Firewalls

방화벽, 프록시, 데이터 페리미터 환경에서 Kiro가 정상 동작하도록 허용해야 하는 도메인과 네트워크 구성 방법을 정리합니다.

개요

사내 네트워크에 방화벽이나 프록시 서버, 또는 AWS data perimeter가 적용되어 있다면 Kiro가 백엔드 서비스에 접근할 수 있도록 특정 URL을 allowlist에 등록해야 합니다. 이 문서는 Kiro가 어떤 도메인에 어떤 목적으로 접속하는지 기능별로 정리한 것입니다.

네트워크 트래픽 유형

Kiro에서 발생하는 외부 통신은 크게 두 종류로 나뉩니다.

IDE 트래픽 — 채팅, 자동완성, 텔레메트리, 자동 업데이트, 익스텐션 등. IDE에 설정된 프록시를 따릅니다.
브라우저 트래픽 — 로그인 시 OS 기본 브라우저로 열리며, IDE 프록시가 아닌 OS 네트워크 스택을 사용합니다.

방화벽은 두 트래픽을 모두 허용해야 합니다. 브라우저 로그인 트래픽은 IDE 프록시 설정을 우회하므로 네트워크 레벨에서 별도로 열어 두어야 합니다.

모든 Kiro 환경에서 필요한 URL

제품군과 배포 형태에 관계없이 다음 도메인은 반드시 허용해야 합니다.

공통(Universal)

app.kiro.dev — 로그인 포털
assets.app.kiro.dev — 애플리케이션 정적 리소스

모든 Kiro 설치본 공통

prod.us-east-1.auth.desktop.kiro.dev — 토큰 교환·갱신·로그아웃
prod.us-east-1.telemetry.desktop.kiro.dev — 텔레메트리
prod.download.desktop.kiro.dev — 자동 업데이트, Powers 레지스트리, 아이콘
q.us-east-1.amazonaws.com, q.eu-central-1.amazonaws.com — Kiro 서비스 엔드포인트(미국 동부 / 유럽)
runtime.us-east-1.kiro.dev, runtime.eu-central-1.kiro.dev — 런타임 서비스
management.us-east-1.kiro.dev, management.eu-central-1.kiro.dev — 구성·접근 관리
telemetry.us-east-1.kiro.dev, telemetry.eu-central-1.kiro.dev — 리전별 텔레메트리

q.<region>.amazonaws.com 엔드포인트는 legacy로 분류되어 추후 제거될 예정이지만, 그 전까지는 새 엔드포인트와 함께 allowlist에 그대로 두어야 합니다.

와일드카드를 지원하는 방화벽이라면 *.kiro.dev 와 *.app.kiro.dev 두 패턴으로 단순화할 수 있습니다. 다만 일부 장비는 한 단계의 서브도메인만 매칭하므로, 다단계 서브도메인은 명시적으로 등록해야 할 수 있습니다.

Social 로그인

Google 또는 GitHub 계정으로 로그인하는 경우 다음 도메인이 추가로 필요합니다.

cognito-identity.us-east-1.amazonaws.com — 소셜 로그인용 federated identity

IAM Identity Center

아래 표에서 <sso-region>과 <idc-directory-id-or-alias>는 사용 중인 값으로 치환합니다.

<region>.signin.aws, <sso-region>.signin.aws.amazon.com — AWS 로그인
<idc-directory-id-or-alias>.awsapps.com — IAM Identity Center 포털
portal.sso.<sso-region>.amazonaws.com — SSO 포털
assets.sso-portal.<sso-region>.amazonaws.com — SSO 포털 정적 리소스
oidc.<sso-region>.amazonaws.com — OIDC 토큰 교환

외부 IdP 연동

Microsoft Entra ID — login.microsoftonline.com
Okta — <your-org>.okta.com

AWS GovCloud

GovCloud 환경에서는 일반 상용 엔드포인트 대신 FIPS 호환 엔드포인트를 사용합니다.

q-fips.us-gov-east-1.amazonaws.com
q-fips.us-gov-west-1.amazonaws.com

GovCloud 리전은 kiro.dev DNS 네임을 지원하지 않습니다. 상용 엔드포인트와 혼용하지 마세요.

구독 및 결제

Google, GitHub, AWS Builder ID로 로그인한 사용자에게 필요합니다(IAM Identity Center 사용 시에는 불필요).

billing.stripe.com — 결제 포털
checkout.stripe.com — 플랜 업그레이드 결제

선택적 URL

특정 기능을 사용할 때만 필요한 도메인입니다.

open-vsx.org — 익스텐션 검색 및 메타데이터
openvsx.eclipsecontent.org — 익스텐션 아이콘 및 VSIX 다운로드
github.com — Powers / MCP 저장소 클론
raw.githubusercontent.com — Powers / MCP 설정 파일과 README 이미지

프록시 설정

Kiro의 IDE 트래픽은 표준 프록시 환경 변수를 그대로 따릅니다.

운영 체제나 셸에 HTTP_PROXY, HTTPS_PROXY, NO_PROXY를 설정합니다.
또는 Kiro에서 Settings > Proxy 메뉴를 통해 직접 입력할 수 있습니다.
프록시를 변경한 뒤에는 IDE를 재시작해 새 설정이 적용되었는지 확인합니다.

로그인은 OS 기본 브라우저에서 app.kiro.dev를 열기 때문에 IDE 프록시 설정과 무관하게 동작합니다. 따라서 위에 정리된 도메인은 네트워크 레벨에서도 반드시 허용해야 합니다.

Data Perimeter

AWS data perimeter를 운영 중이라면 Kiro의 service principal이 위 엔드포인트에 도달할 수 있도록 정책을 검토하세요. VPC 레벨의 제어는 별도 문서인 VPC endpoints (AWS PrivateLink)에서 다룹니다.

Kiro 워드마크 로고