AWS IP 地址范围
AWS 以 JSON 格式发布其当前的 IP 地址范围。利用这些信息,您可以识别来自 AWS 的流量。这些信息也可用于允许或拒绝发往或来自某些 AWS 服务 的流量。
注意事项
我们会发布客户通常用于执行出口筛选的服务的 IP 地址范围。我们不会公布所有服务的 IP 地址范围。
服务可以使用其 IP 地址范围与其他服务通信,也可以使用这些 IP 范围与客户网络通信。
通过自带 IP 地址(BYOIP)引入到 AWS 的 IP 地址范围不包含在
.json
文件内。有关更多信息,请参阅《Amazon EC2 用户指南》中的通过 AWS 公告地址范围。
某些服务使用 AWS 托管式前缀列表发布其地址范围。有关更多信息,请参阅 可用的 AWS 托管前缀列表。
下载 JSON 文件
要查看当前地址范围,请下载 ip-ranges.json
以下是将 JSON 文件保存到当前目录的 curl 命令示例。
curl -O https://ip-ranges.amazonaws.com/ip-ranges.json
如果您以编程方式访问此文件,您有责任确保仅在成功验证服务器提供的 TLS 证书之后,应用程序才能下载文件。
要接收 JSON 文件更新通知,请参阅AWS IP 地址范围通知。
出口控制
要允许使用一项 AWS 服务创建的资源仅访问其他 AWS 服务,可以使用 ip-ranges.json 文件中的 IP 地址范围信息来执行出口筛选。确保安全组规则允许出站流量流向 AMAZON 列表中的 CIDR 块。安全组存在限额。根据每个区域中 IP 地址范围的数量,每个区域可能需要使用多个安全组。
注意
有些 AWS 服务基于 EC2 构建并使用 EC2 IP 地址空间。如果您屏蔽流向 EC2 IP 地址空间的流量,则也将阻止这些非 EC2 服务的流量。
地理位置源
ip-ranges.json
的 IP 地址范围按照 AWS 区域。但是,本地区域与其父区域不在同个物理位置。geo-ip-feed.csv