Consolidare e gestire gli intervalli CIDR di rete con elenchi di prefissi gestiti - Amazon Virtual Private Cloud
Concetti e regole degli elenchi di prefissiGestione delle identità e degli accessi per gli elenchi di prefissi

Consolidare e gestire gli intervalli CIDR di rete con elenchi di prefissi gestiti

Un elenco di prefissi gestiti è un set di uno o più intervalli CIDR. Puoi utilizzare gli elenchi di prefissi per semplificare la configurazione e la gestione dei gruppi di sicurezza e delle tabelle di routing. Puoi creare un elenco di prefissi dagli indirizzi IP utilizzati di frequente e fare riferimento ad essi come set nelle regole e nelle route dei gruppi di sicurezza anziché fare riferimento a tali indirizzi singolarmente. Ad esempio, puoi consolidare le regole dei gruppi di sicurezza con intervalli CIDR diversi ma la stessa porta e protocollo in un’unica regola che utilizza un elenco di prefissi. Se ridimensioni la rete e hai bisogno di consentire il traffico da un altro intervallo CIDR, puoi aggiornare l’elenco di prefissi pertinente e tutti i gruppi di sicurezza che utilizzano quell’elenco dei prefissi saranno aggiornati. Puoi inoltre utilizzare gli elenchi di prefissi gestiti con altri account AWS utilizzando Resource Access Manager (RAM).

Esistono due tipi di elenchi di prefissi:

  • Elenchi di prefissi gestiti dal cliente: i set di intervalli di indirizzi IP definiti e gestiti dall’utente. Puoi condividere l’elenco di prefissi con altri account AWS, consentendo a tali account di fare riferimento all’elenco di prefissi nelle proprie risorse.

  • Elenchi di prefissi gestiti da AWS: i set di intervalli di indirizzi IP per i servizi AWS. Non è possibile creare, modificare, condividere o eliminare un elenco di prefissi gestiti da AWS.

Indice

Concetti e regole degli elenchi di prefissi

Un elenco di prefissi è costituito da voci. Ogni voce è costituita da un intervallo CIDR e, facoltativamente, da una descrizione dell’intervallo CIDR.

Elenchi di prefissi gestiti dal cliente

Le regole seguenti si applicano agli elenchi di prefissi gestiti dal cliente:

  • Un elenco di prefissi supporta solo un singolo tipo di indirizzamento IP (IPv4 o IPv6). Non è possibile combinare intervalli CIDR IPv4 e IPv6 in un unico elenco di prefissi.

  • Un elenco di prefissi si applica solo alla regione in cui è stato creato.

  • Quando si crea un elenco di prefissi, è necessario specificare il numero massimo di voci supportate dall’elenco di prefissi.

  • Quando fai riferimento a un elenco di prefissi in una risorsa, il numero massimo di voci per gli elenchi di prefissi viene conteggiato rispetto alla quota del numero di voci per la risorsa. Ad esempio, se crei un elenco di prefissi con 20 voci e fai riferimento a tale elenco in una regola di gruppo di sicurezza, questo valore viene conteggiato come 20 regole per il gruppo di sicurezza.

  • Quando si fa riferimento a un elenco di prefissi in una tabella di instradamento, vengono applicate le regole di priorità della route. Per ulteriori informazioni, consulta Priorità di route per gli elenchi di prefissi.

  • È possibile modificare un elenco di prefissi. Quando si aggiungono o si rimuovono voci, viene creata una nuova versione dell’elenco di prefissi. Le risorse che fanno riferimento al prefisso utilizzano sempre la versione corrente (più recente). È possibile ripristinare le voci da una versione precedente dell’elenco di prefissi, creando così una nuova versione.

  • Esistono quote relative agli elenchi di prefissi. Per ulteriori informazioni, consulta Elenchi di prefissi gestiti dal cliente.

  • Gli elenchi dei prefissi gestiti dal cliente sono disponibili in tutte le AWS Regioni commerciali (incluse le regioni GovCloud (Stati Uniti) e Cina).

AWSElenchi di prefissi gestiti da

Le seguenti regole si applicano agli elenchi di prefissi gestiti da AWS:

  • Non è possibile creare, modificare, condividere o eliminare un elenco di prefissi gestiti da AWS.

  • I diversi elenchi di prefissi gestiti da AWS hanno un peso differente quando utilizzati. Per ulteriori informazioni, consulta Peso dell’elenco dei prefissi gestiti da AWS.

  • Non è possibile visualizzare il numero di versione di un elenco di prefissi gestiti da AWS.

Gestione delle identità e degli accessi per gli elenchi di prefissi

Per impostazione predefinita, gli utenti non dispongono delle autorizzazioni per creare, visualizzare, modificare o eliminare elenchi di prefissi. È possibile creare una policy IAM e collegarla a un ruolo che consenta agli utenti di utilizzare gli elenchi di prefissi.

Per visualizzare un elenco delle azioni Amazon VPC e le chiavi delle risorse e delle condizioni che puoi utilizzare in una policy IAM, consulta Azioni, risorse e chiavi condizione per Amazon EC2 nelle Informazioni di riferimento sull’autorizzazione.

La policy di esempio seguente consente agli utenti di visualizzare e utilizzare solo l’elenco di prefissi pl-123456abcde123456. Gli utenti non possono creare o eliminare elenchi di prefissi.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:GetManagedPrefixListAssociations",
                "ec2:GetManagedPrefixListEntries",
                "ec2:ModifyManagedPrefixList",
                "ec2:RestoreManagedPrefixListVersion"
            ],
            "Resource": "arn:aws:ec2:us-east-1:123456789012:prefix-list/pl-123456abcde123456"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeManagedPrefixLists",
            "Resource": "*"
        }
    ]
}

Per ulteriori informazioni sull’utilizzo di IAM in Amazon VPC, consulta Identity and Access Management per Amazon VPC.