EC2 の IP アドレス範囲をブロックすると他サービスも通信できなくなった場合の対処法
困っていた内容
ip-ranges.jsonを利用して AWS との通信をフィルタリングしています。
EC2 は使用していないため、EC2 の IP アドレス範囲をブロックしたところ、 Lambda など他サービスとの通信もエラーになりました。なぜでしょうか。
どう対応すればいいの?
EC2 の IP アドレス範囲のブロックを解除してください。
AWS IP アドレスの範囲 - Amazon Virtual Private Cloud
注記
AWS サービスの中には、EC2 上に構築され、EC2 IP アドレススペースを使用するもあります。EC2 IP アドレススペースへのトラフィックをブロックすると、EC2 以外のサービスへのトラフィックもブロックされます。
EC2 ではない AWS サービスの中には、EC2 の IP アドレス範囲を使用しているサービスもあります。
例えば、2026年6月時点の挙動として、VPC にアタッチしていない Lambda 関数が利用する IP アドレスは EC2 に含まれます。
そのため、EC2 の IP アドレス範囲をブロックすると他のサービスに影響を与える可能性があり、ブロックする際は事前に十分な動作検証を行ってください。
参考資料
AWS は、その現在の IP アドレス範囲を JSON 形式で公開します。この情報をもとに、AWS からのトラフィックを特定することができます。また、この情報を使用して、一部の AWS のサービスとのトラフィックを許可または拒否することもできます。
…(中略)…
注記
AWS サービスの中には、EC2 上に構築され、EC2 IP アドレススペースを使用するもあります。EC2 IP アドレススペースへのトラフィックをブロックすると、EC2 以外のサービスへのトラフィックもブロックされます。
サービス
IP アドレス範囲のサブセット。API_GATEWAY にリストされているアドレスは送信専用です。すべての IP アドレス範囲を取得する場合は、AMAZON を指定します (つまり、すべてのサブセットも AMAZON サブセットに含まれます)。ただし、一部の IP アドレス範囲は AMAZON サブセット内にしかありません (つまり、別のサブセットでは使用できません)。タイプ: 文字列
有効な値: AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | AURORA_DSQL | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CLOUDFRONT_ORIGIN_FACING | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | IVS_LOW_LATENCY | IVS_REALTIME | KINESIS_VIDEO_STREAMS | MEDIA_PACKAGE_V2 | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS
例:"service": "AMAZON"
