アトラシアンのクラウド製品の IP アドレスとドメイン

ユーザーまたは組織が制限のあるファイアウォールやプロキシ サーバーを使用している場合、ユーザーまたはネットワーク管理者は、アトラシアンのクラウド製品やその他のサービスが正常に動作するよう、特定のドメインや IP アドレスの範囲を許可リストに登録する必要があります。 

このページの情報は、すべてのアトラシアン製品に該当します。ただし、一部の追加情報は特定の製品に関するものです。詳細については「Bitbucket と Trello」のセクションをご参照ください。

ドメイン名

アトラシアン製品では、リストされているすべての上位ドメイン内に多数のレベルのサブドメインを含むドメインを使用します。ドメインを許可する際は、直下のサブドメインだけでなく、上位ドメインと複数レベルのサブドメインに対してもアクションを許可していることをご確認ください。

たとえば、*.atl-paas.net の許可エントリに関しては、avatar-management--avatars.us-west-2.prod.public.atl-paas.netjira-frontend-static.prod.public.atl-paas.net の両方を許可する必要があります。さらに、サブドメインだけでなく上位ドメイン自体が許可されていることをご確認ください。たとえば、*.atlassian.com id.atlassian.comatlassian.com の両方を許可する必要があります。

アトラシアン ドメイン

アトラシアンのクラウド製品を操作するには、次のファーストパーティのアトラシアン ドメインとそのサブドメインのレベルを許可します。これらのドメインは直接、アトラシアンが運営管理しています。

ドメイン

目的

*.atl-paas.net

すべてのアトラシアン製品とサービスはこれを使用。

*.atlassian.com

すべてのアトラシアン製品とサービスはこれを使用。

*.atlassian.net

Jira と Confluence はこれを使用。

*.jira.com

Jira と Confluence はこれを使用。

*.bitbucket.org

Bitbucket はこれを使用。

TLS インターセプト/インスペクション プロキシとファイアウォールのパフォーマンスへの影響

高パフォーマンスのエクスペリエンスを確保するため、セキュリティ ポリシーに従って、アトラシアン ファーストパーティ ドメインを TLS インターセプト/インスペクションの対象から除外することを十分にご検討ください。

アトラシアン製品は HTTP/2 プロトコルの機能、特に同時トランザクションのサポートに大きく依存しています。

TLS インターセプト/インスペクション プロキシとファイアウォールによって、HTTP/2 から HTTP/1.1 へのプロトコル ダウングレードが発生することがよくあります。HTTP/1.1 にダウングレードするとトランザクションがシリアル化されるため、最新の Web アプリケーションのパフォーマンスが大幅に低下します。その結果、ページの読み込みとエクスペリエンスの待ち時間が著しく遅れる可能性があります。

パートナー ドメイン

アトラシアンは、サードパーティドメインとそのサブドメインのレベルをさまざまな目的で使用しています。

アトラシアン製品とサービスはこれらのドメインにアクセスしなくても機能する場合がある一方で、一部の製品内エクスペリエンスが低下したり、機能が完全に停止したりすることがあります。

新しいドメインが追加されると、この表は更新されます。

ドメイン

説明

目的

*.pndsn.com

Pubnub メッセージ プラットフォーム

参照先:

チケットのステータス、ページ、通知に関するライブ アップデートなど、リアルタイムのイベントを製品内で配信するために、ほとんどのアトラシアン製品で使用。

*.cloudfront.net

Amazon Web Services Content Delivery Network

参照: https://aws.amazon.com/cloudfront/

ブラウザーへのコンテンツ配信を高速化するために、ほとんどのアトラシアン製品で使用。

*.wp.com

*.gravatar.com

Wordpress/Gravatar Content Delivery Network

参照先:

一般的または公開の各アバターを表示するために、一部のアトラシアン製品で使用。

*.googleapis.com

Google がホストするライブラリ Content Delivery Network

参照先:

オープンソース JavaScript ライブラリ用の Google ホスト ライブラリ コンテンツ配信ネットワーク。一部のアトラシアン製品で使用。

*.cookielaw.org

CookieLaw 同意ソリューション

参照先:

プライバシー法とデータ保護法に準じて、Cookie の同意要求に使用。

*.optimizely.com

Optimizely Digital Experience の提供

参照先:

新製品のエクスペリエンスの提供に対するテスト、評価、制御に使用。

*.launchdarkly.com

LaunchDarkly Digital Experience の提供

参照先:

新製品のエクスペリエンスの提供に対するテスト、評価、制御に使用。

*.segment.io

Twilio Segment

参照先:

分析データの収集

*.sentry-cdn.com

Sentry.io Content Delivery Network

参照先:

製品エクスペリエンスのエラーや障害の追跡に使用。

*.slack-edge.com

Slack 統合

参照先:

Slack エコシステムとの製品内統合に使用。

recaptcha.net

Google ReCAPTCHA Enterprise

参照: https://cloud.google.com/recaptcha-enterprise

スパム対策に使われます。

images.unsplash.com

画像ライブラリ

参照: https://unsplash.com/

Confluence と Trello でビジュアル(Confluence ページのヘッド画像や Trello ボードの背景など)を提供するために使用。

IP アドレスの範囲

現在、アトラシアンでは独自の IP アドレスとサード パーティ (Amazon Web Services) が提供するその他の IP アドレスを組み合わせて使用しています。次のセクションでネットワーク制限を確認し、必要であれば更新してアトラシアンのクラウド製品が正常に動作するようにします。

アトラシアンのクラウド製品およびサイト

アトラシアンの製品やサイトでは、固定の個別 IP アドレスはなく、特定の IP アドレス範囲を使用しています。アトラシアンのクラウド製品およびサイトへの継続的なアクセスを確保するには、これらの IP 範囲を許可リストに登録する必要があります。

https://ip-ranges.atlassian.com

このリストは、アトラシアンがグローバルに使用する各 IP 範囲を含むため、大きくなります。IP 範囲は、顧客 (ブラウザーなど) によるリクエストの受信と応答の両方に加え、ユーザーに代わるインターネット接続の確立 (Webhook やオンプレミス サーバーへのアプリケーション リンクなど) にも使用します。

実際には、許可リスト システム (ファイアウォール、アクセス制御リスト、セキュリティ グループなど) を操作するほとんどの管理者は、アトラシアン製品が他のネットワークに対する発信接続の確立に使用する IP 範囲にのみ注目しています。したがって、「発信接続」セクションのより簡単なリストをご参照ください。

イングレス (受信接続) とは、アトラシアンのクラウド製品またはサービスにリクエストを送信したりデータをアップロードしたりする目的で、ブラウザー、スクリプト、アプリ、SSH クライアントなどのクライアントから発信される接続です。アトラシアンのクラウド製品またはサービスは、同じ接続で応答します。

エグレス (発信接続) とは、アトラシアン製品またはサービスが、お客様に代わってインターネット上のサーバーに対して行う接続です。たとえば、クラウド製品とオンプレミス サーバー間のアプリケーション リンク、お客様がアトラシアンのクラウド製品からリモート サーバーやサードパーティ インテグレーターにリクエストした Webhook や接続、リポジトリのクローン作成、メール サーバーでの新着メールのチェックなどです。

地域情報が提供されている場合でも、特定の地域に関連するイングレスまたはエグレス ネットワークを許可リストに追加することはおすすめしません。代わりに、製品や方向に関連するネットワークをすべて含めるようにしてください。なぜなら、アトラシアンでは常にネットワークの最適化に取り組んでおり、追加のエッジ地域をデプロイすることで、クラウドをすべての顧客にとって身近なものにすることができるからです。インターネットの基盤となる技術、特にユニキャスト ルーティングやレイテンシーベースの DNS ルーティングといった機能改善により、顧客のクライアントとサーバーは、(ドキュメントで「グローバル」地域がタグ付けされた公開済み範囲の) 新しいアトラシアン IP アドレスを継続的に確認できるようになりました。

こうした動きはアトラシアンに限ったことではありません。たとえば、AWS も、https://ip-ranges.amazonaws.com/ip-ranges.json の人気サービスである EC2 や Cloudfront を含め、追加の IP 範囲を継続的に拡大し、製品に追加しています。

リンクされているファイルからプログラムによって許可リストを更新できると、定期的にチェックする手間を省けます。

AWS SNS トピックを配信登録してシステムをさらに自動化する手順については、下の章「IP 範囲が変更されたときはどうすればわかりますか?」をご参照ください。

発信接続

上記の「アトラシアンのクラウド製品とサイト」の IP アドレス範囲は、イングレスとエグレスに使用される集約 IP 範囲と、エグレスにのみ使用されるより具体的な範囲の両方を含みます。通常、ネットワークにつながる発信接続を許可する際は、リモート ネットワークとサーバーに接続するためにこれらの IP アドレス範囲を使用することをお勧めします。

ただし、アトラシアンが発信接続を行う目的でのみ使用する IP 範囲の単純なリストが必要な場合は、次のリストをご利用になれます。

 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 13.52.5.96/28 13.236.8.224/28 18.136.214.96/28 18.184.99.224/28 18.234.32.224/28 18.246.31.224/28 52.215.192.224/28 104.192.137.240/28 104.192.138.240/28 104.192.140.240/28 104.192.142.240/28 104.192.143.240/28 185.166.143.240/28 185.166.142.240/28 2401:1d80:3000:100::/61 2401:1d80:3000:200::/61 2401:1d80:3000:300::/61 2401:1d80:3000:400::/61 2401:1d80:3000:500::/61 2401:1d80:3000:600::/61 2401:1d80:3000:700::/61 2406:da18:809:e04::/63 2406:da18:809:e06::/64 2406:da1c:1e0:a204::/63 2406:da1c:1e0:a206::/64 2600:1f14:824:304::/63 2600:1f14:824:306::/64 2600:1f18:2146:e304::/63 2600:1f18:2146:e306::/64 2600:1f1c:cc5:2304::/63 2a05:d014:f99:dd04::/63 2a05:d014:f99:dd06::/64 2a05:d018:34d:5804::/63 2a05:d018:34d:5806::/64

アトラシアン製品は、IPv4 または IPv6 のいずれかを使用して接続できます。これは、プロキシによる A および AAAA DNS レコードの解決時間によって決まります。

アトラシアンの製品とサービスは、インターネット、リモート サーバー、サードパーティ製品に上記の IP 範囲からのみ接続します。

このリストは、IP 許可リスト、サーバー、ファイアウォール、アクセス制御リスト、セキュリティ グループ、またはサードパーティのサービスを、アトラシアンからの発信接続を受信するように設定している場合に使用します。

Amazon Web Services と CloudFront

CloudFront CDN (コンテンツ デリバリー ネットワーク) によって、ブラウザーやさまざまな Amazon Web Services に Web ページのアセットを配信しています。クライアントのブラウザーで許可されている宛先に厳しいネットワーク制限を適用しているお客様は、アトラシアンのアプリケーションを正常に動作させるために、この IP 範囲リストから「AMAZON」または「CLOUDFRONT」というタグのある IP 範囲を許可リストに登録する必要があります。

許可する IP 範囲をプログラムによって更新すると、IP 範囲の更新を定期的にチェックする時間を節約できます。

送信メール

アトラシアンでは、通知の送信に以下の IP を使用しています。これらの IP 範囲を許可してください。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 167.89.0.0/17 192.174.80.0/20 147.253.208.0/20 168.245.0.0/17 34.211.27.137 34.211.27.236 34.213.22.229 34.249.70.175 34.251.56.38 34.252.236.245 52.51.22.205 54.187.228.111 34.209.119.136 34.211.27.82 34.212.5.76 34.253.110.0 34.253.57.155 35.167.157.209 35.167.7.36 52.19.227.102 52.24.176.31 54.72.208.111 54.72.24.111 54.77.2.231 199.255.192.0/22 199.127.232.0/22 54.240.0.0/18 69.169.224.0/20 23.249.208.0/20 23.251.224.0/19 76.223.176.0/20 54.240.64.0/19 54.240.96.0/19 52.82.172.0/22 156.70.150.12/30 156.70.150.16/29

Bitbucket と Trello

一部の製品は、Confluence や Jira と同じ atlassian.net ドメインにホストされていません。許可する必要があるドメイン、IP アドレスの範囲、およびポートについては、Bitbucket および Trello のドキュメントをご参照ください。

Data Center または Server の各製品と統合する

ネットワークで稼働しているアトラシアンのクラウド製品とオンプレミス製品の統合を検討されている場合は、アプリケーション トンネルを使用することで、着信接続と IP 範囲を許可リストに登録せずに済みます。 

アプリケーション トンネルは、ネットワーク トンネリングによって、製品の統合に使用できる安全な経路をAtlassian Cloud とネットワークの製品間に作成します。この機能は、着信接続のためにネットワークをオープンにする必要がないように特別に設計されています。

アプリケーション トンネルの詳細を確認

アトラシアンの公開 IP 範囲に関する FAQ

Jira/Confluence Cloud を自社ホスト製品やサービスと統合しています。インフラストラクチャとの接続を開くためにアトラシアンが使用する IP 範囲はどれくらいですか?

アトラシアンには、Atlassian Cloud から顧客とリモート システムへの接続の開設のみを目的とした IP 範囲を使用するエグレス プロキシが多くあります。それらのプロキシは、当社の Jira/Confluence インフラストラクチャがデプロイされている、各 AWS リージョンにデプロイされます。

これらの IP 範囲は、このページの「発信接続」セクションに記載されています。

また、これらの IP 範囲を許可する代わりに、アプリケーション トンネルによってネットワークのアトラシアン製品と統合できます。アプリケーション トンネルは、ネットワーク トンネリングによって、トラフィックをネットワークに転送します。いかなる着信接続も不要です。アプリケーション トンネルの詳細についてご確認ください。

上記の IP 範囲は誰が管理しますか?

アトラシアンがこれらの IP 範囲を全面的に管理します。

上記の IP 範囲は、AWS 登録 IP スペース外に割り当てられます。それらの範囲は、AWS がアトラシアンの AWS アカウントのいずれかに専用的に割り当てます。他の AWS 顧客はその IP 範囲を使用できません。

この範囲の割り当て/割り当て解除は、サポート リクエストを含む手動プロセスにより実施します。アトラシアンがこれらの範囲の管理権限を誤って手放すことは非常に考えにくいですが、こうした可能性の低い事態の検出も視野に入れて、監視を行っています。

Jira/Confluence Cloud インスタンスがどのリージョンにあるか確認するにはどうすればよいですか?

通常、製品データの大部分は、大半のユーザーが製品にアクセスしている場所に最も近いリージョン内でホストされます。アトラシアンでは、製品パフォーマンスを最適化するため、Cloud 内でのデータの移動を制限していません。また、必要に応じてデータをリージョン間で動かす場合があります。

Enterprise Cloud プランと、Standard Cloud と Premium Cloud の各プランのデータを持たない新製品で現在利用可能なデータ レジデンシーを選択した場合は、Atlassian Cloud からインフラストラクチャへの接続が想定されるリージョンの数を制限して、データがピン留めされたリージョンに限定できます。データ レジデンシーの詳細については「データ レジデンシーを理解する」をご確認ください。

IP 範囲が変わることはありますか?

変更が最小限に収まるように善処しますが、IP 範囲が変更になる可能性があります。次の場合、IP 範囲に関する情報の追加または変更が必要になる可能性があります。

  • Jira/Confluence Cloud をホストする AWS リージョンを追加する場合、新しいリージョンの新しいサブネットを追加します。

  • if we deploy new instances of our egress proxies that use Atlassian-registered (provider-independent) IP space within AWS and Jira and Confluence switch over to those, we will use new ranges that will be part of the Atlassian-registered netblocks (104.192.136.0/21 and 185.166.140.0/22).
    We will publish a blog post a few weeks before that change is made. Note that all ranges, old and new are covered within the already-long-documented ranges on http://ip-ranges.atlassian.com.

IP 範囲が変更されたときはどうすればわかりますか?

アトラシアンの IP 範囲が変更されるたびに、SNS トピック atlassian-public-ip-changes の登録者に通知を送信します。ペイロードには次の形式の情報が含まれており、マシンによる利用を目的としています。

1 2 3 4 5 6 { "creationDate":"yyyy-mm-ddThh:mm:ss.mmmmmm", "syncToken":"1659489769", "md5":"6a45316e8bc9463c9e926d5d37836d33", "url":"https://ip-ranges.atlassian.com/" }
  • creationDate - IP 範囲が UTC でアップデートされた日時 (標準 ISO 形式)。

  • syncToken - Unix エポック時間形式の公開時間。

  • md5 - IP 範囲ファイルの暗号化されたハッシュ値。この値を使用して、ダウンロードされたファイルが破損しているかどうか確認できます。

  • url - IP 範囲ファイルの場所。

アトラシアンの IP 範囲が変更された場合に必ず通知を受け取るには、次のように配信登録し、Amazon SNS を使用して通知を受け取ることができます。

アトラシアンの IP 範囲通知を配信登録するには

  1. Amazon SNS コンソール (https://console.aws.amazon.com/sns/v3/home) を開きます。

  2. ナビゲーション バーで、必要に応じて [地域] を [米国東部 (北バージニア)] に変更します。配信登録している SNS 通知が作成された地域であるため、この地域を選択する必要があります。

  3. ナビゲーション ペインで [配信登録] を選択します。

  4. [Create subscription (登録の作成)] を選択します。

  5. [Create subscription (登録の作成)] ダイアログ ボックスで、以下を行います。

    1. [トピック ARN] で、次の Amazon Resource Name (ARN) をコピーします。

      1 arn:aws:sns:us-east-1:745490931007:atlassian-public-ip-changes
    2. [プロトコル] で、次のサポート対象プロトコルのいずれかを選択します。

      1 2 3 4 5 http https sqs lambda firehose
    3. [エンドポイント] で、通知を受け取るエンドポイントを入力します。

    4. [Create subscription (登録の作成)] を選択します。

  6. 指定したエンドポイントに連絡があり、配信登録の確認を求められます。

通知はエンドポイントの可用性に影響されます。そのため、JSON ファイルを定期的にチェックして、最新の範囲になっているか確認することをおすすめします。

通知が不要になった場合は、次の手順で登録解除してください。

アトラシアンの IP 範囲通知を登録解除するには

  1. Amazon SNS コンソール (https://console.aws.amazon.com/sns/v3/home) を開きます。

  2. ナビゲーション ペインで [配信登録] を選択します。

  3. 配信登録のチェックボックスを選択します。

  4. [アクション] > [Delete subscriptions (配信登録を削除)] の順に選択します。

  5. 確認を求められたら、[削除] を選択します。

IPv6 をサポートしていますか?

はい。ただし、エグレス プロキシは、AAAA レコードを試す前に、提供した DNS 名の A レコードへの接続を試みます。実質的には、サービスが IPv6 のみとしてセットアップされている場合にのみ IPv6 を使用します。IPv6 範囲の完全なリストについては、https://ip-ranges.atlassian.com をご参照ください。

文書化された範囲外の IP アドレスからの接続試行があります。どうしたらよいでしょうか?

https://getsupport.atlassian.com でサポート チケットを発行して、この問題についてお知らせください。考えられる理由は次のとおりです。

  • アトラシアンが提供する製品を組み合わせていくと、一部の機能ではインフラストラクチャ導入のフットプリントが異なってくる場合があります。これは、一部のトラフィックが新しいリージョンから発信される可能性があることを意味します。

  • サードパーティ ベンダーの統合により、アトラシアンの管理外にある独自のインフラストラクチャから接続が開かれる場合があります。詳細については、ベンダーのドキュメントおよびサポート チームにお問い合わせください。

https://ip-ranges.atlassian.com/ に挙げられている項目が多いのはなぜですか?

ip-ranges.atlassian.com のリストは、マシンの消費を目的としており、Atlassian Cloud から自社ホストへのトラフィックだけでなく、ユーザーから Atlassian Cloud への接続に使用する全アトラシアン製品をカバーしています。

製品、接続方向、IP ファミリー、リージョンなどに基づいて、各状況に関連する範囲のみを絞り込んで表示できるよう、範囲にタグを追加する予定です。

Jira/Confluence Migration Assistant が正常に動作するために有効にする現在の IP 範囲が広すぎます。プラグインが動作するために許可される正確な Atlassian API アドレス (URL) を教えてください。

プラグインを機能させるために許可する必要がある URL の正確なリストについては、下表をご参照ください。

  • 記載されている URL は変更になったり、新しい URL が追加されたりする可能性があります。このページで最新の変更を確認することをお勧めします。このページは、Atlassian Cloud 製品がアクセスする必要があるすべてのドメインのリストも掲載しています。

  • リストされたホストのいずれかが (現在または将来的に) 他のドメインにクライアント側リダイレクトを送信した場合、それらのホストはリストから削除されます。

CCMA 通信の場合:

アドレス

機能

https://api.media.atlassian.com

添付ファイルのアップロード

https://api-private.atlassian.com

Atlassian Migration Platform との通信

https://marketplace.atlassian.com

プラグイン バージョンの確認

https://api.atlassian.com

Atlassian App Migration Platform との通信

https://migration.atlassian.com

Atlassian Migration Platform との通信

https://*.s3.us-west-2.amazonaws.com
ワイルドカードが使えない場合は、次の URL を追加してください。

  • https://rps--prod-west2--migration-catalogue--migration-storage.s3.us-west-2.amazonaws.com

  • https://rps--prod-west2--migration-catalogue--migration-storage-v2.s3.us-west-2.amazonaws.com

移行データのアップロード

https://rps--prod-east--app-migration-service--ams.s3.amazonaws.com

アプリ移行データのアップロード

https://mp-module-federation.prod-east.frontend.public.atl-paas.net

移行アシスタントの最新の UI コンポーネントへのアクセスを有効化

[DESTINATION_CLOUD_SITE]

宛先のクラウド サイトとの通信を可能にする

JCMA プラグイン ホスト通信の場合

アドレス

機能

https://api.media.atlassian.com

添付ファイルのアップロード

https://api-private.atlassian.com

Atlassian Migration Platform との通信

https://marketplace.atlassian.com

プラグイン バージョンの確認

https://api.atlassian.com

Atlassian App Migration Platform との通信

https://migration.atlassian.com

Atlassian Migration Platform との通信

https://*.s3.us-west-2.amazonaws.com
ワイルドカードが使えない場合は、次の URL を必ず追加してください。

  • https://rps--prod-west2--migration-catalogue--migration-storage.s3.us-west-2.amazonaws.com

  • https://rps--prod-west2--migration-catalogue--migration-storage-v2.s3.us-west-2.amazonaws.com

  • https://rps--prod-west2--migration-orchestrator--task-data-repository.s3.us-west-2.amazonaws.com

移行データのアップロード

https://rps--prod-east--app-migration-service--ams.s3.amazonaws.com

アプリ移行データのアップロード

https://mp-module-federation.prod-east.frontend.public.atl-paas.net

移行アシスタントの最新の UI コンポーネントへのアクセスを有効化

[DESTINATION_CLOUD_SITE]

宛先のクラウド サイトとの通信を可能にする

BCMA プラグイン ホスト通信の場合

アドレス

機能

https://api-private.atlassian.com

Atlassian Migration Platform との通信

https://marketplace.atlassian.com

プラグイン バージョンの確認

https://api.atlassian.com

Atlassian App Migration Platform との通信

https://migration.atlassian.com

Atlassian Migration Platform との通信

https://*.s3.us-west-2.amazonaws.com
ワイルドカードが使えない場合は、次の URL を必ず追加してください。

  • https://rps--prod-west2--migration-catalogue--migration-storage.s3.us-west-2.amazonaws.com

  • https://rps--prod-west2--migration-catalogue--migration-storage-v2.s3.us-west-2.amazonaws.com

  • https://rps--prod-west2--migration-orchestrator--task-data-repository.s3.us-west-2.amazonaws.com

移行データのアップロード

https://rps--prod-east--app-migration-service--ams.s3.amazonaws.com

アプリ移行データのアップロード

https://bitbucket.org

宛先のクラウド ワークスペースとの通信の有効化

Confluence ホワイトボード

*.atlassian.com をホワイトリストに登録できない場合は、http://canvas-workers.atlassian.com を許可ドメインにして Confluence ホワイトボードの問題を回避できます。ホワイトボード・エディターとの互換性を確認するには、互換性チェック ツールをご利用ください。

Premium Bitbucket Cloud を利用していて、カスタム IP 許可リストを設定している場合は、Bitbucket Data Center の IP も含まれていることを確認してください。詳細: 非公開コンテンツへのアクセスを制御する | Bitbucket Cloud | アトラシアン サポート



 

その他のヘルプ