为 Kiro 配置防火墙、代理或数据边界
如果网络使用了防火墙、代理服务器或 AWS 数据边界,需要将 Kiro 后端服务的域名加入允许列表。Kiro 产生 IDE 流量和浏览器流量两类出站连接,两者均需在网络层放行。本文按功能分类列出所有需要放行的域名,并说明代理环境变量的配置方式。
如果你的网络使用防火墙、代理服务器或 AWS 数据边界,需要将特定 URL 加入允许列表,以便 Kiro 访问其后端服务。
网络流量概述
Kiro 产生两类出站连接:
- IDE 流量:来自 Kiro 进程的请求(Chat、补全、遥测、更新、扩展),遵循代理设置。
- 浏览器流量:登录时打开默认浏览器,使用操作系统网络栈,绕过 IDE 代理设置。
防火墙必须在网络层同时放行这两类流量。
核心域名
每个 Kiro 安装都需要以下域名,涵盖登录、Chat 和代码辅助、遥测及自动更新。
| URL | 用途 | 流量类型 |
|---|---|---|
| app.kiro.dev | 登录入口 | 浏览器 |
| prod.us-east-1.auth.desktop.kiro.dev | Token 交换、刷新和登出 | IDE、CLI |
| prod.us-east-1.telemetry.desktop.kiro.dev | 遥测 | IDE、CLI |
| prod.download.desktop.kiro.dev | 自动更新、Powers 注册表和图标 | IDE、CLI |
| q.us-east-1.amazonaws.com | Kiro 服务(美东) | IDE、CLI |
| q.eu-central-1.amazonaws.com | Kiro 服务(欧洲) | IDE、CLI |
| runtime.us-east-1.kiro.dev | Kiro 服务(美东) | IDE、CLI |
| runtime.eu-central-1.kiro.dev | Kiro 服务(欧洲) | IDE、CLI |
| management.us-east-1.kiro.dev | 配置、访问管理(美东) | IDE、CLI |
| management.eu-central-1.kiro.dev | 配置、访问管理(欧洲) | IDE、CLI |
| telemetry.us-east-1.kiro.dev | 遥测(美东) | IDE、CLI |
| telemetry.eu-central-1.kiro.dev | 遥测(欧洲) | IDE、CLI |
如果网络策略支持通配符规则,可以使用 *.kiro.dev 替代前四个独立域名。
IAM Identity Center
如果组织使用 AWS IAM Identity Center 进行身份验证,还需要放行以下端点。
将 idc-directory-id-or-alias 替换为 IAM Identity Center 实例的目录 ID 或别名,将 sso-region 替换为实例所在的 AWS 区域。详情请参阅 What is IAM Identity Center?。
| URL | 用途 |
|---|---|
<idc-directory-id-or-alias>.awsapps.com |
IAM Identity Center 门户 |
oidc.<sso-region>.amazonaws.com |
OIDC Token 交换 |
外部身份提供商
如果组织通过 IAM Identity Center 集成了外部身份提供商(IdP),登录流程会重定向到 IdP 域名,需同时放行该域名。
| 身份提供商 | 需放行的域名 |
|---|---|
| Microsoft Entra ID | login.microsoftonline.com |
| Okta | <your-org>.okta.com |
如不确定当前 IdP,请向身份团队确认具体域名。
AWS GovCloud
使用 AWS GovCloud(US)时,将核心域名表中的商业 Kiro 服务端点替换为以下 FIPS 合规端点:
q-fips.us-gov-east-1.amazonaws.comq-fips.us-gov-west-1.amazonaws.com
订阅管理
使用 Google、GitHub 或 AWS Builder ID 登录时,Kiro 通过 Stripe 处理订阅计费。需放行以下域名以访问计费门户和升级订阅。
| URL | 用途 |
|---|---|
| billing.stripe.com | 付费计划的计费门户 |
| checkout.stripe.com | 升级计划结账 |
使用 IAM Identity Center 的企业客户无需放行这些域名。
可选域名
以下域名仅在使用对应 Kiro 功能时才需要放行,不适用的可跳过。
| URL | 功能 | 用途 |
|---|---|---|
| open-vsx.org | 扩展 | 搜索和元数据 |
| openvsx.eclipsecontent.org | 扩展 | 图标和 VSIX 下载 |
| github.com | Powers / MCP | 仓库克隆 |
| raw.githubusercontent.com | Powers / MCP | 配置文件和 README 图片 |
代理配置
Kiro 支持标准代理环境变量,适用于所有 IDE 流量:
HTTP_PROXYHTTPS_PROXYNO_PROXY
也可以在 Kiro 的 Settings > Proxy 中配置代理。
数据边界
如果使用 AWS 数据边界限制对可信身份和资源的访问,请确保策略允许 Kiro 的服务主体访问本页列出的端点。VPC 层面的控制请参阅 VPC 端点(AWS PrivateLink)。
常见问题
Q:允许列表配置后 Kiro 仍然连接失败,应该如何排查?
A:首先区分是 IDE 流量还是浏览器流量的问题。IDE 流量走代理设置,可检查 HTTP_PROXY/HTTPS_PROXY 环境变量是否正确;浏览器流量走操作系统网络栈,不受 IDE 代理配置影响,需在操作系统或浏览器层面放行。其次确认所有核心域名均已放行,尤其是 *.kiro.dev 通配符是否生效。
Q:使用 Okta 作为 IdP,<your-org>.okta.com 是指完整子域名吗?
A:是的。例如公司 Okta 实例为 acme.okta.com,则需要在允许列表中添加 acme.okta.com,而不是通配符 *.okta.com(除非防火墙策略需要)。具体域名请向 IT 团队确认。
Q:企业版是否仍然需要放行 Stripe 域名?
A:使用 IAM Identity Center 登录的企业用户不需要放行 Stripe 域名,因为企业版计费通过 AWS 账单处理,不经过 Stripe。