

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 要添加到允许列表的域
<a name="allowlist-domains"></a>

如果您使用网络内容过滤解决方案（例如下一代防火墙 (NGFW) 或安全 Web 网关 (SWG)）来过滤对特定 AWS 域或 URL 端点的访问，则必须将以下域或 URL 端点添加到您的网络内容过滤解决方案许可名单中。

## AWS Sign-In 要列入许可名单的域名
<a name="allowlist-domains-sign-in"></a>

如果您或您的组织实施 IP 或域名筛选，则您可能需要将域加入允许列表才能使用 AWS 管理控制台。在您尝试访问 AWS 管理控制台的网络中必须可以访问以下域。
+ `{{[Region]}}.signin.aws`
+ `{{[Region]}}.signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `opfcaptcha-prod.s3.amazonaws.com`

## AWS Sign-In 将管理域列入许可名单
<a name="allowlist-domains-admin"></a>

如果使用 AWS CLI 配置控制台访问控制，则必须将 AWS Sign-In 控制平面端点列入许可名单。此端点负责策略管理，与上一节中的控制台登录域不同。
+ `signin.{{[Region]}}.api.aws`

  {{[Region]}}替换为您正在呼叫的 AWS 区域。在所有商业区域都可用。示例：`signin.us-east-1.api.aws`。

## AWS 访问门户 要列入许可名单的域名
<a name="allowlist-domains-access-portal"></a>

如果您使用网络内容过滤解决方案（例如下一代防火墙 (NGFW) 或安全 Web 网关 (SWG)）来过滤对特定 AWS 域或 URL 端点的访问，则必须将以下域或 URL 端点添加到您的网络内容过滤解决方案许可名单中。这样做可以使您访问自己的 AWS 访问门户.

以下列表提供了 IPv4 和双栈域以及 URL 端点，可添加到您的网页内容过滤解决方案许可名单中。有关双栈终端节点的更多信息，请参阅 *IAM Identity Center 用户*指南 AWS 访问门户中的[更新防火墙和网关以允许访问](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center-portal-access.html)。

**IPv4 允许列表**
+ `{{[Directory ID or alias]}}.awsapps.com`
+ `{{[IAM Identity Center instance ID]}}.{{[Region]}}.portal.amazonaws.com`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.{{[Region]}}.amazonaws.com`
+ `*.sso.amazonaws.com`
+ `*.sso.{{[Region]}}.amazonaws.com`
+ `*.sso-portal.{{[Region]}}.amazonaws.com`

**Dual-stack 允许名单**
+ `{{[IAM Identity Center instance ID]}}.portal.{{[Region]}}.app.aws`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.{{[Region]}}.api.aws`
+ `sso.{{[Region]}}.api.aws`
+ `portal.sso.{{[Region]}}.api.aws`
+ `{{[Region]}}.sso.signin.aws`
+ `{{[Region]}}.signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `cdn.us-east-1.threat-mitigation.aws.amazon.com`
+ `us-east-1.threat-mitigation.aws.amazon.com`
+ `amcs-captcha-prod-us-east-1.s3.dualstack.us-east-1.amazonaws.com`

## AWS 构建者 ID 要列入许可名单的域名
<a name="allowlist-domains-builder-id"></a>

如果您或您的组织实施 IP 或域名筛选，则您可能需要将域加入允许列表才能创建和使用 AWS 构建者 ID。在您尝试访问 AWS 构建者 ID的网络中必须可以访问以下域。
+ `view.awsapps.com/start`
+ `*.portal.*.app.aws`
+ `*.aws.dev`
+ `*.api.aws`
+ `*.uis.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.*.amazonaws.com`
+ `oidc.*.api.aws`
+ `*.sso.amazonaws.com`
+ `*.sso.*.amazonaws.com`
+ `*.sso-portal.*.amazonaws.com`
+ `sso.*.api.aws`
+ `*.signin.aws`
+ `*.cloudfront.net`
+ `opfcaptcha-prod.s3.amazonaws.com`
+ `profile.aws.amazon.com`