使用前缀列表将 CIDR 块分组
前缀列表是包含一个或多个 CIDR 块的集合。您可以使用前缀列表更轻松地配置和维护安全组和路由表。您可以根据经常使用的 IP 地址创建前缀列表,并将它们作为安全组规则和路由中的集合引用,而不是单独引用它们。例如,您可以将具有不同 CIDR 块但使用相同端口和协议的安全组规则整合到使用前缀列表的单个规则中。如果您扩展网络并需要允许来自另一个 CIDR 块的流量,则可以更新相关的前缀列表,使用该前缀列表的所有安全组都将更新。
前缀列表有两种类型:
-
客户管理的前缀列表 — 您定义和管理的 IP 地址范围集。您可以与其他Amazon账户共享您的前缀列表,使这些账户能够在自己的资源中引用该前缀列表。
-
Amazon托管前缀列表 — Amazon服务的 IP 地址范围集。您无法创建、修改、共享或删除Amazon托管的前缀列表。
前缀列表概念和规则
前缀列表由条目 组成。每个条目均包含一个 CIDR 块和(可选)该 CIDR 块的描述。
客户管理的前缀列表
以下规则适用于客户管理的前缀列表:
-
前缀列表仅支持单一类型的 IP 寻址(IPv4 或 IPv6)。不能在单个前缀列表中组合 IPv4 和 IPv6 CIDR 块。
-
前缀列表仅适用于您创建它时所在的区域。
-
创建前缀列表时,必须指定前缀列表可支持的最大条目数。
-
当您在资源中引用前缀列表时,前缀列表的最大条目数占用资源的条目数限额。例如,如果您创建一个包含最多 20 个条目的前缀列表,并且在安全组规则中引用该前缀列表,这将视为 20 个安全组规则。
-
在路由表中引用前缀列表时,路由优先级规则适用。有关更多信息,请参阅 路由优先级和前缀列表。
-
可修改前缀列表。您添加或删除条目时,我们会创建新版本的前缀列表。引用前缀的资源始终使用当前(最新)版本。您可以从前缀列表的以前版本还原条目,这同样会创建新版本。
-
存在与前缀列表相关的配额。有关更多信息,请参阅 客户管理的前缀列表。
Amazon托管前缀列表
以下规则适用于Amazon托管的前缀列表:
-
您无法创建、修改、共享或删除Amazon托管的前缀列表。
-
不同的 Amazon 托管前缀列表在使用时具有不同的权重。有关更多信息,请参阅 Amazon 托管前缀列表权重。
-
您无法查看Amazon托管的前缀列表的版本号。
适用于前缀列表的 Identity and Access Management
默认情况下,IAM 用户无权创建、查看、修改或删除前缀列表。您可以创建允许用户使用前缀列表的 IAM 策略。
要查看 Amazon VPC 操作以及您可以在 IAM 策略中使用的资源和条件键的列表,请参阅 IAM 用户指南 中的 Amazon EC2 的操作、资源和条件键。
以下示例策略仅允许用户查看和使用前缀列表 pl-123456abcde123456。用户无法创建或删除前缀列表。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:GetManagedPrefixListAssociations", "ec2:GetManagedPrefixListEntries", "ec2:ModifyManagedPrefixList", "ec2:RestoreManagedPrefixListVersion" ], "Resource": "arn:aws:ec2:region:account:prefix-list/pl-123456abcde123456" }, { "Effect": "Allow", "Action": "ec2:DescribeManagedPrefixLists", "Resource": "*" } ] }
有关在 Amazon VPC 中使用 IAM 的更多信息,请参阅适用于 Amazon VPC 的 Identity and Access Management。