AWS IP 地址范围 - Amazon Virtual Private Cloud

AWS IP 地址范围

AWS 以 JSON 格式发布其当前的 IP 地址范围。利用这些信息,您可以识别来自 AWS 的流量。这些信息也可用于允许或拒绝发往或来自某些 AWS 服务 的流量。

注意事项
  • 我们会发布客户通常用于执行出口筛选的服务的 IP 地址范围。我们不会公布所有服务的 IP 地址范围。

  • 服务可以使用其 IP 地址范围与其他服务通信,也可以使用这些 IP 范围与客户网络通信。

  • 通过自带 IP 地址(BYOIP)引入到 AWS 的 IP 地址范围不包含在 .json 文件内。有关更多信息,请参阅《Amazon EC2 用户指南》中的通过 AWS 公告地址范围

某些服务使用 AWS 托管式前缀列表发布其地址范围。有关更多信息,请参阅 可用的 AWS 托管前缀列表

下载 JSON 文件

要查看当前地址范围,请下载 ip-ranges.json。要维护历史记录,请将连续版本的 JSON 文件保存在自己的计算机上。要确定自上次保存文件以来是否发生更改,请检查当前文件中的发布时间,并将其与上次保存文件中的发布时间进行比较。

以下是将 JSON 文件保存到当前目录的 curl 命令示例。

curl -O https://ip-ranges.amazonaws.com/ip-ranges.json

如果您以编程方式访问此文件,您有责任确保仅在成功验证服务器提供的 TLS 证书之后,应用程序才能下载文件。

要接收 JSON 文件更新通知,请参阅AWS IP 地址范围通知

出口控制

要允许使用一项 AWS 服务创建的资源仅访问其他 AWS 服务,可以使用 ip-ranges.json 文件中的 IP 地址范围信息来执行出口筛选。确保安全组规则允许出站流量流向 AMAZON 列表中的 CIDR 块。安全组存在限额。根据每个区域中 IP 地址范围的数量,每个区域可能需要使用多个安全组。

注意

有些 AWS 服务基于 EC2 构建并使用 EC2 IP 地址空间。如果您屏蔽流向 EC2 IP 地址空间的流量,则也将阻止这些非 EC2 服务的流量。

地理位置源

ip-ranges.json 的 IP 地址范围按照 AWS 区域。但是,本地区域与其父区域不在同个物理位置。geo-ip-feed.csv 中发布的地理位置数据考虑了本地区域。数据遵循 RFC 8805