Konsolidierung und Verwaltung von Netzwerk-CIDR-Blöcken mit verwalteten Präfixlisten - Amazon Virtual Private Cloud
Konzepte und Regeln für PräfixlistenIdentitäts- und Zugriffsverwaltung für Präfixlisten

Konsolidierung und Verwaltung von Netzwerk-CIDR-Blöcken mit verwalteten Präfixlisten

Eine verwaltete Präfixliste ist ein Satz von einem oder mehreren CIDR-Blöcken. Sie können Präfixlisten verwenden, um die Konfiguration und Pflege Ihrer Sicherheitsgruppen und Routing-Tabellen zu vereinfachen. Sie können eine Präfixliste aus den IP-Adressen erstellen, die Sie häufig verwenden, und sie als Satz in Sicherheitsgruppenregeln und -Routen referenzieren, anstatt sie einzeln zu referenzieren. Sie können beispielsweise Sicherheitsgruppenregeln mit verschiedenen CIDR-Blöcken, aber demselben Port und demselben Protokoll in einer einzigen Regel konsolidieren, die eine Präfixliste verwendet. Wenn Sie Ihr Netzwerk skalieren und den Datenverkehr von einem anderen CIDR-Block zulassen müssen, können Sie die entsprechende Präfixliste aktualisieren und alle Sicherheitsgruppen, die die Präfixliste verwenden, werden aktualisiert. Sie können verwaltete Präfixlisten auch mit anderen AWS-Konten unter Verwendung von Resource Access Manager (RAM) verwenden.

Es gibt zwei Arten von Präfixlisten:

  • Vom Kunden verwaltete Präfixlisten – Sätze von IP-Adressbereichen, die Sie definieren und verwalten. Sie können Ihre Präfixliste für andere AWS-Konten freigeben, so dass diese Konten in ihren eigenen Ressourcen auf die Präfixliste verweisen können.

  • AWS--verwaltete Präfixlisten – Sätze von IP-Adressbereichen für AWS-Services. Sie können eine von AWS verwaltete Präfixliste nicht erstellen, ändern, freigeben oder löschen.

Inhalt

Konzepte und Regeln für Präfixlisten

Eine Präfixliste besteht aus Einträgen. Jeder Eintrag besteht aus einem CIDR-Block und optional einer Beschreibung für den CIDR-Block.

Vom Kunden verwaltete Präfixlisten

Für vom Kunden verwaltete Präfixlisten gelten die folgenden Regeln:

  • Eine Präfixliste unterstützt nur einen einzigen IP-Adresstyp (IPv4 oder IPv6). Sie können IPv4- und IPv6-CIDR-Blöcke nicht in einer einzigen Präfixliste kombinieren.

  • Eine Präfixliste gilt nur für die Region, in der Sie sie erstellt haben.

  • Wenn Sie eine Präfixliste erstellen, müssen Sie die maximale Anzahl von Einträgen angeben, die die Präfixliste unterstützen kann.

  • Wenn Sie in einer Ressource auf eine Präfixliste verweisen, zählt die maximale Anzahl von Einträgen für die Präfixlisten zu, Kontingent für die Einträge für die Ressource. Wenn Sie beispielsweise eine Präfixliste mit maximal 20 Einträgen erstellen und in einer Sicherheitsgruppenregel auf diese Präfixliste verweisen, zählt dies als 20 Regeln für die Sicherheitsgruppe.

  • Wenn Sie in einer Routing-Tabelle auf eine Präfixliste verweisen, gelten die Routingprioritätsregeln. Weitere Informationen finden Sie unter Routenpriorität für Präfixlisten.

  • Sie können eine Präfixliste erstellen. Wenn Sie Einträge hinzufügen oder entfernen, erstellen wir eine neue Version der Präfixliste. Ressourcen, die auf das Präfix verweisen, verwenden stets die aktuelle (neueste) Version. Sie können die Einträge aus einer früheren Version der Präfixliste wiederherstellen, wodurch auch eine neue Version erstellt wird.

  • Präfixlisten unterliegen Kontingenten. Weitere Informationen finden Sie unter Vom Kunden verwaltete Präfixlisten.

  • Vom Kunden verwaltete Präfixlisten sind in allen kommerziellen AWS-Regionen verfügbar (einschließlich der Regionen GovCloud (USA) und China).

AWSVon verwaltete Präfixlisten

Für von AWS verwaltete Präfixlisten gelten die folgenden Regeln:

  • Sie können eine von AWS verwaltete Präfixliste nicht erstellen, ändern, freigeben oder löschen.

  • Verschiedene AWS-verwaltete Präfixlisten haben ein anderes Gewicht, wenn Sie sie verwenden. Weitere Informationen finden Sie unter AWSVon verwaltete Präfixlistengewicht.

  • Sie können die Versionsnummer einer von AWS verwalteten Präfixliste nicht anzeigen.

Identitäts- und Zugriffsverwaltung für Präfixlisten

Standardmäßig sind -Benutzer nicht berechtigt, Präfixlisten zu erstellen, anzuzeigen, zu ändern oder zu löschen. Sie können eine IAM-Richtlinie erstellen und sie einer Rolle anfügen, die Benutzern erlaubt, mit Präfixlisten zu arbeiten.

Eine Liste der Amazon VPC-Aktionen und der Ressourcen und Bedingungsschlüssel, die Sie in einer IAM-Richtlinie verwenden können, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon EC2 in der Service-Authorization-Referenz.

Mit der folgenden Beispielrichtlinie können Benutzer nur die Präfixliste pl-123456abcde123456 anzeigen und mit ihr arbeiten. Benutzer können keine Präfixlisten erstellen oder löschen.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:GetManagedPrefixListAssociations",
                "ec2:GetManagedPrefixListEntries",
                "ec2:ModifyManagedPrefixList",
                "ec2:RestoreManagedPrefixListVersion"
            ],
            "Resource": "arn:aws:ec2:us-east-1:123456789012:prefix-list/pl-123456abcde123456"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeManagedPrefixLists",
            "Resource": "*"
        }
    ]
}

Weitere Informationen über die Arbeit mit IAM in Amazon VPC finden Sie unter Identity and Access Management für Amazon VPC.