📰

[自動更新]AWSがIPアドレスを公開しているサービス一覧

2024/11/23に公開

はじめに

AWS IP アドレスの範囲の通り、ip-ranges.jsonでAWSのサービスで使用されるIPアドレスの範囲が公開されています。

運用負荷逓減のため、DNS名やAWSマネージドプレフィックスリストでトラフィック制御は行われるべきです。

しかし、以下のようにIPアドレスレベルでトラフィック制御を行わざるを得ない場合もあるかと思います。

  • オンプレミス環境のファイアウォールでAWSサービスからのみ通信を許可したい
  • コンプライアンス要件でネットワークACLの利用が義務付けられている

そこで今回は具体的に何のAWSサービスがIPアドレスを公開しているかを調べてみました。

AWSがIPアドレスを公開しているサービス一覧

最新の情報を取得できるようGitHub Actionsでworkflowを組んでいます。
毎日0時(JST)にip-ranges.jsonからserviceのみを抽出し、zenn-cli経由でAWSサービス一覧が更新されています。

最終更新日時: 2024/12/11 00:11

AMAZON
AMAZON_APPFLOW
AMAZON_CONNECT
API_GATEWAY
CHIME_MEETINGS
CHIME_VOICECONNECTOR
CLOUD9
CLOUDFRONT
CLOUDFRONT_ORIGIN_FACING
CODEBUILD
DYNAMODB
EBS
EC2
EC2_INSTANCE_CONNECT
GLOBALACCELERATOR
IVS_REALTIME
KINESIS_VIDEO_STREAMS
MEDIA_PACKAGE_V2
ROUTE53
ROUTE53_HEALTHCHECKS
ROUTE53_HEALTHCHECKS_PUBLISHING
ROUTE53_RESOLVER
S3
WORKSPACES_GATEWAYS

一部のサービスはAMAZONにIPアドレスが包含されている

Classmethodさんの記事によれば、一部のサービスはAMAZONという大きな括りでIPアドレスが公開されている場合があるようです。

この場合、特定のサービスからのトラフフィックのみを許可するといった細かい制御ができません。
将来的にそのサービス単体でIPアドレス一覧が公開されるように祈りましょう。

補足 : AWS公式のSNSトピック

AWSのIPアドレス範囲の通知によれば、AWSが公式でAmazonIpSpaceChangedというSNSトピックを用意しているようです。

SNSサブスクライバーに運用担当者のメールアドレス等を設定し、変更を通知するといったワークフローが組めそうですね。
Lambdaをサブスクライバーに設定し、自動的にネットワークACLを変更するワークフローも面白そうです。

参考記事

GitHubで編集を提案

Discussion