前缀列表
前缀列表是包含一个或多个 CIDR 块的集合。前缀列表有两种类型:
-
AWS 托管的前缀列表 — 表示 AWS 服务的 IP 地址范围。您可以在 VPC 安全组规则和子网路由表条目中引用 AWS 托管的前缀列表。例如,当通过网关 VPC 终端节点连接到 AWS 服务时,您可以在出站 VPC 安全组规则中引用 AWS 托管的前缀列表。您无法创建、修改、共享或删除 AWS 托管的前缀列表。
-
客户管理的前缀列表 — 您定义和管理的一组 IPv4 或 IPv6 CIDR 块。您可以在 VPC 安全组规则、子网路由表条目和中转网关路由表条目中引用前缀列表。这使您能够在单个组中管理经常用于这些资源的 IP 地址,而不是在每个资源中重复引用相同的 IP 地址。您可以与其他 AWS 账户共享您的前缀列表,使这些账户能够在自己的资源中引用该前缀列表。
以下主题介绍了如何创建和使用客户管理的前缀列表。
前缀列表概念和规则
前缀列表由条目 组成。每个条目均包含一个 CIDR 块和(可选)该 CIDR 块的描述。
以下规则适用于客户管理的前缀列表:
-
创建前缀列表时,必须指定前缀列表可支持的最大条目数。以后无法修改最大条目数。
-
当您在资源中引用前缀列表时,前缀列表的最大条目数视为与资源的规则或条目数相同。例如,如果您创建一个最多包含 20 个条目的前缀列表,并且在安全组规则中引用该前缀列表,则这将视为安全组的 20 个规则。
-
您可以通过添加或删除条目或通过更改名称来修改前缀列表。
-
前缀列表仅支持单一类型的 IP 寻址(IPv4 或 IPv6)。不能在单个前缀列表中组合 IPv4 和 IPv6 CIDR 块。
-
存在与前缀列表相关的配额。有关更多信息,请参阅 Amazon VPC 配额。
-
在路由表中引用前缀列表时,路由优先级规则适用。有关更多信息,请参阅 前缀列表的路由优先级。
以下规则适用于 AWS 托管的前缀列表:
-
您无法创建、修改、共享或删除 AWS 托管的前缀列表。
-
当您在资源中引用 AWS 托管的前缀列表时,该列表被视为资源的单个规则或条目。
-
您无法查看 AWS 托管的前缀列表的版本号。
前缀列表版本
前缀列表可以具有多个版本。每次您添加或删除前缀列表的条目时,我们都会创建新版本的前缀列表。引用前缀的资源始终使用当前(最新)版本。您可以将条目从前缀列表的以前版本还原到新版本。
使用前缀列表
以下主题介绍了如何创建和使用客户管理的前缀列表。您可以通过 Amazon VPC 控制台或 AWS CLI 使用前缀列表。
创建前缀列表
创建新的前缀列表时,必须指定前缀列表可支持的最大条目数。请确保指定满足您的需求的最大条目数,因为以后无法更改此数量。
使用控制台创建前缀列表
-
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择托管前缀列表。
-
选择创建前缀列表。
-
对于前缀列表名称,输入前缀列表的名称。
-
对于最大条目数,输入前缀列表的最大条目数。
-
对于地址系列,选择前缀列表是支持 IPv4 条目还是 IPv6 条目。
-
对于前缀列表条目,选择添加新条目,然后输入 CIDR 块和条目的描述。对每个条目重复此步骤。
-
(可选)对于标签,将标签添加到前缀列表,以帮助您以后识别它。
-
选择创建前缀列表。
使用 AWS CLI 创建前缀列表
使用 create-managed-prefix-list 命令。
查看前缀列表
您可以使用 Amazon VPC 控制台或 AWS CLI 来查看您的前缀列表、与您共享的前缀列表以及 AWS 托管的前缀列表。
使用控制台查看前缀列表
-
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择托管前缀列表。
-
Owner ID (拥有者 ID) 列显示前缀列表拥有者的 AWS 账户 ID。对于 AWS 托管的前缀列表,拥有者 ID 是 AWS。
使用 AWS CLI 查看前缀列表
使用 describe-managed-prefix-lists 命令。
查看前缀列表的条目
您可以使用 Amazon VPC 控制台或 AWS CLI 查看前缀列表的条目。
使用控制台查看前缀列表的条目
-
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择托管前缀列表。
-
选择前缀列表。
-
在下部窗格中,选择条目以查看前缀列表的条目。
使用 AWS CLI 查看前缀列表的条目
使用 get-managed-prefix-list-entries 命令。
查看前缀列表的关联(引用)
您可以查看与前缀列表关联的资源的 ID 和拥有者。关联的资源是指在其条目或规则中引用前缀列表的资源。
您无法查看 AWS 托管的前缀列表的关联资源。
使用控制台查看前缀列表关联
-
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择托管前缀列表。
-
选择前缀列表。
-
在下部窗格中,选择关联以查看引用前缀列表的资源。
使用 AWS CLI 查看前缀列表关联
使用 get-managed-prefix-list-associations 命令。
修改前缀列表(添加和删除条目)
您可以修改前缀列表的名称,也可以添加或删除条目。
您不能修改 AWS 托管的前缀列表。
使用控制台修改前缀列表
-
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择托管前缀列表。
-
选择前缀列表,然后依次选择操作、修改前缀列表。
-
对于前缀列表名称,输入前缀列表的新名称。
-
对于前缀列表条目,选择删除以删除现有条目。要添加新条目,请选择添加新条目,然后输入 CIDR 块和条目的描述。
-
选择保存前缀列表。
使用 AWS CLI 修改前缀列表
使用 modify-managed-prefix-list 命令。
还原前缀列表的以前版本
您可以将条目从前缀列表的以前版本还原到新版本。
使用控制台还原前缀列表的以前版本
-
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择托管前缀列表。
-
选择前缀列表,然后依次选择操作、还原前缀列表。
-
在下拉列表中,选择前缀列表版本。
-
选择还原前缀列表。
使用 AWS CLI 还原前缀列表的以前版本
使用 restore-managed-prefix-list-version 命令。
删除前缀列表
要删除前缀列表,必须首先删除在资源中(例如在路由表中)对该列表的所有引用。如果您已使用 AWS RAM 共享前缀列表,则必须首先删除使用者拥有的资源中的所有引用。要查看对前缀列表的引用,请参阅查看前缀列表的关联(引用)。
您不能删除 AWS 托管的前缀列表。
使用控制台删除前缀列表
-
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择托管前缀列表。
-
选择前缀列表,然后依次选择操作、删除前缀列表。
-
在确认对话框中,输入
delete
,然后选择删除。
使用 AWS CLI 删除前缀列表
使用 delete-managed-prefix-list 命令。
在 AWS 资源中引用前缀列表
您可以在以下 AWS 资源中引用前缀列表。
适用于前缀列表的 Identity and Access Management
默认情况下,IAM 用户无权创建、查看、修改或删除前缀列表。您可以创建允许用户使用前缀列表的 IAM 策略。
要查看 Amazon VPC 操作以及您可以在 IAM 策略中使用的资源和条件键的列表,请参阅 IAM 用户指南 中的 Amazon EC2 的操作、资源和条件键。
以下示例策略仅允许用户查看和使用前缀列表 pl-123456abcde123456
。用户无法创建或删除前缀列表。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeManagedPrefixLists", "ec2:ModifyManagedPrefixList", "ec2:GetManagedPrefixListEntries", "ec2:RestoreManagedPrefixListVersion", "ec2:GetManagedPrefixListAssociations" ], "Resource": "arn:aws:ec2:
region
:account
:prefix-list/pl-123456abcde123456" } ] }
有关在 Amazon VPC 中使用 IAM 的更多信息,请参阅适用于 Amazon EC2 的 Identity and Access Management。