前缀列表 - Amazon Virtual Private Cloud
前缀列表概念和规则使用前缀列表适用于前缀列表的 Identity and Access Management
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

前缀列表

前缀列表是包含一个或多个 CIDR 块的集合。前缀列表有两种类型:

  • AWS 托管的前缀列表 — 表示 AWS 服务的 IP 地址范围。您可以在 VPC 安全组规则和子网路由表条目中引用 AWS 托管的前缀列表。例如,当通过网关 VPC 终端节点连接到 AWS 服务时,您可以在出站 VPC 安全组规则中引用 AWS 托管的前缀列表。您无法创建、修改、共享或删除 AWS 托管的前缀列表。

  • 客户管理的前缀列表 — 您定义和管理的一组 IPv4 或 IPv6 CIDR 块。您可以在 VPC 安全组规则、子网路由表条目和中转网关路由表条目中引用前缀列表。这使您能够在单个组中管理经常用于这些资源的 IP 地址,而不是在每个资源中重复引用相同的 IP 地址。您可以与其他 AWS 账户共享您的前缀列表,使这些账户能够在自己的资源中引用该前缀列表。

以下主题介绍了如何创建和使用客户管理的前缀列表。

主题

前缀列表概念和规则

前缀列表由条目 组成。每个条目均包含一个 CIDR 块和(可选)该 CIDR 块的描述。

以下规则适用于客户管理的前缀列表:

  • 创建前缀列表时,必须指定前缀列表可支持的最大条目数。以后无法修改最大条目数。

  • 当您在资源中引用前缀列表时,前缀列表的最大条目数视为与资源的规则或条目数相同。例如,如果您创建一个最多包含 20 个条目的前缀列表,并且在安全组规则中引用该前缀列表,则这将视为安全组的 20 个规则。

  • 您可以通过添加或删除条目或通过更改名称来修改前缀列表。

  • 前缀列表仅支持单一类型的 IP 寻址(IPv4 或 IPv6)。不能在单个前缀列表中组合 IPv4 和 IPv6 CIDR 块。

  • 存在与前缀列表相关的配额。有关更多信息,请参阅 Amazon VPC 配额

  • 在路由表中引用前缀列表时,路由优先级规则适用。有关更多信息,请参阅 前缀列表的路由优先级

以下规则适用于 AWS 托管的前缀列表:

  • 您无法创建、修改、共享或删除 AWS 托管的前缀列表。

  • 当您在资源中引用 AWS 托管的前缀列表时,该列表被视为资源的单个规则或条目。

  • 您无法查看 AWS 托管的前缀列表的版本号。

前缀列表版本

前缀列表可以具有多个版本。每次您添加或删除前缀列表的条目时,我们都会创建新版本的前缀列表。引用前缀的资源始终使用当前(最新)版本。您可以将条目从前缀列表的以前版本还原到新版本。

使用前缀列表

以下主题介绍了如何创建和使用客户管理的前缀列表。您可以通过 Amazon VPC 控制台或 AWS CLI 使用前缀列表。

创建前缀列表

创建新的前缀列表时,必须指定前缀列表可支持的最大条目数。请确保指定满足您的需求的最大条目数,因为以后无法更改此数量。

使用控制台创建前缀列表

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择托管前缀列表

  3. 选择创建前缀列表

  4. 对于前缀列表名称,输入前缀列表的名称。

  5. 对于最大条目数,输入前缀列表的最大条目数。

  6. 对于地址系列,选择前缀列表是支持 IPv4 条目还是 IPv6 条目。

  7. 对于前缀列表条目,选择添加新条目,然后输入 CIDR 块和条目的描述。对每个条目重复此步骤。

  8. (可选)对于标签,将标签添加到前缀列表,以帮助您以后识别它。

  9. 选择创建前缀列表

使用 AWS CLI 创建前缀列表

使用 create-managed-prefix-list 命令。

查看前缀列表

您可以使用 Amazon VPC 控制台或 AWS CLI 来查看您的前缀列表、与您共享的前缀列表以及 AWS 托管的前缀列表。

使用控制台查看前缀列表

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择托管前缀列表

  3. Owner ID (拥有者 ID) 列显示前缀列表拥有者的 AWS 账户 ID。对于 AWS 托管的前缀列表,拥有者 IDAWS

使用 AWS CLI 查看前缀列表

使用 describe-managed-prefix-lists 命令。

查看前缀列表的条目

您可以使用 Amazon VPC 控制台或 AWS CLI 查看前缀列表的条目。

使用控制台查看前缀列表的条目

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择托管前缀列表

  3. 选择前缀列表。

  4. 在下部窗格中,选择条目以查看前缀列表的条目。

使用 AWS CLI 查看前缀列表的条目

使用 get-managed-prefix-list-entries 命令。

查看前缀列表的关联(引用)

您可以查看与前缀列表关联的资源的 ID 和拥有者。关联的资源是指在其条目或规则中引用前缀列表的资源。

您无法查看 AWS 托管的前缀列表的关联资源。

使用控制台查看前缀列表关联

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择托管前缀列表

  3. 选择前缀列表。

  4. 在下部窗格中,选择关联以查看引用前缀列表的资源。

使用 AWS CLI 查看前缀列表关联

使用 get-managed-prefix-list-associations 命令。

修改前缀列表(添加和删除条目)

您可以修改前缀列表的名称,也可以添加或删除条目。

您不能修改 AWS 托管的前缀列表。

使用控制台修改前缀列表

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择托管前缀列表

  3. 选择前缀列表,然后依次选择操作修改前缀列表

  4. 对于前缀列表名称,输入前缀列表的新名称。

  5. 对于前缀列表条目,选择删除以删除现有条目。要添加新条目,请选择添加新条目,然后输入 CIDR 块和条目的描述。

  6. 选择保存前缀列表

使用 AWS CLI 修改前缀列表

使用 modify-managed-prefix-list 命令。

还原前缀列表的以前版本

您可以将条目从前缀列表的以前版本还原到新版本。

使用控制台还原前缀列表的以前版本

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择托管前缀列表

  3. 选择前缀列表,然后依次选择操作还原前缀列表

  4. 在下拉列表中,选择前缀列表版本。

  5. 选择还原前缀列表

使用 AWS CLI 还原前缀列表的以前版本

使用 restore-managed-prefix-list-version 命令。

删除前缀列表

要删除前缀列表,必须首先删除在资源中(例如在路由表中)对该列表的所有引用。如果您已使用 AWS RAM 共享前缀列表,则必须首先删除使用者拥有的资源中的所有引用。要查看对前缀列表的引用,请参阅查看前缀列表的关联(引用)

您不能删除 AWS 托管的前缀列表。

使用控制台删除前缀列表

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择托管前缀列表

  3. 选择前缀列表,然后依次选择操作删除前缀列表

  4. 在确认对话框中,输入 delete,然后选择删除

使用 AWS CLI 删除前缀列表

使用 delete-managed-prefix-list 命令。

在 AWS 资源中引用前缀列表

您可以在以下 AWS 资源中引用前缀列表。

Subnet route tables

您可以将前缀列表指定为路由表条目的目的地。不能在网关路由表中引用前缀列表。有关路由表的更多信息,请参见路由表

使用控制台在路由表中引用前缀列表

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择路由表,然后选择路由表。

  3. 依次选择 Actions (操作)Edit routes (编辑路由)

  4. 要添加路由,请选择添加路由。对于目的地,输入前缀列表的 ID。

  5. 对于目标,请选择一个目标。

  6. 选择 Save routes (保存路由)

使用 AWS CLI 在路由表中引用前缀列表

使用 create-route (AWS CLI) 命令。使用 --destination-prefix-list-id 参数指定前缀列表的 ID。

VPC security groups

您可以将前缀列表指定为入站规则的源或出站规则的目的地。有关安全组的更多信息,请参阅 您的 VPC 的安全组

使用控制台在安全组规则中引用前缀列表

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Security Groups

  3. 选择需要更新的安全组。

  4. 依次选择 Actions (操作)Edit inbound rules (编辑入站规则),或 Actions (操作)Edit outbound rules (编辑出站规则)

  5. 选择 Add rule。对于类型,选择流量类型。对于(入站规则)或目的地(出站规则),选择前缀列表的 ID。

  6. 选择 Save rules (保存规则)

使用 AWS CLI 在安全组规则中引用前缀列表

使用 authorize-security-group-ingressauthorize-security-group-egress 命令。对于 --ip-permissions 参数,请使用 PrefixListIds 指定前缀列表的 ID。

Transit gateway route tables

您可以将前缀列表指定为路由目的地。有关更多信息,请参阅 Amazon VPC 中转网关 中的前缀列表参考

适用于前缀列表的 Identity and Access Management

默认情况下,IAM 用户无权创建、查看、修改或删除前缀列表。您可以创建允许用户使用前缀列表的 IAM 策略。

要查看 Amazon VPC 操作以及您可以在 IAM 策略中使用的资源和条件键的列表,请参阅 IAM 用户指南 中的 Amazon EC2 的操作、资源和条件键

以下示例策略仅允许用户查看和使用前缀列表 pl-123456abcde123456。用户无法创建或删除前缀列表。 

{
   "Version": "2012-10-17",
   "Statement": [{
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeManagedPrefixLists",
        "ec2:ModifyManagedPrefixList",
        "ec2:GetManagedPrefixListEntries",
        "ec2:RestoreManagedPrefixListVersion",
        "ec2:GetManagedPrefixListAssociations"
      ],
      "Resource": "arn:aws:ec2:region:account:prefix-list/pl-123456abcde123456"
    }
   ]
}

有关在 Amazon VPC 中使用 IAM 的更多信息,请参阅适用于 Amazon EC2 的 Identity and Access Management