使用受管字首清單合併和管理網路CIDR區塊 - Amazon Virtual Private Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用受管字首清單合併和管理網路CIDR區塊

受管字首清單是一組或多個CIDR區塊。您可以使用字首清單,以便更輕鬆地設定和維護安全群組和路由表。您可以從經常使用的 IP 地址建立字首清單,並在安全群組規則和路由中以集合形式參考,而非個別參考。例如,您可以將具有不同CIDR區塊但相同的連接埠和通訊協定的安全群組規則合併為使用字首清單的單一規則。如果您擴展網路並需要允許來自另一個CIDR區塊的流量,您可以更新相關的字首清單,並使用字首清單的所有安全群組都會更新。您也可以使用 Resource Access Manager () 將受管字首清單與其他 AWS 帳戶搭配使用RAM。

字首清單有兩個類型:

  • 由客戶管理之前綴清單 — 您定義並管理的 IP 地址範圍集合。您可以與其他 AWS 帳戶共用字首清單,讓這些帳戶能夠參考其資源中的字首清單。

  • AWS受管字首清單 — AWS 服務的 IP 地址範圍集。您無法建立、修改、共用或刪除 AWS管理的字首清單。

字首清單的概念和規則

字首清單由項目組成。每個項目都包含一個CIDR區塊,以及選擇性的CIDR區塊描述。

由客戶管理之前綴清單

下列規則適用於由客戶管理之前綴清單:

  • 字首清單僅支援單一類型的 IP 定址 (IPv4 或 IPv6)。您無法在單一字首清單中合併 IPv4和 IPv6 CIDR 區塊。

  • 字首清單僅適用於您建立該清單的「區域」。

  • 當您建立字首清單時,必須指定字首清單可支援的最大項目數。

  • 當您在資源中參考字首清單時,字首清單的項目數上限會計入資源項目數的配額。例如,如果您建立最多包含 20 個項目的字首清單,而您在安全群組規則中參考該字首清單,這就會計為該安全群組的 20 個規則。

  • 當您在路由表中參考字首清單時,會套用路由優先順序規則。如需更多詳細資訊,請參閱 字首清單的路由優先順序

  • 您可以修改字首清單。當您新增或移除項目時,我們都會建立新的字首清單版本。參考字首的資源永遠使用目前 (最新) 版本。您可以從舊版字首清單還原項目,其也會建立新版本。

  • 字首清單有相關的配額。如需更多詳細資訊,請參閱 由客戶管理之前綴清單

  • 客戶管理的字首清單適用於所有商業AWS 區域 (包括 GovCloud (美國) 和中國區域)。

AWS管理的字首清單

下列規則適用於 AWS受管字首清單:

  • 您無法建立、修改、共用或刪除 AWS受管字首清單。

  • 不同的 AWS受管字首清單在您使用時具有不同的權重。如需詳細資訊,請參閱AWS管理的字首清單權重

  • 您無法檢視 AWS受管字首清單的版本編號。

字首清單的 Identity and Access Management

根據預設, 使用者沒有建立、檢視、修改或刪除字首清單的許可。您可以建立IAM政策,並將其連接至允許使用者使用字首清單的角色。

若要查看 Amazon VPC動作清單,以及您可以在IAM政策中使用的資源和條件金鑰,請參閱 IAM 使用者指南 中的 Amazon 的動作、資源和條件金鑰EC2

下列範例政策只允許使用者檢視和使用字首清單 pl-123456abcde123456。使用者無法建立或刪除字首清單。

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:GetManagedPrefixListAssociations", "ec2:GetManagedPrefixListEntries", "ec2:ModifyManagedPrefixList", "ec2:RestoreManagedPrefixListVersion" ], "Resource": "arn:aws:ec2:region:account:prefix-list/pl-123456abcde123456" }, { "Effect": "Allow", "Action": "ec2:DescribeManagedPrefixLists", "Resource": "*" } ] }

如需在 Amazon IAM中使用 的詳細資訊VPC,請參閱 Amazon 的身分和存取管理 VPC