S3が機能するために、システム管理者にどのIP範囲を開くように要求するのですか？

Question

私はいくつかの小企業が興味を示しているRaspberry Pi用のプログラムをいくつか作成しました。私は事前に構成されたRaspberry Pi：sを彼らに販売し、私のプログラムを彼らに売りました。彼らは理解できる非常に厳しいポリシーを持っています。

私のプログラムは、AmazonのS3サービスを使用しています。プログラムが機能し、S3にアクセスするために開く必要のあるポートとサービスについての指示を示しましたが、システム管理者は1つ以外のすべてに[ok]と言っています。ポート443全体を許可することはできません。インターネット。 IPの範囲を指定する必要があると彼らは言う。

私はいくつかの研究を行っていますが、S3が機能するためには広大なIP範囲が必要であり、必要なIPアドレスは増え続けるだけです。私が見つけたほとんどのドキュメントでは、「ポート80とポート443を開く必要がある」こと、およびS3サーバーのIPアドレスはさまざまであることを明確に説明しています。

私が提案できることについて何か提案はありますか？ドメイン名（* .amazonaws.com）でフィルタリングできるファイアウォールはありますか？または、他に何かできることはありますか？定期的に更新されるS3の公式IP範囲リストはありますか？

あなたからの助けは非常にいただければ幸いです。ありがとう。

grekasius · Answer

許可されたIP範囲の構築を開始する前に、リージョンを特定します。 S3リージョンのリストが利用可能です here 。

s3-us-west-2.amazonaws.comのIP範囲が必要だとします。

Linuxシステムで次のコマンドを実行するか、他のシステムで同等のコマンドを実行することで取得できます。

ドメインのIPアドレスを取得します。

$ Host s3-us-west-2.amazonaws.com s3-us-west-2.amazonaws.com has address 54.231.161.248

ドメインには複数のIPアドレスが関連付けられており、別のネットワークにある可能性があります。このコマンドを複数回実行して、返されたIPアドレスが同じネットワーク内にあるかどうかを確認してください。そうでない場合は、別のネットワークからIPを識別して、そのようなすべてのIPに対して以下のコマンドを実行してください。残念ながら、特定のドメインに関連付けられたすべてのAレコードを返すようにDNSサーバーに要求する方法はありません。

whoisを実行して、IPアドレスに関する情報を取得します。

$ whois 54.231.161.248 ... NetRange: 54.230.0.0 - 54.231.255.255 CIDR: 54.230.0.0/15 ...

Whoisの出力には、不要な大量の追加情報が含まれるため、IPアドレスによって出力が異なる場合があります。ただし、その出力でIP範囲を見つけることができるはずです。

代替アプローチ：

Amazonにはフォーラム post があり、IP範囲が一覧表示され、定期的に更新されるので、それも使用できます。

これらのIP範囲は時間の経過とともに変化するため、理想的には、それらの範囲を調査し、新しいIPが検出されたときに通知を行うスクリプトを用意する必要があります。以下のコメントに記載されているように、IP範囲が正しいことを最初に確認せずにファイアウォール構成を更新したくない場合があります。

Malcolm Box · Answer

Amazonは各サービスのIP範囲の自動更新リストをここに公開しています： https://ip-ranges.amazonaws.com/ip-ranges.json -セマンティクスと方法については、 http://docs.aws.Amazon.com/general/latest/gr/aws-ip-ranges.html を参照してください変更の通知を受け取ります。