Appearance
在受企业防火墙或代理控制的网络中部署 Kiro,需要将特定域名加入白名单。Kiro 产生两类出站流量:IDE/CLI 流量(遵循代理设置)和浏览器流量(登录时使用系统网络栈,绕过 IDE 代理)。本文整理了核心服务域名、IAM Identity Center 端点、外部身份提供商、GovCloud FIPS 端点、订阅计费域名及可选功能域名,并说明了代理环境变量配置方法。
Kiro CLI 防火墙配置:代理、数据边界与域名白名单
如果你所在的网络使用了防火墙、代理服务器或 AWS 数据边界(data perimeter),需要将特定 URL 加入白名单,Kiro 才能正常连接其后端服务。本文按功能分类列出所有需要放行的域名。
网络流量类型
Kiro 产生两类出站连接:
- IDE/CLI 流量:来自 Kiro 进程的请求(对话、代码补全、遥测、更新、扩展),遵循你的代理设置。
- 浏览器流量:登录时会打开默认浏览器,使用操作系统网络栈,绕过 IDE 代理设置。
防火墙需在网络层同时放行这两类流量。
核心域名
所有 Kiro 安装都需要放行以下域名,涵盖登录、对话与代码辅助、遥测以及自动更新:
| URL | 用途 | 流量类型 |
|---|---|---|
| app.kiro.dev | 登录门户 | 浏览器 |
| prod.us-east-1.auth.desktop.kiro.dev | Token 交换、刷新、退出登录 | IDE、CLI |
| prod.us-east-1.telemetry.desktop.kiro.dev | 遥测数据上报 | IDE、CLI |
| prod.download.desktop.kiro.dev | 自动更新、Powers 注册表、图标 | IDE、CLI |
| q.us-east-1.amazonaws.com | Kiro 服务(美东) | IDE、CLI |
| q.eu-central-1.amazonaws.com | Kiro 服务(欧洲) | IDE、CLI |
| runtime.us-east-1.kiro.dev | Kiro 运行时(美东) | IDE、CLI |
| runtime.eu-central-1.kiro.dev | Kiro 运行时(欧洲) | IDE、CLI |
| management.us-east-1.kiro.dev | 配置与访问管理(美东) | IDE、CLI |
| management.eu-central-1.kiro.dev | 配置与访问管理(欧洲) | IDE、CLI |
| telemetry.us-east-1.kiro.dev | 遥测(美东) | IDE、CLI |
| telemetry.eu-central-1.kiro.dev | 遥测(欧洲) | IDE、CLI |
如果网络策略支持通配符规则,可以用
*.kiro.dev代替前四条独立域名。
IAM Identity Center
如果组织使用 AWS IAM Identity Center 进行认证,还需放行以下端点。将 idc-directory-id-or-alias 替换为你的 IAM Identity Center 实例的目录 ID 或别名,sso-region 替换为实例所在的 AWS 区域。
| URL | 用途 |
|---|---|
<idc-directory-id-or-alias>.awsapps.com | IAM Identity Center 门户 |
oidc.<sso-region>.amazonaws.com | OIDC Token 交换 |
外部身份提供商(IdP)
如果组织通过 IAM Identity Center 集成了外部身份提供商,登录流程会重定向至 IdP 域名,需同步放行:
| 身份提供商 | 需放行的域名 |
|---|---|
| Microsoft Entra ID | login.microsoftonline.com |
| Okta | <your-org>.okta.com |
如不确定当前配置的 IdP,请咨询身份管理团队确认具体域名。
AWS GovCloud
使用 AWS GovCloud(US)时,需要放行以下符合 FIPS 标准的端点,替代核心域名表中的商业 Kiro 服务端点:
q-fips.us-gov-east-1.amazonaws.comq-fips.us-gov-west-1.amazonaws.com
订阅管理(Stripe)
使用 Google、GitHub 或 AWS Builder ID 登录时,Kiro 通过 Stripe 处理订阅计费。如需访问计费门户或升级套餐,需放行:
| URL | 用途 |
|---|---|
| billing.stripe.com | 付费套餐的计费门户 |
| checkout.stripe.com | 套餐升级结账 |
使用 IAM Identity Center 的企业客户不需要这些域名。
可选域名
以下域名仅在使用对应 Kiro 功能时才需要放行,不用的功能可以跳过:
| URL | 功能 | 用途 |
|---|---|---|
| open-vsx.org | 扩展(Extensions) | 搜索和元数据 |
| openvsx.eclipsecontent.org | 扩展(Extensions) | 图标和 VSIX 下载 |
| github.com | Powers / MCP | 仓库克隆 |
| raw.githubusercontent.com | Powers / MCP | 配置文件和 README 图片 |
代理配置
Kiro 对所有 IDE 流量遵循标准代理环境变量:
HTTP_PROXYHTTPS_PROXYNO_PROXY
也可以在 Kiro 设置中通过 Settings > Proxy 配置代理。
数据边界(Data Perimeters)
如果你使用 AWS 数据边界限制访问可信身份和资源,需要确保策略允许 Kiro 的服务主体访问本文列出的端点。关于 VPC 层面的控制,请参阅 VPC 端点(AWS PrivateLink)。
常见问题
Q:IDE 和浏览器的代理设置不一样,会有什么影响?
Kiro 的 IDE/CLI 流量会使用你在 HTTP_PROXY/HTTPS_PROXY 或 IDE 内配置的代理,但登录时打开的浏览器窗口走的是操作系统网络栈,不受 IDE 代理配置控制。如果代理仅在系统层面配置,登录通常不受影响;如果只在 IDE 里配置了代理而系统层面没有,浏览器登录流量则不会走代理。建议在系统和 IDE 两处统一配置代理。
Q:使用企业 IAM Identity Center 登录,不需要 Stripe 域名吗?
正确。通过 IAM Identity Center 登录的企业用户,订阅和计费由 AWS 企业协议管理,不通过 Stripe,因此不需要放行 billing.stripe.com 和 checkout.stripe.com。
Q:能否只放行 *.kiro.dev 通配符而不列举具体域名?
可以,但有两点注意:通配符只能覆盖 *.kiro.dev 下的四条域名,q.*.amazonaws.com 等 AWS 服务端点仍需单独放行;此外,如果你还使用 IAM Identity Center、Stripe 或 Powers/MCP 功能,对应域名也需要单独添加。