我的API访问一个服务,该服务想知道API的可能IP地址范围是什么,以便他们可以将我们列入白名单。我如何知道负载平衡器创建新实例时AWS可能会分配哪些IP地址?
直接回答:AWS将其IP地址范围发布在可公开访问的JSON文件中。IP范围与一个区域和一项服务相关联,正如您可以想象的那样,它们有很多。例如,目前在us-west-2有71个与EC2相关的CIDR块。这是你能得到的最具体的了。因此,您必须为您的合作伙伴提供您所在地区的所有EC2 IP地址范围,以保证它们允许分配给您的自动扩展组可能启动的实例的任何IP地址。哦,它们确实会周期性地变化,所以你的伴侣必须维护这个列表。
建议:听起来你有你的EC2实例在公共子网和分配公共ip给他们。相反,您可以在私有子网中创建EC2实例,并使用NAT网关允许它们访问Internet。这样,出流量的源IP地址将是您分配给NAT网关的弹性IP地址。所以你可以给你的伴侣一个明确的IP地址,他们可以允许访问他们的服务。
为EC2实例使用私有子网还可以减少攻击面,因为EC2实例不会有单独的公共IP地址。