本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用受管前綴清單對 CIDR 區塊分組
受管前綴清單是一或多個 CIDR 區塊的集合。您可以使用字首清單,以便更輕鬆地設定和維護安全群組和路由表。您可以從經常使用的 IP 地址建立字首清單,並在安全群組規則和路由中以集合形式參考,而非個別參考。例如,您可以將具有不同 CIDR 區塊但連接埠和通訊協定相同的安全群組規則合併成使用字首清單的單一規則。如果您擴展網路且需要允許來自另一個 CIDR 區塊的流量,則可以更新相關的字首清單,以更新使用字首清單的所有安全群組。您也可以使用 Resource Access Manager (RAM),將受管理的前置詞清單與其他 AWS 帳號搭配使用。
字首清單有兩個類型:
-
由客戶管理之前綴清單 — 您定義並管理的 IP 地址範圍集合。您可以與其他 AWS 帳號共用您的首碼清單,讓這些帳戶能夠參考其資源中的前置詞清單。
-
AWS-受管理的前置詞清單 — AWS 服務的 IP 位址範圍集合。您無法建立、修改、共用或刪除 AWS管理的字首清單。
字首清單的概念和規則
字首清單由項目組成。每個項目都包含一個 CIDR 區塊,以及 CIDR 區塊的選擇性描述。
由客戶管理之前綴清單
下列規則適用於由客戶管理之前綴清單:
-
字首清單僅支援單一類型的 IP 地址 (IPv4 或 IPv6)。您無法在單一字首清單中合併 IPv4 和 IPv6 CIDR 區塊。
-
字首清單僅適用於您建立該清單的「區域」。
-
當您建立字首清單時,必須指定字首清單可支援的最大項目數。
-
當您在資源中參考字首清單時,字首清單的項目數上限會計入資源項目數的配額。例如,如果您建立最多包含 20 個項目的字首清單,而您在安全群組規則中參考該字首清單,這就會計為該安全群組的 20 個規則。
-
當您在路由表中參考字首清單時,會套用路由優先順序規則。如需更多詳細資訊,請參閱 路由優先順序和字首清單。
-
您可以修改字首清單。當您新增或移除項目時,我們都會建立新的字首清單版本。參考字首的資源永遠使用目前 (最新) 版本。您可以從舊版字首清單還原項目,其也會建立新版本。
-
字首清單有相關的配額。如需更多詳細資訊,請參閱 由客戶管理之前綴清單。
-
客戶管理的字首清單適用於所有商業AWS 區域
(包括 GovCloud (美國) 和中國地區)。
AWS管理的字首清單
下列規則適用於 AWS-managed 前置詞清單:
-
您無法建立、修改、共用或刪除 AWS-managed 前置詞清單。
-
不同的 AWS-managed 前綴列表在使用它們時具有不同的權重。如需詳細資訊,請參閱 AWS管理的字首清單權重。
-
您無法檢視 AWS-managed 前置詞清單的版本號碼。
字首清單的 Identity and Access Management
根據預設, 使用者沒有建立、檢視、修改或刪除字首清單的許可。您可以建立允許使用者使用前綴清單的 IAM 政策,並將其連接至一個角色。
若要查看 Amazon VPC 動作清單以及可在 IAM 原則中使用的資源和條件金鑰,請參閱《IAM 使用者指南》中的 Amazon EC2 的動作、資源和條件金鑰。
下列範例政策只允許使用者檢視和使用字首清單 pl-123456abcde123456。使用者無法建立或刪除字首清單。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:GetManagedPrefixListAssociations", "ec2:GetManagedPrefixListEntries", "ec2:ModifyManagedPrefixList", "ec2:RestoreManagedPrefixListVersion" ], "Resource": "arn:aws:ec2:region:account:prefix-list/pl-123456abcde123456" }, { "Effect": "Allow", "Action": "ec2:DescribeManagedPrefixLists", "Resource": "*" } ] }
如需在 Amazon VPC 中使用 IAM 的詳細資訊,請參閱 Amazon VPC 的 Identity and Access Management。
