AWS IP 地址範圍 - Amazon Virtual Private Cloud
下載輸出控制地理位置提要

AWS IP 地址範圍

AWS 會以 JSON 格式發佈其目前的 IP 地址範圍。有了此資訊,您就可以識別來自 AWS 的流量。您也可以使用此資訊允許或拒絕往來部分 AWS 服務 的流量。

考量事項

  • 我們會發布客戶通常用來執行輸出篩選的服務的 IP 位址範圍。我們不會發布所有服務的 IP 位址範圍。

  • 服務會利用其 IP 位址範圍與其他服務或客戶網路進行通訊。

  • 您透過自有 IP 地址 (BYOIP) 帶到 AWS 的 IP 地址範圍,不會包含在 .json 檔案中。如需詳細資訊,請參閱《Amazon EC2 使用者指南》中的透過 AWS 公告地址範圍

某些服務會使用 AWS 受管前置詞清單來發布其地址範圍。如需更多詳細資訊,請參閱 可用之 AWS 管理的前綴清單

目錄

下載 JSON 檔案

若要檢視目前的位址範圍,請下載 ip-ranges.json。若要保持歷史記錄,請在自己的電腦上儲存連續版本的 JSON 檔案。若要判斷自上次儲存檔案之後是否有所變更,請查看目前檔案中的發佈時間,然後比較最後所儲存檔案的發佈時間。

以下是將 JSON 檔案儲存至目前目錄的範例 curl 命令。

curl -O https://ip-ranges.amazonaws.com/ip-ranges.json

如果您以程式設計方式存取此檔案,您必須負責確保只有當伺服器提出的 TLS 憑證驗證成功之後,才讓應用程式下載檔案。

若要接收 JSON 檔案更新通知,請參閱 AWS IP 地址範圍通知

輸出控制

若要允許使用一個 AWS 服務建立的資源只能存取其他 AWS 服務,您可以使用 ip-ranges.json 檔案中的 IP 位址範圍資訊來執行輸出篩選。確保安全群組規則允許將輸出流量傳送至 AMAZON 清單中的 CIDR 區塊。有安全群組的配額。視每個區域中的 IP 地址範圍數目而定,每個區域可能需要多個安全群組。

注意

部分 AWS 服務以 EC2 為基礎建立,並使用 EC2 IP 位址空間。如果您封鎖傳送至 EC2 IP 地址空間的流量,也會封鎖這些非 EC2 服務的流量。

地理位置提要

ip-ranges.json 中的 IP 位址範圍由 AWS 區域 提供。然而,Local Zone 與其父區域不在相同的實體位置。在 Local Zones 的 geo-ip-feed.csv 帳戶中發布的地理位置資料。資料遵循 RFC 8805