타입: 문자열
유효한 값:
AMAZON
|AMAZON_APPFLOW
|AMAZON_CONNECT
|API_GATEWAY
|CHIME_MEETINGS
|CHIME_VOICECONNECTOR
|CLOUD9
|CLOUDFRONT
|CLOUDFRONT_ORIGIN_FACING
|CODEBUILD
|DYNAMODB
|EBS
|EC2
|EC2_INSTANCE_CONNECT
|GLOBALACCELERATOR
|KINESIS_VIDEO_STREAMS
|MEDIA_PACKAGE_V2
|ROUTE53
|ROUTE53_HEALTHCHECKS
|ROUTE53_HEALTHCHECKS_PUBLISHING
|ROUTE53_RESOLVER
|S3
|WORKSPACES_GATEWAYS
예제:
"service": "AMAZON"
범위 중복
모든 서비스 코드에서 반환되는 IP 주소 범위는 AMAZON
서비스 코드에서도 반환됩니다. 예를 들어 S3
서비스 코드에서 반환되는 모든 IP 주소 범위는 AMAZON
서비스 코드에서도 반환됩니다.
서비스 A가 서비스 B의 리소스를 사용하는 경우 서비스 A와 서비스 B 모두에 대해 서비스 코드에서 반환되는 IP 주소 범위가 있습니다. 그러나 이러한 IP 주소 범위는 서비스 A에서만 사용되며 서비스 B에서는 사용할 수 없습니다. 예를 들어 Amazon S3는 Amazon EC2의 리소스를 사용하므로 S3
및 EC2
서비스 코드 모두에서 반환되는 IP 주소 범위가 있습니다. 그러나 이러한 IP 주소 범위는 Amazon S3에서만 사용됩니다. 따라서 S3
서비스 코드는 Amazon S3에서만 사용하는 모든 IP 주소 범위를 반환합니다. Amazon EC2에서만 사용되는 IP 주소 범위를 식별하려면 EC2
서비스 코드에서 반환되지만 S3
서비스 코드에서는 반환되지 않는 IP 주소 범위를 찾으세요.
JSON 파일 필터링
명령줄 도구를 다운로드하여 원하는 정보만 표시하도록 필터링할 수 있습니다.
Windows
AWS Tools for Windows PowerShell에는 이 JSON 파일을 구문 분석하는 cmdlet인 Get-AWSPublicIpAddressRange
가 포함되어 있습니다. 다음 예는 이 cmdlet의 사용법을 보여줍니다. 자세한 내용은 퍼블릭 IP 주소 범위 쿼리 AWS및 Get-를
예 1. 생성 날짜 가져오기
PS C:\>
Get-AWSPublicIpAddressRange -OutputPublicationDate
Wednesday, August 22, 2018 9:22:35 PM
예 2. 특정 리전에 대한 정보 가져오기
PS C:\>
Get-AWSPublicIpAddressRange -Region us-east-1
IpPrefix Region NetworkBorderGroup Service -------- ------ ------- ------- 23.20.0.0/14 us-east-1 us-east-1 AMAZON 50.16.0.0/15 us-east-1 us-east-1 AMAZON 50.19.0.0/16 us-east-1 us-east-1 AMAZON ...
예 3. 모든 IP 주소 가져오기
PS C:\>
(Get-AWSPublicIpAddressRange).IpPrefix
23.20.0.0/14 27.0.0.0/22 43.250.192.0/24 ... 2406:da00:ff00::/64 2600:1fff:6000::/40 2a01:578:3::/64 2600:9000::/28
예 4. 모든 IPv4 주소 가져오기
PS C:\>
Get-AWSPublicIpAddressRange | where {$_.IpAddressFormat -eq "Ipv4"} | select IpPrefix
IpPrefix -------- 23.20.0.0/14 27.0.0.0/22 43.250.192.0/24 ...
예 5. 모든 IPv6 주소 가져오기
PS C:\>
Get-AWSPublicIpAddressRange | where {$_.IpAddressFormat -eq "Ipv6"} | select IpPrefix
IpPrefix -------- 2a05:d07c:2000::/40 2a05:d000:8000::/40 2406:dafe:2000::/40 ...
예 6. 특정 서비스에 대한 모든 IP 주소를 가져옵니다.
PS C:\>
Get-AWSPublicIpAddressRange -ServiceKey CODEBUILD | select IpPrefix
IpPrefix -------- 52.47.73.72/29 13.55.255.216/29 52.15.247.208/29 ...
Linux
다음 예제 명령에서는 jq 도구
예 1. 생성 날짜 가져오기
$
jq .createDate < ip-ranges.json
"2016-02-18-17-22-15"
예 2. 특정 리전에 대한 정보 가져오기
$
jq '.prefixes[] | select(.region=="us-east-1")' < ip-ranges.json
{ "ip_prefix": "23.20.0.0/14", "region": "us-east-1", "network_border_group": "us-east-1", "service": "AMAZON" }, { "ip_prefix": "50.16.0.0/15", "region": "us-east-1", "network_border_group": "us-east-1", "service": "AMAZON" }, { "ip_prefix": "50.19.0.0/16", "region": "us-east-1", "network_border_group": "us-east-1", "service": "AMAZON" }, ...
예 3. 모든 IPv4 주소 가져오기
$
jq -r '.prefixes | .[].ip_prefix' < ip-ranges.json
23.20.0.0/14 27.0.0.0/22 43.250.192.0/24 ...
예 4. 모든 IPv6 주소 가져오기
$
jq -r '.ipv6_prefixes | .[].ipv6_prefix' < ip-ranges.json
2a05:d07c:2000::/40 2a05:d000:8000::/40 2406:dafe:2000::/40 ...
예 5. 특정 서비스에 대한 모든 IPv4 주소를 가져옵니다.
$
jq -r '.prefixes[] | select(.service=="CODEBUILD") | .ip_prefix' < ip-ranges.json
52.47.73.72/29 13.55.255.216/29 52.15.247.208/29 ...
예 6. 특정 리전의 특정 서비스에 대한 모든 IPv4 주소 가져오기
$
jq -r '.prefixes[] | select(.region=="us-east-1") | select(.service=="CODEBUILD") | .ip_prefix' < ip-ranges.json
34.228.4.208/28
예 7. 특정 네트워크 경계 그룹에 대한 정보 가져오기
$
jq -r '.prefixes[] | select(.region=="us-west-2") | select(.network_border_group=="us-west-2-lax-1") | .ip_prefix' < ip-ranges.json
70.224.192.0/18 52.95.230.0/24 15.253.0.0/16 ...
송신 제어 구현
한 서비스로 만든 리소스가 다른 AWSAWS
서비스에만 액세스할 수 있도록 하려면 ip-ranges.json 파일의 IP 주소 범위 정보를 사용하여 이그레스 필터링을 수행할 수 있습니다.
참고
일부 AWS 서비스는 EC2를 기반으로 하며 EC2 IP 주소 공간을 사용합니다. EC2 IP 주소 공간으로의 트래픽을 차단할 경우 이러한 EC2 이외의 서비스에 대한 트래픽도 차단됩니다.
AWS IP 주소 범위 알림
AWS IP 주소 범위가 변경될 때마다 해당 AmazonIpSpaceChanged
주제의 구독자에게 알림을 보냅니다. 페이로드에는 다음 형식의 정보가 포함되어 있습니다.
{ "create-time":"
yyyy
-mm
-dd
Thh
:mm
:ss
+00:00", "synctoken":"0123456789
", "md5":"6a45316e8bc9463c9e926d5d37836d33
", "url":"https://ip-ranges.amazonaws.com/ip-ranges.json" }
- create-time
-
생성 날짜 및 시간
알림이 제공되는 순서는 정해져 있지 않습니다. 따라서 타임스탬프를 통해 올바른 순서를 확인하는 것이 좋습니다.
- synctoken
-
게시 시간(Unix epoch 시간 형식)
- md5
-
ip-ranges.json
파일의 암호화 해시 값입니다. 이 값을 사용하여 다운로드한 파일이 손상되었는지 여부를 확인할 수 있습니다. - url
-
ip-ranges.json
파일의 위치
AWS IP 주소 범위가 변경될 때마다 알림을 받으려면 다음과 같이 구독하여 Amazon SNS를 사용하여 알림을 수신할 수 있습니다.
AWS IP 주소 범위 알림을 구독하려면
https://console.aws.amazon.com/sns/v3/home
에서 Amazon SNS 콘솔을 엽니다. -
필요한 경우 탐색 모음에서 리전을 미국 동부(버지니아 북부)로 변경합니다. 구독하는 SNS 알림이 이 리전에 생성되었기 때문에 이 리전을 선택해야 합니다.
-
탐색 창에서 구독을 선택합니다.
-
Create subscription을 선택합니다.
-
구독 생성 대화 상자에서 다음 작업을 수행합니다.
-
[Topic ARN]의 경우, 다음 Amazon 리소스 이름(ARN)을 복사합니다.
arn:aws:sns:us-east-1:806199016981:AmazonIpSpaceChanged
-
[Protocol]의 경우, 사용할 프로토콜을 선택합니다(예:
Email
). -
[Endpoijnt]의 경우, 알림을 받을 엔드포인트를 입력합니다(예: 이메일 주소).
-
구독 생성을 선택합니다.
-
-
지정한 엔드포인트에서 연락이 오고 구독을 확인하라는 메시지가 표시됩니다. 예를 들어 이메일 주소를 지정한 경우, 제목이
AWS Notification - Subscription Confirmation
인 이메일 메시지를 받게 됩니다. 지시에 따라 구독을 확인합니다.
알림은 엔드포인트의 가용성을 따릅니다. 따라서 JSON 파일을 주기적으로 확인하여 최신 범위를 가져왔는지 확인할 수 있습니다. Amazon SNS 안정성에 대한 자세한 내용은 https://aws.amazon.com/sns/faqs/#Reliability
이런 알림을 더 이상 받지 않기를 원하는 경우, 다음 절차를 수행해서 구독을 해제하세요.
AWS IP 주소 범위 알림 구독을 취소하려면
-
https://console.aws.amazon.com/sns/v3/home
에서 Amazon SNS 콘솔을 엽니다. -
탐색 창에서 구독을 선택합니다.
-
구독의 확인란을 선택합니다.
-
[Actions], [Delete subscriptions]를 차례로 선택합니다.
-
확인 메시지가 나타나면 삭제를 선택합니다.
Amazon SNS에 대한 자세한 내용은 Amazon Simple Notification Service 개발자 안내서를 참조하세요.
릴리스 정보
다음 표에서는 ip-ranges.json
구문에 대한 업데이트를 설명합니다. 또한 각 리전 출시와 함께 새로운 리전 코드도 추가됩니다.
설명 | 릴리스 날짜 |
---|---|
MEDIA_PACKAGE_V2 서비스 코드를 추가했습니다. |
2023년 5월 9일 |
CLOUDFRONT_ORIGIN_FACING 서비스 코드를 추가했습니다. |
2021년 10월 12일 |
ROUTE53_RESOLVER 서비스 코드를 추가했습니다. |
2021년 6월 24일 |
EBS 서비스 코드를 추가했습니다. |
2021년 5월 12일 |
KINESIS_VIDEO_STREAMS 서비스 코드를 추가했습니다. |
2020년 11월 19일 |
CHIME_MEETINGS 및 CHIME_VOICECONNECTOR 서비스 코드를 추가했습니다. |
2020년 6월 19일 |
AMAZON_APPFLOW 서비스 코드를 추가했습니다. |
2020년 6월 9일 |
네트워크 경계 그룹에 대한 지원을 추가합니다. | 2020년 4월 7일 |
WORKSPACES_GATEWAYS 서비스 코드를 추가했습니다. |
2020년 3월 30일 |
ROUTE53_HEALTHCHECK_PUBLISHING 서비스 코드를 추가했습니다. |
2020년 1월 30일 |
API_GATEWAY 서비스 코드를 추가했습니다. |
2019년 9월 26일 |
EC2_INSTANCE_CONNECT 서비스 코드를 추가했습니다. |
2019년 26월 6일 |
DYNAMODB 서비스 코드를 추가했습니다. |
2019년 4월 25일 |
GLOBALACCELERATOR 서비스 코드를 추가했습니다. |
2018년 12월 20일 |
AMAZON_CONNECT 서비스 코드를 추가했습니다. |
2018년 6월 20일 |
CLOUD9 서비스 코드를 추가했습니다. |
2018년 6월 20일 |
CODEBUILD 서비스 코드를 추가했습니다. |
2018년 4월 19일 |
S3 서비스 코드를 추가했습니다. |
2017년 2월 28일 |
IPv6 주소 범위에 대한 지원을 추가했습니다. | 2016년 8월 22일 |
최초 릴리스 | 2014년 11월 19일 |
자세히 알아보기
-
AMAZON_APPFLOW
– IP 주소 범위 -
AMAZON_CONNECT
– 네트워크 설정 -
CHIME_MEETINGS
– 미디어 및 신호 전송 구성 -
CLOUDFRONT
— CloudFront 에지 서버의 위치 및 IP 주소 범위 -
DYNAMODB
– IP 주소 범위 -
EC2
– 퍼블릭 IPV4 주소 -
EC2_INSTANCE_CONNECT
– EC2 인스턴스 연결 전제 조건 -
GLOBALACCELERATOR
– Global Accelerator 엣지 서버의 위치 및 IP 주소 범위 -
ROUTE53
– Amazon Route 53 서버의 IP 주소 범위 -
ROUTE53_HEALTHCHECKS
– Amazon Route 53 서버의 IP 주소 범위 -
ROUTE53_HEALTHCHECKS_PUBLISHING
– Amazon Route 53 서버의 IP 주소 범위 -
WORKSPACES_GATEWAYS
– PCoIP 게이트웨이 서버