# AWS IP 地址范围
<a name="aws-ip-ranges"></a>

AWS 以 JSON 格式发布其当前的 IP 地址范围。利用这些信息，您可以识别来自 AWS 的流量。这些信息也可用于允许或拒绝发往或来自某些 AWS 服务 的流量。

**注意事项**
+ 我们会发布客户通常用于执行出口筛选的服务的 IP 地址范围。我们不会公布所有服务的 IP 地址范围。
+ 服务可以使用其 IP 地址范围与其他服务通信，也可以使用这些 IP 范围与客户网络通信。
+ 通过自带 IP 地址（BYOIP）引入到 AWS 的 IP 地址范围不包含在 `.json` 文件内。有关更多信息，请参阅《Amazon EC2 用户指南》**中的[通过 AWS 公告地址范围](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/byoip-onboard.html#byoip-advertise)。

某些服务使用 AWS 托管式前缀列表发布其地址范围。有关更多信息，请参阅 [可用的 AWS 托管前缀列表](working-with-aws-managed-prefix-lists.md#available-aws-managed-prefix-lists)。

**Topics**
+ [下载](#aws-ip-download)
+ [出口控制](#aws-ip-egress-control)
+ [地理位置源](#aws-ip-geo-ip-feed)
+ [查找地址范围](aws-ip-work-with.md)
+ [语法](aws-ip-syntax.md)
+ [订阅 通知](subscribe-notifications.md)

## 下载 JSON 文件
<a name="aws-ip-download"></a>

要查看当前的地址范围，请下载 [ip-ranges.json](https://ip-ranges.amazonaws.com/ip-ranges.json)。要维护历史记录，请将连续版本的 JSON 文件保存在自己的计算机上。要确定自上次保存文件以来是否发生更改，请检查当前文件中的发布时间，并将其与上次保存文件中的发布时间进行比较。

以下是将 JSON 文件保存到当前目录的 **curl** 命令示例。

```
curl -O https://ip-ranges.amazonaws.com/ip-ranges.json
```

如果您以编程方式访问此文件，您有责任确保仅在成功验证服务器提供的 TLS 证书之后，应用程序才能下载文件。

要接收 JSON 文件更新通知，请参阅[AWS IP 地址范围通知](subscribe-notifications.md)。

## 出口控制
<a name="aws-ip-egress-control"></a>

要允许使用一项 AWS 服务创建的资源仅访问其他 AWS 服务，可以使用 ip-ranges.json 文件中的 IP 地址范围信息来执行出口筛选。确保安全组规则允许出站流量流向 AMAZON 列表中的 CIDR 块。[安全组存在限额](amazon-vpc-limits.md#vpc-limits-security-groups)。根据每个区域中 IP 地址范围的数量，每个区域可能需要使用多个安全组。

**注意**  
有些 AWS 服务基于 EC2 构建并使用 EC2 IP 地址空间。如果您屏蔽流向 EC2 IP 地址空间的流量，则也将阻止这些非 EC2 服务的流量。

## 地理位置源
<a name="aws-ip-geo-ip-feed"></a>

`ip-ranges.json` 的 IP 地址范围按照 AWS 区域。但是，本地区域与其父区域不在同个物理位置。[geo-ip-feed.csv](https://ip-ranges.amazonaws.com/geo-ip-feed.csv) 中发布的地理位置数据考虑了本地区域。数据遵循 [RFC 8805](https://datatracker.ietf.org/doc/html/rfc8805)。