# 为 VPC 和子网分配 IP 地址
IP 地址使 VPC 中的资源能够相互通信以及与 Internet 上的资源进行通信。
无类别域间路由(CIDR)表示法是一种表示 IP 地址及其网络掩码的方法。这些地址的格式如下:
+ 单个 IPv4 地址为 32 位,分为 4 组,每组包含最多 3 个十进制数字(0-255)。例如:10.0.1.0。
+ IPv4 CIDR 块包含一个 IPv4 地址,后跟斜杠和一个介于 0 到 32 的数字。例如,10.0.0.0/16 表示介于 10.0.0.0 到 10.0.255.255 之间的 65,536 个 IPv4 地址。
+ 单个 IPv6 地址为 128 位,分为 8 段,每段包含最多 4 个十六进制数字。例如:2001:0db8:85a3:0000:0000:8a2e:0370:7334。分段无需包含前导零。您也可以在地址中用双冒号(::)替换连续的全零分段。因此,示例地址可以压缩为 2001:db8:85a3::8a2e:370:7334。
+ IPv6 CIDR 块中的 IPv6 地址以全零分段结尾(全零分段已替换为双冒号),后跟斜杠和一个介于 0 到 128 之间的数字。例如,2001:db8:1234:1a00::/56 表示介于 2001:db8:1234:1a00:0000:0000:0000:0000 到 2001:db8:1234:1aff:ffff:ffff:ffff:ffff 之间的 2^72 个 IPv6 地址。
有关更多信息,请参阅[什么是 CIDR?](https://aws.amazon.com/what-is/cidr/)
**Topics**
+ [私有 IPv4 地址](#vpc-private-ipv4-addresses)
+ [公有 IPv4 地址](#vpc-public-ipv4-addresses)
+ [IPv6 地址](#vpc-ipv6-addresses)
+ [使用自带 IP 地址](#vpc-using-own-ip-address)
+ [使用 Amazon VPC IP 地址管理器](#vpc-using-ipam)
+ [VPC CIDR 块](vpc-cidr-blocks.md)
+ [子网 CIDR 块](subnet-sizing.md)
+ [比较 IPv4 与 IPv6](ipv4-ipv6-comparison.md)
+ [托管前缀列表](managed-prefix-lists.md)
+ [AWS IP 地址范围](aws-ip-ranges.md)
+ [VPC 的 IPv6 支持](vpc-migrate-ipv6.md)
+ [AWS 上的 IPv6 支持](aws-ipv6-support.md)
## 私有 IPv4 地址
私有 IPv4 地址(在本主题中也称作*私有 IP 地址*)无法通过 Internet 访问,但可用于 VPC 中实例之间的通信。当您在 VPC 中启动实例时,系统会将子网 IPv4 地址范围内的主要私有 IP 地址分配给实例的主要网络接口(例如,eth0)。另外,还为每个实例指定一个可解析为实例私有 IP 地址的私有(内部)DNS 主机名。主机名可以有两种类型:基于资源或基于 IP。有关更多信息,请参阅 [EC2 实例命名](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-naming.html)。如果您未指定主要私有 IP 地址,我们会在子网范围内为您选择可用的 IP 地址。有关网络接口的更多信息,请参阅《*Amazon EC2 用户指南*》中的[弹性网络接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)。
您可以为 VPC 中运行的实例分配其他私有 IP 地址,即所谓的辅助私有 IP 地址。与主要私有 IP 地址不同的是,您可以将一个网络接口的辅助私有 IP 地址重新分配给另一个网络接口。私有 IP 地址会在实例停止并重新启动时保持与网络接口的关联,并在实例终止时释放。有关主要和辅助 IP 地址的更多信息,请参阅《*Amazon EC2 用户指南*》的[多个 IP 地址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html)。
我们所说的私有 IP 地址是 VPC 的 IPv4 CIDR 范围内的 IP 地址。大部分 VPC IP 地址范围均处于 RFC 1918 中指定的私有(非公有可路由)IP 地址范围内;但是,您可为您的 VPC 使用公有可路由的 CIDR 块。不管您的 VPC 使用何种 IP 地址范围,我们都不支持从您的 VPC 的 CIDR 块(包括公共可路由的 CIDR 块)直接访问 Internet。您必须通过网关设置 Internet 访问,例如,通过互联网网关、虚拟专用网关、AWS Site-to-Site VPN 连接或 Direct Connect。
我们永远不会向互联网传播子网的 IPv4 地址范围。
## 公有 IPv4 地址
所有子网都有一个用于确定在子网中创建的网络接口是否自动接收公有 IPv4 地址(在本主题中也称作*公有 IP 地址*)的属性。因此,当您在启用了此属性的子网中启动实例时,系统会向为此实例创建的主网络接口分配一个公有 IP 地址。公有 IP 地址通过网络地址转换 (NATI) 映射到主要私有 IP 地址。
**注意**
AWS 将对所有公有 IPv4 地址收费,包括与运行的实例相关联的公有 IPv4 地址和弹性 IP 地址。有关更多信息,请参阅 [Amazon VPC 定价页面](https://aws.amazon.com/vpc/pricing/)中的**公有 IPv4 地址定价**选项卡。
您可以通过执行以下操作,控制实例是否接收公有 IP 地址:
+ 修改子网的公有 IP 寻址属性。有关更多信息,请参阅 [修改子网的 IP 寻址属性](subnet-public-ip.md)。
+ 在实例启动过程中启用或禁用公有 IP 寻址功能,以覆盖子网的公有 IP 寻址属性。
+ 启动后,您可以通过管理与网络接口关联的 IP 地址来将实例的公有 IP 地址取消分配。有关更多信息,请参阅《*Amazon EC2 用户指南*》中的[管理 IP 地址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#managing-network-interface-ip-addresses)。
公有 IP 地址将从 Amazon 的公有 IP 地址池分配,它不与您的账户关联。在公有 IP 地址与您的实例取消关联后,该地址即释放回该池,并且不再可供您使用。在某些情况下,我们会从您的实例释放公有 IP 地址,或为其分配新地址。有关更多信息,请参阅《*Amazon EC2 用户指南*》中的[公有 IP 地址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#concepts-public-addresses)。
如果您需要向您的账户分配一个永久公有 IP 地址(您可根据需要将其分配给实例或将其从实例中删除),请改为使用弹性 IP 地址。有关更多信息,请参阅 [将弹性 IP 地址关联到 VPC 中的资源](vpc-eips.md)。
如果您的 VPC 启用了对 DNS 主机名的支持,则系统还会向收到公有 IP 地址或弹性 IP 地址的每个实例分配一个公有 DNS 主机名。我们会将公有 DNS 主机名解析为该实例在实例网络外的公有 IP 地址和在实例网络内的私有 IP 地址。有关更多信息,请参阅 [VPC 中的 DNS 属性](vpc-dns.md)。
如果使用的是 Amazon VPC IP 地址管理器(IPAM),则可以从 AWS 中获取连续的公有 IPv4 地址块,再用其将连续弹性 IP 地址分配给 AWS 资源。使用连续的 IPv4 地址块可以显著减少安全访问控制列表的管理开销,简化在 AWS 上扩展的企业的 IP 地址分配和跟踪工作。有关更多信息,请参阅《Amazon VPC IPAM User Guide》**中的 [Allocate sequential Elastic IP addresses from an IPAM pool](https://docs.aws.amazon.com/vpc/latest/ipam/tutorials-eip-pool.html)。
## IPv6 地址
随着互联网的持续增长,对 IP 地址的需求也在增加。IP 地址最常见的格式是 IPv4。IP 地址的新格式是 IPv6,它可提供比 IPv4 更大的地址空间。IPv6 解决了 IPv4 地址耗尽的问题,有助将更多设备连接到互联网。这是个渐进的过渡过程,不过随着 IPv6 采用率的提高,您可以简化网络并利用 IPv6 的高级功能来改善连接性、性能和安全性。
许多 AWS 服务(例如 Amazon EC2、Amazon S3 和 Amazon CloudFront)都提供双堆栈(IPv4 和 IPv6)或仅支持 IPv6 的选项,允许资源被分配到 IPv6 地址并通过 IPv6 协议进行访问,从而为采用 IPv6 的客户简化网络配置和管理。其他服务提供有限或部分双堆栈和仅支持 IPv6。
有关支持 IPv6 的服务的更多信息,请参阅[支持 IPv6 的 AWS 服务](aws-ipv6-support.md)。
请注意,国际互联网工程任务组保留了部分 IPv6 地址。有关预留 IPv6 地址范围的更多信息,请参阅 [IANA IPv6 特殊用途地址注册表](http://www.iana.org/assignments/iana-ipv6-special-registry/iana-ipv6-special-registry.xhtml)和 [RFC4291](https://tools.ietf.org/html/rfc4291)。
**注意**
AWS 同时提供公有和私有 IPv6 寻址。AWS 认为公有 IP 地址是从 AWS 公开发布在互联网上的,而私有 IP 地址不是,也不能从 AWS 公开发布在互联网上。
**Topics**
+ [公有 IPv6 地址](#vpc-ipv6-addresses-public)
+ [私有 IPv6 地址](#vpc-ipv6-addresses-private)
### 公有 IPv6 地址
Amazon 提供的 IPv6 地址始终在互联网上公开公布。IPv6 地址具有全局唯一性,因此可通过互联网访问。您可以通过控制子网的路由或通过使用安全组和网络 ACL 来控制能否通过实例的 IPv6 地址访问 EC2 实例等资源。
以下是可将公有 IPv6 地址用于工作负载的一些方法:
+ 使用 Amazon VPC IP 地址管理器创建 IPAM,并向 IPAM 地址池预置 Amazon 拥有的公有 IPv6 地址范围。有关更多信息,请参阅《Amazon VPC IPAM 用户指南》**中的[创建 IPv6 池](https://docs.aws.amazon.com/vpc/latest/ipam/intro-create-ipv6-pools.html)。
+ 如果已有 IPAM 并且拥有公有 IPv6 地址范围,则可将部分或全部公有 IPv6 地址范围引入 IPAM,并向 IPAM 地址池预置公有 IPv6 地址范围。有关更多信息,请参阅《Amazon VPC IPAM 用户指南》**中的[教程:将 IP 地址带入 IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/tutorials-byoip-ipam.html)。
+ 如果没有 IPAM,但拥有公有 IPv6 地址范围,则可将部分或全部公有 IPv6 地址范围引入 AWS。有关更多信息,请参阅《Amazon EC2 用户指南》**中的[在 Amazon EC2 中使用您自己的 IP 地址(BYOIP)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html)。
准备好使用公有 IPv6 地址后,就可以为实例分配公有 IPv6 地址(请参阅《Amazon EC2 用户指南》**中的 [IPv6 地址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-ipv6-addresses.html)),为 VPC 分配公有 IPv6 CIDR 块(请参阅[将 CIDR 块添加到 VPC 或从中删除](add-ipv4-cidr.md)),并将该 IPv6 CIDR 块与子网关联(请参阅[修改子网的 IP 寻址属性](subnet-public-ip.md))。
### 私有 IPv6 地址
私有 IPv6 地址指并未且不能从 AWS 公开发布在互联网上的 IPv6 地址。
如果希望自己的私有网络支持 IPv6,并且不打算将流量从这些地址路由到互联网,则可使用私有 IPv6 地址。如果要从具有私有 IPv6 地址的资源连接到互联网,必须通过另一个子网中具有公有 IPv6 地址的资源路由流量,才能实现该目的。
私有 IPv6 地址有两种类型:
+ **IPv6 ULA 范围**:[RFC4193](https://datatracker.ietf.org/doc/html/rfc4193) 中定义的 IPv6 地址。这些地址范围总是以“fc”或“fd”开头,因此很容易识别。有效的 IPv6 ULA 空间是指任何低于 fd00:: /8 且不与 Amazon 预留范围 fd00::/16 重叠的空间。
+ **IPv6 GUA 范围**:[RFC3587](https://datatracker.ietf.org/doc/html/rfc3587) 中定义的 IPv6 地址。使用 IPv6 GUA 范围作为私有 IPv6 地址的选项默认处于禁用状态,必须在启用后才能使用。有关更多信息,请参阅《Amazon VPC IPAM 用户指南》**中的[启用预置私有 IPv6 GUA CIDR](https://docs.aws.amazon.com/vpc/latest/ipam/enable-prov-ipv6-gua.html)。
请注意以下几点:
+ 私有 IPv6 地址只能通过 [Amazon VPC IP 地址管理器(IPAM)](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html)使用。IPAM 发现具有 IPv6 ULA 和 GUA 地址的资源,并监控池中是否存在重叠的 IPv6 ULA 和 GUA 地址空间。
+ 在使用私有 IPv6 GUA 范围时,要求使用自己拥有的 IPv6 GUA 范围。
+ AWS 不会也不能在互联网上公开发布私有 IPv6 地址。即使 VPC 中有互联网网关或仅限出口的互联网网关,AWS 也不允许从私有 IPv6 地址范围直接出口到公共互联网。私有 IPv6 地址会被自动丢弃在互联网网关边缘,确保不会被公开路由。
+ AWS 会保留前四个以及最后一个子网私有 IPv6 地址。
+ 私有 IPv6 ULA 的有效范围为 /9 至 /60(从 fd80::/9 开始)。
+ 如果已为 VPC 分配私有 IPv6 GUA 范围,则不能使用与同一 VPC 中私有 IPv6 GUA 空间重叠的公有 IPv6 GUA 空间。
+ 支持具有私有 IPv6 ULA 及 GUA 地址范围的资源之间的通信(例如跨 Direct Connect、VPC 对等连接、中转网关或 VPN 连接)。
+ 您可以将私有 IPv6 地址用于仅限 IPv6 和双栈 [VPC 子网](configure-subnets.md#subnet-ip-address-range)、[弹性负载均衡器](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/load-balancer-getting-started.html)和 [AWS Global Accelerator 端点](https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.html)。
+ 使用私有 IPv6 地址不会产生任何费用。
以下是可将私有 IPv6 地址用于工作负载的一些方法:
+ 使用 Amazon VPC IP 地址管理器创建 IPAM,并向 IPAM 地址池预置私有 IPv6 *ULA* 范围。有关更多信息,请参阅《Amazon VPC IPAM 用户指南》**中的[创建 IPv6 池](https://docs.aws.amazon.com/vpc/latest/ipam/intro-create-ipv6-pools.html)。
+ 使用 Amazon VPC IP 地址管理器创建 IPAM,并为 IPAM 地址池预置私有 IPv6 *GUA* 范围。使用 IPv6 GUA 范围作为私有 IPv6 地址的选项默认处于禁用状态,必须在 IPAM 上启用后才能使用。有关更多信息,请参阅《Amazon VPC IPAM 用户指南》**中的[启用预置私有 IPv6 GUA CIDR](https://docs.aws.amazon.com/vpc/latest/ipam/enable-prov-ipv6-gua.html)。
准备好使用私有 IPv6 地址后,就可以为 VPC 分配 IPAM 池中的私有 IPv6 CIDR 块(请参阅[将 CIDR 块添加到 VPC 或从中删除](add-ipv4-cidr.md)),并将该 IPv6 CIDR 块与子网关联(请参阅[修改子网的 IP 寻址属性](subnet-public-ip.md))。
## 使用自带 IP 地址
您可以将部分或全部自带公有 IPv4 地址或 IPv6 地址范围引入到您的 AWS 账户。您继续拥有该地址范围,但 AWS 默认将其发布到 Internet 上。在将地址范围引入 AWS 中之后,它会在您的账户中显示为地址池。您可以从 IPv4 地址池创建弹性 IP 地址,也可以将 IPv6 地址池中的 IPv6 CIDR 块与 VPC 相关联。
有关更多信息,请参阅《*Amazon EC2 用户指南*》中的[自带 IP 地址(BYOIP)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html)。
## 使用 Amazon VPC IP 地址管理器
Amazon VPC IP 地址管理器 (IPAM) 是一项 VPC 功能,可让您更轻松地计划、跟踪和监控 AWS 工作负载的 IP 地址。您可以使用特定的业务规则用 IPAM 将 IP 地址 CIDR 分配给 VPC。
有关更多信息,请参阅《Amazon VPC IPAM 用户指南》**中的[什么是 IPAM?](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html)。
# VPC CIDR 块
您的虚拟私有云(VPC)的 IP 地址以无类别域间路由(CIDR)表示法表示。VPC 必须具有一个关联的 IPv4 CIDR 块。您可以选择性地关联其他 IPv4 CIDR 块和一个或多个 IPv6 CIDR 块。有关更多信息,请参阅 [为 VPC 和子网分配 IP 地址](vpc-ip-addressing.md)。
**Topics**
+ [IPv4 VPC CIDR 块](#vpc-sizing-ipv4)
+ [管理 VPC 的 IPv4 CIDR 块](#vpc-resize)
+ [IPv4 CIDR 块关联限制](#add-cidr-block-restrictions)
+ [IPv6 VPC CIDR 块](#vpc-sizing-ipv6)
## IPv4 VPC CIDR 块
当您创建 VPC 时,必须为这个 VPC 指定 IPv4 CIDR 块。允许的块大小介于 `/16` 网络掩码 (65,536 个 IP 地址) 和 `/28` 网络掩码 (16 个 IP 地址) 之间。在创建 VPC 后,您可以将额外的 IPv4 CIDR 块与 VPC 关联。有关更多信息,请参阅 [将 CIDR 块添加到 VPC 或从中删除](add-ipv4-cidr.md)。
在创建 VPC 时,建议您指定来自私有 IPv4 地址范围的 CIDR 块(如 [RFC 1918](http://www.faqs.org/rfcs/rfc1918.html) 中所指定)。
| RFC 1918 范围 | 示例 CIDR 块 |
| --- | --- |
| 10.0.0.0 - 10.255.255.255(10/8 前缀) | 10.0.0.0/16 |
| 172.16.0.0 - 172.31.255.255(172.16/12 前缀) | 172.31.0.0/16 |
| 192.168.0.0 - 192.168.255.255(192.168/16 前缀) | 192.168.0.0/20 |
**注意事项**
+ 您无法为您的 VPC 指定以下 CIDR 块:
+ 0.0.0.0/8
+ 127.0.0.0/8(内部主机环回地址范围)
+ [169.254.0.0/16(链路本地地址范围)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#link-local-addresses)
+ 224.0.0.0/4(组播地址范围)
+ 创建 VPC 以用于 AWS 服务时,请参阅服务文档以验证其配置是否有特定要求。
+ 某些 AWS 服务使用 `172.17.0.0/16` CIDR 范围。如果 IP 地址范围已在网络中使用,则服务可能会遇到 IP 地址冲突。例如,AWS Cloud9 和 Amazon SageMaker AI 使用 `172.17.0.0/16`。为避免发生冲突,请不要在创建 VPC 时使用此范围。有关更多信息,请参阅《AWS Cloud9 用户指南**》中的[无法连接到 EC2 环境,因为 VPC 的 IP 地址被 Docker 使用](https://docs.aws.amazon.com/cloud9/latest/user-guide/troubleshooting.html#docker-bridge)。
+ 您可以创建一个具有公共可路由的 CIDR 块 (不在 RFC 1918 中指定的私有 IPv4 地址范围内) 的 VPC。但是,出于本文档的写作目的,我们的*私有 IP 地址*指的是位于 VPC 的 CIDR 范围内的 IPv4 地址。
+ 如果您使用命令行工具或 Amazon EC2 API 创建 VPC,则系统会自动将 CIDR 块修改为其规范形式。例如,假设您为 CIDR 块指定 100.68.0.18/18,我们将创建一个 CIDR 块 100.68.0.0/18。
## 管理 VPC 的 IPv4 CIDR 块
您可以将辅助 IPv4 CIDR 块与 VPC 关联。当您将 CIDR 块与 VPC 关联时,路由会自动添加到 VPC 路由表中,以便在 VPC 中启用路由 (目的地是 CIDR 块,目标是 `local`)。
在下面的示例中,VPC 同时具有一个主 CIDR 块和一个辅助 CIDR 块。子网 A 和子网 B 的 CIDR 块来自主 VPC CIDR 块。子网 C 的 CIDR 块来自辅助 VPC CIDR 块。
![\[具有一个和多个 CIDR 块的 VPC\]](http://docs.aws.amazon.com/zh_cn/vpc/latest/userguide/images/vpc-multiple-cidrs.png)
下面的路由表显示了 VPC 的本地路由。
| 目标位置 | 目标 |
| --- | --- |
| 10.0.0.0/16 | 本地 |
| 10.2.0.0/16 | 本地 |
要将 CIDR 块添加到 VPC,应遵循以下规则:
+ 允许的块大小在 `/28` 网络掩码与 `/16` 网络掩码之间。
+ 该 CIDR 块不得与 VPC 所关联的任何现有 CIDR 块重叠。
+ 您可以使用的 IPv4 地址范围是有限制的。有关更多信息,请参阅 [IPv4 CIDR 块关联限制](#add-cidr-block-restrictions)。
+ 您不能增加或减少现有 CIDR 块的大小。
+ 可以与 VPC 关联的 CIDR 块数和可以添加到路由表的路由数是有配额的。如果这导致您超出配额,您就不能关联 CIDR 块。有关更多信息,请参阅 [Amazon VPC 配额](amazon-vpc-limits.md)。
+ CIDR 块不得与任何 VPC 路由表中的路由中的 CIDR 范围相同或大于该范围。例如,在主要 CIDR 块为 `10.2.0.0/16` 的 VPC 中,您的路由表中有一个指向虚拟私有网关的现有路由,目的地为 `10.0.0.0/24`。您要关联 `10.0.0.0/16` 范围内的辅助 CIDR 块。由于该现有路由,您无法关联 `10.0.0.0/24` 或更大的 CIDR 块。但是,您可以关联 `10.0.0.0/25` 或更小的辅助 CIDR 块。
+ 在向作为 VPC 对等连接的一部分的 VPC 中添加 IPv4 CIDR 块时,应遵循以下规则:
+ 如果 VPC 对等连接为 `active`,则可以向 VPC 中添加 CIDR 块,条件是这些块不与对等 VPC 的 CIDR 块重叠。
+ 如果 VPC 对等连接为 `pending-acceptance`,则请求方 VPC 的拥有者不能向 VPC 中添加任何 CIDR 块,无论它是否与接受方 VPC 的 CIDR 块重叠。要么接受方 VPC 的拥有者必须接受对等连接,要么请求方 VPC 的拥有者必须删除 VPC 对等连接请求,添加 CIDR 块,然后请求新的 VPC 对等连接。
+ 如果 VPC 对等连接为 `pending-acceptance`,则接受方 VPC 的拥有者可以向 VPC 中添加 CIDR 块。如果辅助 CIDR 块与请求方 VPC 的 CIDR 块重叠,则 VPC 对等连接请求将失败,无法被接受。
+ 如果您使用 Direct Connect 来通过 Direct Connect 网关连接到多个 VPC,则与 Direct Connect 网关关联的 VPC 不得具有重叠的 CIDR 块。如果您将 CIDR 块连接到其中一个与 Direct Connect 网关关联的 VPC,请确保新的 CIDR 块不会与任何其他关联 VPC 的现有 CIDR 块重叠。有关更多信息,请参阅《*Direct Connect 用户指南*》中的 [Direct Connect 网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways.html)。
+ 在添加或删除 CIDR 块时,它会经历不同的状态:`associating` \$1`associated` \$1`disassociating` \$1`disassociated` \$1`failing` \$1`failed` 。当 CIDR 块处于 `associated` 状态时,表示它已准备就绪,可供您使用。
您可以取消与 VPC 相关联的 CIDR 块的关联,但无法取消最初用于创建 VPC 的 CIDR 块 (主要 CIDR 块) 的关联。要在 Amazon VPC 控制台中查看 VPC 的主要 CIDR,请选择 **Your VPCs**(您的 VPC),选中您的 VPC 的复选框,然后再选择 **CIDR** 选项卡。要使用 AWS CLI 查看主要 CIDR,请使用 [describe-vpcs](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpcs.html) 命令,如下所示。主要 CIDR 返回到高级别 `CidrBlock element`。
```
aws ec2 describe-vpcs --vpc-id vpc-1a2b3c4d --query Vpcs[*].CidrBlock --output text
```
下面是示例输出。
```
10.0.0.0/16
```
## IPv4 CIDR 块关联限制
下表概述了现有 VPC CIDR 块的允许和限制 VPC CIDR 块关联。限制的原因是某些 AWS 服务使用了跨 VPC 和跨账户功能,这些功能需要在 AWS 服务端使用无冲突的 CIDR 块。
| 现有的 IPv4 地址范围 | 受限制的关联 | 允许的关联 |
| --- | --- | --- |
| 10.0.0.0/8 | 其他 RFC 1918\$1 范围 (172.16.0.0/12 和 192.168.0.0/16) 中的 CIDR 块。 如果与 VPC 关联的任何 CIDR 块属于 10.0.0.0/15 范围(10.0.0.0 至 10.1.255.255),则不能添加属于 10.0.0.0/16 范围(10.0.0.0 至 10.0.255.255)的 CIDR 块。 198.19.0.0/16 范围中的 CIDR 块。 | 10.0.0.0/8 范围中介于 /16 网络掩码和 /28 网络掩码之间不受限制的任何其他 CIDR 块。 100.64.0.0/10 范围中介于 /16 网络掩码和 /28 网络掩码之间任何可公开路由的 IPv4 CIDR 块(非 RFC 1918)或 /16 网络掩码和 /28 网络掩码之间的 CIDR 块。 |
| 169.254.0.0/16 | 如 [RFC 5735](https://www.rfc-editor.org/rfc/rfc5735) 中所述,来自“链路本地”块的 CIDR 块属于保留块,不能分配给 VPC。 | |
| 172.16.0.0/12 | 其他 RFC 1918\$1 范围 (10.0.0.0/8 和 192.168.0.0/16) 中的 CIDR 块。 172.31.0.0/16 范围中的 CIDR 块。 198.19.0.0/16 范围中的 CIDR 块。 | 172.16.0.0/12 范围中介于 /16 网络掩码和 /28 网络掩码之间不受限制的任何其他 CIDR 块。 100.64.0.0/10 范围中介于 /16 网络掩码和 /28 网络掩码之间任何可公开路由的 IPv4 CIDR 块(非 RFC 1918)或 /16 网络掩码和 /28 网络掩码之间的 CIDR 块。 |
| 192.168.0.0/16 | 其他 RFC 1918\$1 范围(10.0.0.0/8 和 172.16.0.0/12)中的 CIDR 块。 198.19.0.0/16 范围中的 CIDR 块。 | 192.168.0.0/16 范围中介于 /16 网络掩码和 /28 网络掩码之间的任何其他 CIDR 块。 100.64.0.0/10 范围中介于 /16 网络掩码和 /28 网络掩码之间任何可公开路由的 IPv4 CIDR 块(非 RFC 1918)或 /16 网络掩码和 /28 网络掩码之间的 CIDR 块。 |
| 198.19.0.0/16 | RFC 1918\$1 范围中的 CIDR 块。 | 100.64.0.0/10 范围中介于 /16 网络掩码和 /28 网络掩码之间任何可公开路由的 IPv4 CIDR 块(非 RFC 1918)或 /16 网络掩码和 /28 网络掩码之间的 CIDR 块。 |
| 可公开路由的 CIDR 块(非 RFC 1918),或 100.64.0.0/10 范围中的 CIDR 块。 | RFC 1918\$1 范围中的 CIDR 块。 198.19.0.0/16 范围中的 CIDR 块。 | 100.64.0.0/10 范围中介于 /16 网络掩码和 /28 网络掩码之间任何其他可公开路由的 IPv4 CIDR 块(非 RFC 1918)或 /16 网络掩码和 /28 网络掩码之间的 CIDR 块。 您也可以在其中一个 RFC 1918 范围内关联 CIDR,但是要做到这一点,您必须在创建 VPC 时先添加该 CIDR,然后再添加非 RFC 1918 CIDR。 |
\$1RFC 1918 范围是指 [RFC 1918](http://www.faqs.org/rfcs/rfc1918.html) 中指定的私有 IPv4 地址范围。
## IPv6 VPC CIDR 块
创建新 VPC 时,您可以关联一个 IPv6 CIDR 块;您可以关联最多 5 个 IPv6 CIDR 块,从 `/44` 到 `/60`,增量为 `/4`。您可以从 Amazon 的 IPv6 地址池请求 IPv6 CIDR 块。有关更多信息,请参阅 [将 CIDR 块添加到 VPC 或从中删除](add-ipv4-cidr.md)。
如果您已向 VPC 关联 IPv6 CIDR 块,则可以将 IPv6 CIDR 块与 VPC 中的现有子网关联,或在创建新子网时执行此操作。有关更多信息,请参阅 [IPv6 的子网定型](subnet-sizing.md#subnet-sizing-ipv6)。
例如,您可以创建一个 VPC 并指定要向此 VPC 关联 Amazon 提供的 IPv6 CIDR 块。Amazon 向您的 VPC 分配以下 IPv6 CIDR 块:`2001:db8:1234:1a00::/56`。无法自行选择 IP 地址范围。您可以创建一个子网并从此范围分配 IPv6 CIDR 块;例如,`2001:db8:1234:1a00::/64`。
您可以取消 IPv6 CIDR 块与 VPC 的关联。在取消 IPv6 CIDR 块与 VPC 的关联后重新关联它们时,不一定会收到相同的 CIDR 块。
# 子网 CIDR 块
您的子网的 IP 地址以无类别域间路由(CIDR)表示法表示。子网的 CIDR 块可以与 VPC 的 CIDR 块相同(用于在 VPC 中创建单个子网),也可以是 VPC 的 CIDR 块的一个子集(用于在 VPC 中创建多个子网)。如果您在 VPC 中创建多个子网,子网的 CIDR 块不能重叠。
例如,如果创建其 CIDR 块为 `10.0.0.0/24` 的 VPC,则它支持 256 个 IP 地址。您可以将这个 CIDR 块分散到两个子网,每个子网支持 128 个 IP 地址。一个子网使用 CIDR 块 `10.0.0.0/25` (对于地址 `10.0.0.0` - `10.0.0.127`),另一个子网使用 CIDR 块 `10.0.0.128/25` (对于地址 `10.0.0.128` - `10.0.0.255`)。
![\[具有 CIDR 块 10.0.0.0/24 的 VPC,分为两个子网。\]](http://docs.aws.amazon.com/zh_cn/vpc/latest/userguide/images/subnet-cidrs.png)
互联网上提供的工具可帮助您计算和创建 IPv4 和 IPv6 子网 CIDR 块。您可以通过搜索“子网计算器”或“CIDR 计算器”等术语来找到满足您需求的工具。您的网络工程组也可以帮助您判断可为子网指定哪些具体 IPv4 和 IPv6 CIDR 块。
## IPv4 的子网定型
子网允许的 IPv4 CIDR 块大小在 `/28` 网络掩码与 `/16` 网络掩码之间。每个子网 CIDR 块中的前四个 IP 地址和最后一个 IP 地址无法供您使用,而且无法分配给任何资源(例如 EC2 实例)。例如,在具有 CIDR 块 `10.0.0.0/24` 的子网中,以下五个 IP 地址是保留的:
+ 10.0.0.0:网络地址。
+ 10.0.0.1:由 AWS 保留,用于 VPC 路由器。
+ 10.0.0.2:由 AWS 保留。DNS 服务器的 IP 地址是 VPC 网络范围的基址 \$1 2。对于包含多个 CIDR 块的 VPC,DNS 服务器的 IP 地址位于主要 CIDR 中。我们还为 VPC 中的所有 CIDR 块预留了每个子网范围加二的基址。有关更多信息,请参阅 [Amazon DNS 服务器](AmazonDNS-concepts.md#AmazonDNS)。
+ 10.0.0.3:由 AWS 保留,以供将来使用。
+ 10.0.0.255:网络广播地址。我们在 VPC 中不支持广播,因此我们会保留此地址。
如果您使用命令行工具或 Amazon EC2 API 创建子网,则系统会自动将 CIDR 块修改为其规范形式。例如,假设您为 CIDR 块指定 100.68.0.18/18,我们将创建一个 CIDR 块 100.68.0.0/18。
使用 [BYOIP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html) 将 IPv4 地址范围设置为 AWS 后,您可以使用该范围内的所有 IP 地址,包括第一个地址(网络地址)和最后一个地址(广播地址)。
## IPv6 的子网定型
如果您已向 VPC 关联 IPv6 CIDR 块,则可以将 IPv6 CIDR 块与 VPC 中的现有子网关联,或在创建新子网时执行此操作。可能的 IPv6 网络掩码长度介于 `/44` 和 `/64` 之间,增量为 `/4`。
互联网上提供的工具可帮助您计算和创建 IPv6 子网 CIDR 块。您可以通过搜索“IPv6 子网计算器”或“IPv6 CIDR 计算器”等术语来查找满足您需求的工具。您的网络工程组也可以帮助您判断可为您的子网指定哪些具体 IPv6 CIDR 块。
每个子网 CIDR 块中的前四个 IPv6 地址和最后一个 IPv6 地址无法供您使用,而且无法分配给 EC2 实例。例如,在具有 CIDR 块 `2001:db8:1234:1a00/64` 的子网中,以下五个 IP 地址是保留的:
+ `2001:db8:1234:1a00::`
+ `2001:db8:1234:1a00::1`:由 AWS 保留,用于 VPC 路由器。
+ `2001:db8:1234:1a00::2`
+ `2001:db8:1234:1a00::3`
+ `2001:db8:1234:1a00:ffff:ffff:ffff:ffff`
除了上述示例中 AWS 为 VPC 路由器预留的 IP 地址外,还为默认 VPC 路由器预留了以下 IPv6 地址:
+ 使用 EUI-64 生成的位于 FE80::/10 范围内的链路本地 IPv6 地址。有关链路本地地址的更多信息,请参阅[链路本地地址](https://en.wikipedia.org/wiki/Link-local_address)。
+ 链路本地 IPv6 地址 `FE80:ec2::1`。
如果您需要通过 IPv6 与 VPC 路由器通信,您可以将应用程序配置为与最适合您需求的地址通信。
# 比较 IPv4 与 IPv6
下表总结 Amazon EC2 和 Amazon VPC 中 IPv4 与 IPv6 之间的差异。
有关支持双堆栈配置(IPv4 和 IPv6)和仅 IPv6 配置的 AWS 服务列表,请参阅 [支持 IPv6 的服务](aws-ipv6-support.md#ipv6-service-support)。
| 特征 | IPv4 | IPv6 |
| --- | --- | --- |
| VPC 大小 | 最多 5 个 CIDR,从 /16 到 /28。此[配额](amazon-vpc-limits.md#vpc-limits-vpcs-subnets)可调整。 | 最多 5 个 CIDR,从 /44 到 /60,以 /4 为增量。此[配额](amazon-vpc-limits.md#vpc-limits-vpcs-subnets)可调整。 |
| 子网大小 | 从 /16 到 /28 | 从 /44 到 /64,增量为 /4。 |
| 地址选择 | 您可以选择 VPC 的 IPv4 CIDR 块,也可从 Amazon VPC IP 地址管理器(IPAM)中分配一个 CIDR 块。有关更多信息,请参阅《Amazon VPC IPAM 用户指南》中的[什么是 IPAM?](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html)。 | 您可以将自己的 IPv6 CIDR 块带入 AWS 以用于您的 VPC,选择 Amazon 提供的 IPv6 CIDR 块,或者从 Amazon VPC IP 地址管理器(IPAM)中分配一个 CIDR 块。有关更多信息,请参阅《Amazon VPC IPAM 用户指南》中的[什么是 IPAM?](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html)。 |
| 互联网访问 | 需要[互联网网关](VPC_Internet_Gateway.md)。 | 需要互联网网关。支持使用[仅限出口的互联网网关](egress-only-internet-gateway.md)进行仅出站通信。 |
| 弹性 IP 地址 | 支持。为 EC2 实例提供永久的静态公有 IPv4 地址。 | 不支持。实例重启时,EIP 会使实例的公有 IPv4 地址保持静态。默认情况下 IPv6 地址是静态的。 |
| NAT 网关 | 支持。私有子网中的实例可以通过公有 NAT 网关连接到互联网,也可以使用私有 NAT 网关连接到其他 VPC 中的资源。 | 支持。您可以使用带有 NAT64 的 NAT 网关,使仅 IPv6 子网中的实例在 VPC 中、VPC 之间、本地网络中,或通过互联网仅与 IPv4 资源通信。 |
| DNS 名称 | 实例将接收 Amazon 提供的 IPBN 或基于 RBN 的 DNS 名称。DNS 名称将解析为为实例选择的 DNS 记录。 | 实例将接收 Amazon 提供的 IPBN 或基于 RBN 的 DNS 名称。DNS 名称将解析为为实例选择的 DNS 记录。 |
# 使用托管前缀列表合并和管理网络 CIDR 块
托管式前缀列表是包含一个或多个 CIDR 块的集合。您可以使用前缀列表更轻松地配置和维护安全组和路由表。您可以根据经常使用的 IP 地址创建前缀列表,并将它们作为安全组规则和路由中的集合引用,而不是单独引用它们。例如,您可以将具有不同 CIDR 块但使用相同端口和协议的安全组规则整合到使用前缀列表的单个规则中。如果您扩展网络并需要允许来自另一个 CIDR 块的流量,则可以更新相关的前缀列表,使用该前缀列表的所有安全组都将更新。您还可以使用资源访问管理器(RAM)与其他 AWS 账户一起使用托管式前缀列表。
前缀列表有两种类型:
+ **客户管理的前缀列表** — 您定义和管理的 IP 地址范围集。您可以与其他AWS账户共享您的前缀列表,使这些账户能够在自己的资源中引用该前缀列表。
+ **AWS托管前缀列表** — AWS服务的 IP 地址范围集。您无法创建、修改、共享或删除AWS托管的前缀列表。
**Topics**
+ [前缀列表概念和规则](#managed-prefix-lists-concepts)
+ [适用于前缀列表的 Identity and Access Management](#managed-prefix-lists-iam)
+ [客户管理的前缀列表](working-with-managed-prefix-lists.md)
+ [AWS托管前缀列表](working-with-aws-managed-prefix-lists.md)
+ [使用前缀列表优化 AWS 基础设施管理](managed-prefix-lists-referencing.md)
## 前缀列表概念和规则
前缀列表由*条目* 组成。每个条目均包含一个 CIDR 块和(可选)该 CIDR 块的描述。
**客户管理的前缀列表**
以下规则适用于客户管理的前缀列表:
+ 前缀列表仅支持单一类型的 IP 寻址(IPv4 或 IPv6)。不能在单个前缀列表中组合 IPv4 和 IPv6 CIDR 块。
+ 前缀列表仅适用于您创建它时所在的区域。
+ 创建前缀列表时,必须指定前缀列表可支持的最大条目数。
+ 当您在资源中引用前缀列表时,前缀列表的最大条目数占用资源的条目数限额。例如,如果您创建一个包含最多 20 个条目的前缀列表,并且在安全组规则中引用该前缀列表,这将视为 20 个安全组规则。
+ 在路由表中引用前缀列表时,路由优先级规则适用。有关更多信息,请参阅 [前缀列表的路由优先级](route-tables-priority.md#route-priority-managed-prefix-list)。
+ 可修改前缀列表。您添加或删除条目时,我们会创建新版本的前缀列表。引用前缀的资源始终使用当前(最新)版本。您可以从前缀列表的以前版本还原条目,这同样会创建新版本。
+ 存在与前缀列表相关的配额。有关更多信息,请参阅 [客户管理的前缀列表](amazon-vpc-limits.md#vpc-quotas-managed-prefix-lists)。
+ 客户托管式前缀列表可在所有商业 [AWS 区域](https://aws.amazon.com//about-aws/global-infrastructure/regions_az/)中使用,包括 GovCloud(美国)和中国区域。
**AWS托管前缀列表**
以下规则适用于AWS托管的前缀列表:
+ 您无法创建、修改、共享或删除AWS托管的前缀列表。
+ 不同的 AWS 托管前缀列表在使用时具有不同的权重。有关更多信息,请参阅 [AWS 托管前缀列表权重](working-with-aws-managed-prefix-lists.md#aws-managed-prefix-list-weights)。
+ 您无法查看AWS托管的前缀列表的版本号。
## 适用于前缀列表的 Identity and Access Management
默认情况下,用户无权创建、查看、修改或删除前缀列表。您可以创建一个 IAM 策略并附加一个允许用户使用前缀列表的角色。
要查看 Amazon VPC 操作以及您可以在 IAM 策略中使用的资源和条件键的列表,请参阅《*服务授权参考*》中的 [Actions, resources, and condition keys for Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html)。
以下示例策略仅允许用户查看和使用前缀列表 `pl-123456abcde123456`。用户无法创建或删除前缀列表。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:GetManagedPrefixListAssociations",
"ec2:GetManagedPrefixListEntries",
"ec2:ModifyManagedPrefixList",
"ec2:RestoreManagedPrefixListVersion"
],
"Resource": "arn:aws:ec2:us-east-1:123456789012:prefix-list/pl-123456abcde123456"
},
{
"Effect": "Allow",
"Action": "ec2:DescribeManagedPrefixLists",
"Resource": "*"
}
]
}
```
------
有关在 Amazon VPC 中使用 IAM 的更多信息,请参阅[适用于 Amazon VPC 的 Identity and Access Management](security-iam.md)。
# 客户管理的前缀列表
您可以借助客户管理的前缀列表在 AWS 中定义并维护一组自己的 IP 地址范围(称为前缀)。您可以创建集中式前缀列表在需要时加以引用,不必将这些 IP 地址硬编码到各种资源中。这不仅简化了 IP 地址的管理,还提高了整个 AWS 环境的一致性和可重用性。
客户管理的前缀列表的一个突出功能是能够与其他 AWS 账户共享列表。通过授予对前缀列表的访问权限,您可以让其他团队或组织在他们自己的资源中利用您定义的 IP 地址范围。这种协作方法可营造更富凝聚力、更高效,能够共享和同步 IP 地址管理的云体验。
在接下来的各节中,我们将从实践层面更深入地探讨客户管理的前缀列表的使用,包括有关创建、管理和共享 IP 地址范围的分步指导。
**注意**
您可以使用 Amazon VPC IPAM 自动管理前缀列表,以根据您定义的规则自动同步 CIDR。这样就无需在基础设施发生变化时进行手动更新。有关更多信息,请参阅《Amazon VPC IPAM 用户指南》**中的[使用 IPAM 自动更新前缀列表](https://docs.aws.amazon.com/vpc/latest/ipam/automate-prefix-list-updates.html)。
**Topics**
+ [使用客户管理的前缀列表](work-with-cust-managed-prefix-lists.md)
# 使用客户管理的前缀列表
本节旨在介绍如何使用客户管理的前缀列表。
**Topics**
+ [创建前缀列表](#create-managed-prefix-list)
+ [查看前缀列表](#view-managed-prefix-lists)
+ [查看前缀列表的条目](#view-managed-prefix-list-entries)
+ [查看前缀列表的关联(引用)](#view-managed-prefix-list-associations)
+ [修改前缀列表](#modify-managed-prefix-list)
+ [调整前缀列表的大小](#resize-managed-prefix-list)
+ [还原前缀列表的以前版本](#restore-managed-prefix-list)
+ [删除前缀列表](#delete-managed-prefix-list)
+ [共享客户管理的前缀列表](sharing-managed-prefix-lists.md)
## 创建前缀列表
创建前缀列表时,必须指定前缀列表可支持的最大条目数。
**限制**
如果规则数加上前缀列表的最大条目数超过账户每个安全组的规则配额,则无法向安全组规则添加前缀列表。
**使用控制台创建前缀列表**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择**托管前缀列表**。
1. 选择**创建前缀列表**。
1. 对于**前缀列表名称**,输入前缀列表的名称。
1. 对于**最大条目数**,输入前缀列表的最大条目数。
1. 对于**地址系列**,选择前缀列表是支持 IPv4 条目还是 IPv6 条目。
1. 对于**前缀列表条目**,选择**添加新条目**,然后输入 CIDR 块和条目的描述。对每个条目重复此步骤。
1. (可选)对于**标签**,将标签添加到前缀列表,以帮助您以后识别它。
1. 选择**创建前缀列表**。
**使用 AWS CLI 创建前缀列表**
使用 [create-managed-prefix-list](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-managed-prefix-list.html) 命令。
## 查看前缀列表
您可以查看您的前缀列表、与您共享的前缀列表以及AWS托管的前缀列表。
**使用控制台查看前缀列表**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择**托管前缀列表**。
1. **拥有者 ID** 列显示前缀列表拥有者的 AWS 账户 ID。对于AWS托管前缀列表,**Owner ID (拥有者 ID)** 是**AWS**。
**使用 AWS CLI 查看前缀列表**
使用 [describe-managed-prefix-lists](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-managed-prefix-lists.html) 命令。
## 查看前缀列表的条目
您可以查看您的前缀列表的条目、与您共享的前缀列表以及AWS托管的前缀列表。
**使用控制台查看前缀列表的条目**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择**托管前缀列表**。
1. 选中与所需前缀列表对应的复选框。
1. 在下部窗格中,选择**条目**以查看前缀列表的条目。
**使用 AWS CLI 查看前缀列表的条目**
使用 [get-managed-prefix-list-entries](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-managed-prefix-list-entries.html) 命令。
## 查看前缀列表的关联(引用)
您可以查看与前缀列表关联的资源的 ID 和拥有者。关联的资源是指在其条目或规则中引用前缀列表的资源。
**限制**
您无法查看AWS托管的前缀列表的关联资源。
**使用控制台查看前缀列表关联**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择**托管前缀列表**。
1. 选中与所需前缀列表对应的复选框。
1. 在下部窗格中,选择**关联**以查看引用前缀列表的资源。
**使用 AWS CLI 查看前缀列表关联**
使用 [get-managed-prefix-list-associations](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-managed-prefix-list-associations.html) 命令。
## 修改前缀列表
您可以修改前缀列表的名称,也可以添加或删除条目。要修改最大条目数,请参阅 [调整前缀列表的大小](#resize-managed-prefix-list)。
若更新前缀列表条目,系统会为前缀列表创建新版本。若更新前缀列表条目名称或条目上限,系统不会为前缀列表创建新版本。
**注意事项**
+ 您不能修改AWS托管的前缀列表。
+ 若增加前缀列表条目上限,增量会应用到引用此前缀列表的资源条目配额。若其中有任何资源不支持此上限增加,修改操作会失败,且并上限会恢复到之前大小。
**使用控制台修改前缀列表**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择**托管前缀列表**。
1. 选中前缀列表的复选框,然后依次选择 **Actions (操作)**、**Modify prefix list (修改前缀列表)**。
1. 对于**前缀列表名称**,输入前缀列表的新名称。
1. 如果已将托管前缀列表配置为 IPAM 前缀列表解析器目标,则会看到 **IPAM 前缀列表解析器同步**选项。
选择启用还是禁用与 IPAM 前缀列表解析器的同步。启用后,前缀列表 CIDR 将根据关联的解析器的 CIDR 选择规则自动更新。禁用后,前缀列表 CIDR 将不会自动更新。有关此功能的更多信息,请参阅《Amazon VPC IPAM 用户指南》**中的[使用 IPAM 自动更新前缀列表](https://docs.aws.amazon.com/vpc/latest/ipam/automate-prefix-list-updates.html)。
1. 对于**前缀列表条目**,选择**删除**以删除现有条目。要添加新条目,请选择**添加新条目**,然后输入 CIDR 块和条目的描述。
1. 选择**保存前缀列表**。
**使用 AWS CLI 修改前缀列表**
使用 [modify-managed-prefix-list](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-managed-prefix-list.html) 命令。
## 调整前缀列表的大小
您可以调整前缀列表的大小,并可以将前缀列表的最大条目数修改为 1000。有关客户托管的前缀列表配额的更多信息,请参阅 [客户管理的前缀列表](amazon-vpc-limits.md#vpc-quotas-managed-prefix-lists)。
**使用控制台调整前缀列表的大小**
1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。
1. 在导航窗格中,选择**托管前缀列表**。
1. 选中前缀列表的复选框,然后依次选择 **Actions**(操作)、**Resize prefix list**(调整前缀列表的大小)。
1. 对于 **New max entries**(新的最大条目数),请输入一个值。
1. 选择 **Resize(调整大小)**。
**使用 AWS CLI 调整前缀列表的大小**
使用 [modify-managed-prefix-list](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-managed-prefix-list.html) 命令。
## 还原前缀列表的以前版本
您可以将条目从前缀列表的以前版本还原。这将创建前缀列表的一个新版本。
若减小前缀列表,必须确保前缀列表足以包含旧版本条目。
**使用控制台还原前缀列表的以前版本**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择**托管前缀列表**。
1. 选中前缀列表的复选框,然后依次选择 **Actions (操作)**、**Restore prefix list (还原前缀列表)**。
1. 为 **Select prefix list version (选择前缀列表版本)** 选择旧版本。所选版本条目会在 **Prefix list entries (前缀列表条目)** 内显示。
1. 选择**还原前缀列表**。
**使用 AWS CLI 还原前缀列表的以前版本**
使用 [restore-managed-prefix-list-version](https://docs.aws.amazon.com/cli/latest/reference/ec2/restore-managed-prefix-list-version.html) 命令。
## 删除前缀列表
要删除前缀列表,必须首先删除在资源中(例如在路由表中)对该列表的所有引用。如果您已使用 AWS RAM 共享前缀列表,则必须首先删除使用者拥有的资源中的所有引用。
**限制**
您不能删除AWS托管的前缀列表。
**使用控制台删除前缀列表**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择**托管前缀列表**。
1. 选择前缀列表,然后依次选择**操作**、**删除前缀列表**。
1. 在确认对话框中,输入 `delete`,然后选择**删除**。
**使用 AWS CLI 删除前缀列表**
使用 [delete-managed-prefix-list](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-managed-prefix-list.html) 命令。
# 共享客户管理的前缀列表
借助 AWS Resource Access Manager(AWS RAM),客户托管前缀列表的拥有者可以与以下对象共享前缀列表:
+ AWS Organizations 中的拥有者企业内部或外部的特定 AWS 账户
+ 中的所有者企业内部的企业单位AWS Organizations
+ AWS Organizations 中的整个所织
已与之共享前缀列表的使用者可以查看前缀列表及其条目,也可以在其AWS资源中引用前缀列表。
有关 AWS RAM 的更多信息,请参阅 [AWS RAM 用户指南](https://docs.aws.amazon.com/ram/latest/userguide/)。有关配额的更多信息,请参阅《AWS RAM User Guide》中的 [Service quotas](https://docs.aws.amazon.com/general/latest/gr/ram.html#limits_ram)。
**重要**
共享前缀列表不会产生额外的费用。
**Topics**
+ [共享前缀列表权限](sharing-perms.md)
+ [使用共享前缀列表](work-with-shared-prefixes.md)
# 共享前缀列表权限
**拥有者的权限**
拥有者负责管理共享前缀列表及其条目。拥有者可以查看引用前缀列表的AWS资源的 ID。但是,他们不能在使用者拥有的AWS资源中添加或删除对前缀列表的引用。
如果在使用者拥有的资源中引用了前缀列表,则拥有者不能删除该前缀列表。
**使用者的权限**
使用者可以查看共享前缀列表中的条目,也可以在其AWS资源中引用共享前缀列表。但是,使用者无法修改、还原或删除共享前缀列表。
# 使用共享前缀列表
AWS 前缀列表提供了一种便捷的方式来管理和引用各种 AWS 服务使用的 IP 地址范围。除了 AWS 托管前缀列表,您还可以创建自己的客户管理的前缀列表并与其他 AWS 账户共享。
共享前缀列表对于具有复杂联网要求的组织或需要在多个 AWS 工作负载之间协调 IP 地址使用的组织特别有用。通过共享前缀列表,您可以确保一致的 IP 地址管理,简化协作者的联网配置。
本节旨在介绍如何共享前缀列表,以及如何识别和使用已与自己账户共享的前缀列表。
**Topics**
+ [共享前缀列表](#sharing-share)
+ [将共享前缀列表取消共享](#sharing-unshare)
+ [识别共享前缀列表](#sharing-identify)
+ [识别对共享前缀列表的引用](#sharing-identify-references)
## 共享前缀列表
要共享前缀列表,您必须将它添加到资源共享。如果您没有资源共享,则必须首先使用 [AWS RAM 控制台](https://console.aws.amazon.com/ram)创建一个。
如果您是 AWS Organizations 中某企业的一部分并且已在您的企业中启用共享,企业中的使用者将自动获得对共享前缀列表的访问权限。否则,使用者将会收到加入资源共享的邀请,并在接受邀请后获得对共享前缀列表的访问权限。
您可以使用 AWS RAM 控制台或 AWS CLI 创建资源共享并共享您拥有的前缀列表。
**重要**
要共享前缀列表,您必须拥有它。您无法共享已与您共享的前缀列表。您不能共享AWS托管的前缀列表。
要与您的企业或 AWS Organizations 内的企业部门共享前缀列表,您必须允许与 AWS Organizations 共享。有关更多信息,请参阅《*AWS RAM 用户指南*》中的[允许与 AWS Organizations 共享](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)。
**使用 AWS RAM 控制台创建资源共享并共享前缀列表**
按照 *AWS RAM 用户指南*中[创建资源共享](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create)的步骤操作。对于**选择资源类型**,选择**前缀列表**,然后选中您的前缀列表的复选框。
**使用 AWS RAM 控制台将前缀列表添加到现有资源共享**
要将您拥有的托管前缀添加到现有资源共享,请按照 *AWS RAM 用户指南*中[更新资源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update)的步骤操作。对于**选择资源类型**,选择**前缀列表**,然后选中您的前缀列表的复选框。
**使用 AWS CLI 共享您拥有的前缀列表**
使用以下命令创建和更新资源共享:
+ [create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html)
+ [associate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/associate-resource-share.html)
+ [update-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/update-resource-share.html)
## 将共享前缀列表取消共享
取消共享前缀列表后,使用者不再可以在其账户中查看前缀列表或条目,也无法在其资源中引用前缀列表。如果已在使用者的资源中引用前缀列表,则这些引用将继续正常运行,并且您可以继续[查看这些引用](#sharing-identify-references)。如果将前缀列表更新为新版本,则引用将使用最新版本。
要取消共享您拥有的已共享前缀列表,必须使用 AWS RAM 从资源共享中将其删除。
**使用 AWS RAM 控制台取消共享您拥有的共享前缀列表**
请参阅 *AWS RAM 用户指南*中的[更新资源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update)。
**使用 AWS CLI 取消共享您拥有的共享前缀列表**
使用 [disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html) 命令。
## 识别共享前缀列表
拥有者和使用者可以使用 Amazon VPC 控制台和 AWS CLI 识别共享前缀列表。
**使用 Amazon VPC 控制台识别共享前缀列表**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择**托管前缀列表**。
1. 此页面显示您拥有的前缀列表以及与您共享的前缀列表。**拥有者 ID** 列显示前缀列表拥有者的 AWS 账户 ID。
1. 要查看前缀列表的资源共享信息,请选择该前缀列表,然后选择下部窗格中的**共享**。
**使用 AWS CLI 识别共享的前缀列表**
使用 [describe-managed-prefix-lists](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-managed-prefix-lists.html) 命令。该命令返回您拥有的前缀列表以及与您共享的前缀列表。`OwnerId` 显示前缀列表拥有者的 AWS 账户 ID。
## 识别对共享前缀列表的引用
所有者可以识别使用者拥有的引用共享前缀列表的资源。
**使用 Amazon VPC 控制台识别对共享前缀列表的引用**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择**托管前缀列表**。
1. 选择前缀列表,然后选择下部窗格中的**关联**。
1. 引用前缀列表的资源的 ID 列在**资源 ID** 列中。资源的拥有者列在**资源拥有者**列中。
**使用 AWS CLI 识别对共享前缀列表的引用**
使用 [get-managed-prefix-list-associations](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-managed-prefix-list-associations.html) 命令。
# AWS托管前缀列表
AWS 托管前缀列表是 AWS 服务的 IP 地址范围集。这些前缀列表由亚马逊云科技维护,提供了引用各种 AWS 服务所用 IP 地址的方法。在 VPC 中配置安全组或其他网络级控制时,此功能可能特别有用。
前缀列表适用于广泛的 AWS 服务,包括 S3 和 DynamoDB。通过使用托管前缀列表,您可以确保自己的网络配置处于最新状态,并且可以正确考虑自己依赖的 AWS 服务所使用的 IP 地址。这有助于简化联网任务,减少手动维护 IP 地址列表的管理开销。
除了实际优势外,使用托管前缀列表还符合 AWS 安全最佳实践。依靠 AWS 提供的权威 IP 地址信息,您可以最大限度地降低配置错误或意外连接问题的风险。这对于具有严格合规性要求的任务关键型应用程序或工作负载尤其重要。
**Topics**
+ [可用的 AWS 托管前缀列表](#available-aws-managed-prefix-lists)
+ [AWS 托管前缀列表权重](#aws-managed-prefix-list-weights)
+ [使用 AWS 托管前缀列表](#use-aws-managed-prefix-list)
## 可用的 AWS 托管前缀列表
以下服务提供 AWS 托管前缀列表。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html)
**使用控制台查看 AWS 托管前缀列表**
1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。
1. 在导航窗格中,选择**托管前缀列表**。
1. 在搜索字段中,添加**拥有者 ID:AWS** 筛选条件。
**使用 AWS CLI 查看 AWS 托管前缀列表**
使用 [describe-managed-prefix-lists](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-managed-prefix-lists.html) 命令,如下所示。
```
aws ec2 describe-managed-prefix-lists --filters Name=owner-id,Values=AWS
```
## AWS 托管前缀列表权重
AWS 托管前缀列表权重是指前缀列表将在资源中占用的条目数。
例如,Amazon CloudFront 托管前缀列表的权重为 55。以下是将对 Amazon VPC 配额产生的影响:
+ 在**安全组**中,[默认配额](amazon-vpc-limits.md#vpc-limits-security-groups)为 60 条规则,在一个安全组中仅保留 5 条额外规则的空间。对于此配额,您可以[请求增加配额](https://console.aws.amazon.com/servicequotas/home/services/vpc/quotas/L-0EA8095F)。
+ 在**路由表**中,[默认配额](amazon-vpc-limits.md#vpc-limits-route-tables)为 50 个路由,因此您必须[请求增加配额](https://console.aws.amazon.com/servicequotas/home/services/vpc/quotas/L-93826ACB)才能将前缀列表添加到路由表。
## 使用 AWS 托管前缀列表
AWS 托管前缀列表由 AWS 创建和维护,并且可供任何拥有 AWS 账户的人员使用。您无法创建、修改、共享或删除AWS托管的前缀列表。
与客户管理的前缀列表一样,您可以将 AWS 托管前缀列表与安全组和路由表等 AWS 资源结合使用。有关更多信息,请参阅 [使用前缀列表优化 AWS 基础设施管理](managed-prefix-lists-referencing.md)。
# 使用前缀列表优化 AWS 基础设施管理
您可以在以下AWS资源中引用前缀列表。
**Topics**
+ [VPC 安全组](#prefix-list-vpc-security-group)
+ [子网路由表](#prefix-list-subnet-route-table)
+ [中转网关路由表](#prefix-list-tgw-route-table)
+ [AWS Network Firewall 规则组](#prefix-list-nfw-rule-groups)
+ [Amazon Managed Grafana 网络访问控制](#prefix-list-grafana)
+ [AWS Outposts 机架本地网关](#prefix-list-outpost-racks-lgw)
## VPC 安全组
您可以将前缀列表指定为入站规则的源或出站规则的目的地。有关更多信息,请参阅 [安全组](vpc-security-groups.md)。
**重要**
您无法修改现有规则来使用前缀列表。而须创建新规则才能使用前缀列表。
**使用控制台在安全组规则中引用前缀列表**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Security Groups**。
1. 选择需要更新的安全组。
1. 依次选择 **Actions (操作)**、**Edit inbound rules (编辑入站规则)**,或 **Actions (操作)**、**Edit outbound rules (编辑出站规则)**。
1. 选择 **Add rule**。对于**类型**,选择流量类型。对于**源**(入站规则)或**目的地**(出站规则),选择“自定义”****。然后,在“前缀列表”****下的下一个字段中,选择前缀列表的 ID。
1. 选择 **Save rules (保存规则)**。
**使用 AWS CLI 在安全组规则中引用前缀列表**
使用 [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) 和 [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html) 命令。对于 `--ip-permissions` 参数,请使用 `PrefixListIds` 指定前缀列表的 ID。
## 子网路由表
您可以将前缀列表指定为路由表条目的目的地。不能在网关路由表中引用前缀列表。有关路由表的更多信息,请参见[配置路由表](VPC_Route_Tables.md)。
**使用控制台在路由表中引用前缀列表**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择**路由表**,然后选择路由表。
1. 依次选择 **Actions (操作)**、**Edit routes (编辑路由)**。
1. 要添加路由,请选择**添加路由**。
1. 对于**目的地**,输入前缀列表的 ID。
1. 对于**目标**,请选择一个目标。
1. 选择**保存更改**。
**使用 AWS CLI 在路由表中引用前缀列表**
使用 [create-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-route.html) (AWS CLI) 命令。使用 `--destination-prefix-list-id` 参数指定前缀列表的 ID。
## 中转网关路由表
您可以将前缀列表指定为路由目的地。有关更多信息,请参阅 *Amazon VPC 中转网关* 中的[前缀列表参考](https://docs.aws.amazon.com/vpc/latest/tgw/create-prefix-list-reference.html)。
## AWS Network Firewall 规则组
AWS Network Firewall 规则组是检查和处理网络流量的一组可重复使用的标准。如果您在 AWS Network Firewall 中创建与 Suricata 兼容的有状态规则组,则可以引用规则组中的前缀列表。有关更多信息,请参阅 *AWS Network Firewall 开发人员指南*中的[引用 Amazon VPC 前缀列表](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups-ip-set-references.html#rule-groups-referencing-prefix-lists)和[创建有状态规则组](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-group-stateful-creating.html)。
## Amazon Managed Grafana 网络访问控制
对于向 Amazon Managed Grafana 工作区发出的请求,您可以指定一个或多个前缀列表作为入站规则。有关 Grafana 工作区网络访问控制的更多信息(包括如何引用前缀列表),请参阅《Amazon Managed Grafana 用户指南**》中的[管理网络访问](https://docs.aws.amazon.com/grafana/latest/userguide/AMG-configure-nac.html)。
## AWS Outposts 机架本地网关
每个 AWS Outposts 机架都提供一个本地网关,允许您将 Outpost 资源与本地网络连接起来。您可以将经常使用的 CIDR 分组到前缀列表中,并引用该列表作为本地网关路由表中的路由目标。有关更多信息,请参阅《AWS Outposts 机架用户指南》**中的[管理本地网关路由表路由](https://docs.aws.amazon.com/outposts/latest/userguide/routing.html#manage-lgw-routes)。
# AWS IP 地址范围
AWS 以 JSON 格式发布其当前的 IP 地址范围。利用这些信息,您可以识别来自 AWS 的流量。这些信息也可用于允许或拒绝发往或来自某些 AWS 服务 的流量。
**注意事项**
+ 我们会发布客户通常用于执行出口筛选的服务的 IP 地址范围。我们不会公布所有服务的 IP 地址范围。
+ 服务可以使用其 IP 地址范围与其他服务通信,也可以使用这些 IP 范围与客户网络通信。
+ 通过自带 IP 地址(BYOIP)引入到 AWS 的 IP 地址范围不包含在 `.json` 文件内。有关更多信息,请参阅《Amazon EC2 用户指南》**中的[通过 AWS 公告地址范围](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/byoip-onboard.html#byoip-advertise)。
某些服务使用 AWS 托管式前缀列表发布其地址范围。有关更多信息,请参阅 [可用的 AWS 托管前缀列表](working-with-aws-managed-prefix-lists.md#available-aws-managed-prefix-lists)。
**Topics**
+ [下载](#aws-ip-download)
+ [出口控制](#aws-ip-egress-control)
+ [地理位置源](#aws-ip-geo-ip-feed)
+ [查找地址范围](aws-ip-work-with.md)
+ [语法](aws-ip-syntax.md)
+ [订阅 通知](subscribe-notifications.md)
## 下载 JSON 文件
要查看当前的地址范围,请下载 [ip-ranges.json](https://ip-ranges.amazonaws.com/ip-ranges.json)。要维护历史记录,请将连续版本的 JSON 文件保存在自己的计算机上。要确定自上次保存文件以来是否发生更改,请检查当前文件中的发布时间,并将其与上次保存文件中的发布时间进行比较。
以下是将 JSON 文件保存到当前目录的 **curl** 命令示例。
```
curl -O https://ip-ranges.amazonaws.com/ip-ranges.json
```
如果您以编程方式访问此文件,您有责任确保仅在成功验证服务器提供的 TLS 证书之后,应用程序才能下载文件。
要接收 JSON 文件更新通知,请参阅[AWS IP 地址范围通知](subscribe-notifications.md)。
## 出口控制
要允许使用一项 AWS 服务创建的资源仅访问其他 AWS 服务,可以使用 ip-ranges.json 文件中的 IP 地址范围信息来执行出口筛选。确保安全组规则允许出站流量流向 AMAZON 列表中的 CIDR 块。[安全组存在限额](amazon-vpc-limits.md#vpc-limits-security-groups)。根据每个区域中 IP 地址范围的数量,每个区域可能需要使用多个安全组。
**注意**
有些 AWS 服务基于 EC2 构建并使用 EC2 IP 地址空间。如果您屏蔽流向 EC2 IP 地址空间的流量,则也将阻止这些非 EC2 服务的流量。
## 地理位置源
`ip-ranges.json` 的 IP 地址范围按照 AWS 区域。但是,本地区域与其父区域不在同个物理位置。[geo-ip-feed.csv](https://ip-ranges.amazonaws.com/geo-ip-feed.csv) 中发布的地理位置数据考虑了本地区域。数据遵循 [RFC 8805](https://datatracker.ietf.org/doc/html/rfc8805)。
# 查找 AWS 服务 的 IP 地址范围
AWS 提供的 AWS IP 地址范围 JSON 文件可以作为查找各种 AWS 服务的 IP 地址并利用该信息增强网络安全和访问控制的宝贵资源。通过解析该 JSON 文件中包含的详细数据,即可精确识别与特定 AWS 服务 和区域关联的 IP 地址范围。
例如,您可以利用 IP 地址范围来配置强大的网络安全策略,设置精细的防火墙规则以允许或拒绝对某些 AWS 资源的访问。此信息也适用于各种 AWS Network Firewall 任务。这种控制级别对保护应用程序和数据至关重要,可确保只有经过授权的流量才能到达必要的 AWS 服务。此外,拥有这种 IP 情报有助于正确配置应用程序以与正确的 AWS 端点通信,从而提高整体可靠性和性能。
除了防火墙规则,还可以利用 `ip-ranges.json` 文件在网络基础设施上配置复杂的出口筛选。通过了解不同 AWS 服务 的目标 IP 地址范围,您可以设置路由策略或利用类似的高级网络安全解决方案,从而根据预期目标有选择地允许或阻止出站流量。这种出口控制对于降低数据泄露和未经授权访问的风险至关重要。
值得注意的是,`ip-ranges.json` 文件会定期更新,因此维护最新的本地副本对于确保您获得最准确且最新的信息至关重要。通过持续利用此文件的内容,您可以有效地管理基于 AWS 的应用程序的网络访问和安全性,从而增强您的整体云安全状况。
以下示例有助于筛选 AWS IP 地址范围,以便找出符合需求的 IP 地址。在 Linux 上,您可以下载并使用 [jq 工具](https://stedolan.github.io/jq/)来解析 JSON 文件的本地副本。[AWS Tools for Windows PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/) 包含的 cmdlet(即 [Get-AWSPublicIpAddressRange](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-AWSPublicIpAddressRange.html))可用于解析该 JSON 文件。有关更多信息,请参阅以下博客文章:《[Querying the Public IP Address Ranges for AWS](https://aws.amazon.com/blogs/developer/querying-the-public-ip-address-ranges-for-aws/)》。
要获取 JSON 文件,请参阅[下载 JSON 文件](aws-ip-ranges.md#aws-ip-download)。有关 JSON 文件语法的更多信息,请参阅 [AWS IP 地址范围 JSON 的语法](aws-ip-syntax.md)。
**Topics**
+ [获取文件创建日期](#filter-ip-ranges-creation-date)
+ [获取指定区域的 IP 地址](#filter-ip-ranges-region)
+ [获取所有 IPv4 地址](#filter-ip-ranges-ipv4)
+ [获取特定服务的所有 IPv4 地址](#filter-ip-ranges-ipv4-service)
+ [获取特定区域中的特定服务的所有 IPv4 地址](#filter-ip-ranges-ipv4-service-region)
+ [获取所有 IPv6 地址](#filter-ip-ranges-ipv6)
+ [获取特定服务的所有 IPv6 地址](#filter-ip-ranges-ipv6-service)
+ [获取指定边界组的所有 IP 地址](#filter-ip-ranges-border-group)
## 获取文件创建日期
下面的示例获取了 `ip-ranges.json` 的创建日期。
------
#### [ jq ]
```
$ jq .createDate < ip-ranges.json
"2024-08-01-17-22-15"
```
------
#### [ PowerShell ]
```
PS C:\> Get-AWSPublicIpAddressRange -OutputPublicationDate
Thursday, August 1, 2024 9:22:35 PM
```
------
## 获取指定区域的 IP 地址
以下示例筛选了 JSON 文件中指定区域的 IP 地址。
------
#### [ jq ]
```
$ jq '.prefixes[] | select(.region=="us-east-1")' < ip-ranges.json
{
"ip_prefix": "23.20.0.0/14",
"region": "us-east-1",
"network_border_group": "us-east-1",
"service": "AMAZON"
},
{
"ip_prefix": "50.16.0.0/15",
"region": "us-east-1",
"network_border_group": "us-east-1",
"service": "AMAZON"
},
{
"ip_prefix": "50.19.0.0/16",
"region": "us-east-1",
"network_border_group": "us-east-1",
"service": "AMAZON"
},
...
```
------
#### [ PowerShell ]
```
PS C:\> Get-AWSPublicIpAddressRange -Region us-east-1
IpPrefix Region NetworkBorderGroup Service
-------- ------ ------- -------
23.20.0.0/14 us-east-1 us-east-1 AMAZON
50.16.0.0/15 us-east-1 us-east-1 AMAZON
50.19.0.0/16 us-east-1 us-east-1 AMAZON
...
```
------
## 获取所有 IPv4 地址
以下示例筛选了 JSON 文件中的 IPv4 地址。
------
#### [ jq ]
```
$ jq -r '.prefixes | .[].ip_prefix' < ip-ranges.json
23.20.0.0/14
27.0.0.0/22
43.250.192.0/24
...
```
------
#### [ PowerShell ]
```
PS C:\> Get-AWSPublicIpAddressRange | where {$_.IpAddressFormat -eq "Ipv4"} | select IpPrefix
IpPrefix
--------
23.20.0.0/14
27.0.0.0/22
43.250.192.0/24
...
```
------
## 获取特定服务的所有 IPv4 地址
以下示例筛选了 JSON 文件中指定服务的 IPv4 地址。
------
#### [ jq ]
```
$ jq -r '.prefixes[] | select(.service=="GLOBALACCELERATOR") | .ip_prefix' < ip-ranges.json
13.248.117.0/24
15.197.34.0/23
15.197.36.0/22
...
```
------
#### [ PowerShell ]
```
PS C:\> Get-AWSPublicIpAddressRange -ServiceKey GLOBALACCELERATOR | where {$_.IpAddressFormat -eq "Ipv4"} | select IpPrefix
IpPrefix
--------
13.248.117.0/24
15.197.34.0/23
15.197.36.0/22
...
```
------
## 获取特定区域中的特定服务的所有 IPv4 地址
以下示例筛选了 JSON 文件中指定区域内指定服务的 IPv4 地址。
------
#### [ jq ]
```
$ jq -r '.prefixes[] | select(.region=="us-east-1") | select(.service=="GLOBALACCELERATOR") | .ip_prefix' < ip-ranges.json
13.248.124.0/24
99.82.166.0/24
99.82.171.0/24
...
```
------
#### [ PowerShell ]
```
PS C:\> Get-AWSPublicIpAddressRange -Region us-east-1 -ServiceKey GLOBALACCELERATOR | where {$_.IpAddressFormat -eq "Ipv4"} | select IpPrefix
IpPrefix
--------
13.248.117.0/24
99.82.166.0/24
99.82.171.0/24
...
```
------
## 获取所有 IPv6 地址
以下示例筛选了 JSON 文件中的 IPv6 地址。
------
#### [ jq ]
```
$ jq -r '.ipv6_prefixes | .[].ipv6_prefix' < ip-ranges.json
2a05:d07c:2000::/40
2a05:d000:8000::/40
2406:dafe:2000::/40
...
```
------
#### [ PowerShell ]
```
PS C:\> Get-AWSPublicIpAddressRange | where {$_.IpAddressFormat -eq "Ipv6"} | select IpPrefix
IpPrefix
--------
2a05:d07c:2000::/40
2a05:d000:8000::/40
2406:dafe:2000::/40
...
```
------
## 获取特定服务的所有 IPv6 地址
以下示例筛选了 JSON 文件中指定服务的 IPv6 地址。
------
#### [ jq ]
```
$ jq -r '.ipv6_prefixes[] | select(.service=="GLOBALACCELERATOR") | .ipv6_prefix' < ip-ranges.json
2600:1f01:4874::/47
2600:1f01:4802::/47
2600:1f01:4860::/47
2600:9000:a800::/40
...
```
------
#### [ PowerShell ]
```
PS C:\> Get-AWSPublicIpAddressRange -ServiceKey GLOBALACCELERATOR | where {$_.IpAddressFormat -eq "Ipv6"} | select IpPrefix
IpPrefix
--------
2600:1f01:4874::/47
2600:1f01:4802::/47
2600:1f01:4860::/47
2600:9000:a800::/40
...
```
------
## 获取指定边界组的所有 IP 地址
以下示例筛选了 JSON 文件中指定边界组的所有 IP 地址。
------
#### [ jq ]
```
$ jq -r '.prefixes[] | select(.network_border_group=="us-west-2-lax-1") | .ip_prefix' < ip-ranges.json
70.224.192.0/18
52.95.230.0/24
15.253.0.0/16
...
```
------
#### [ PowerShell ]
```
PS C:\> Get-AWSPublicIpAddressRange | where {$_.NetworkBorderGroup -eq "us-west-2-lax-1"} | select IpPrefix
IpPrefix
--------
70.224.192.0/18
52.95.230.0/24
15.253.0.0/16
...
```
------
# AWS IP 地址范围 JSON 的语法
AWS 以 JSON 格式发布其当前的 IP 地址范围。要获取 JSON 文件,请参阅[下载 JSON 文件](aws-ip-ranges.md#aws-ip-download)。JSON 文件的语法如下。
```
{
"syncToken": "0123456789",
"createDate": "yyyy-mm-dd-hh-mm-ss",
"prefixes": [
{
"ip_prefix": "cidr",
"region": "region",
"network_border_group": "network_border_group",
"service": "subset"
}
],
"ipv6_prefixes": [
{
"ipv6_prefix": "cidr",
"region": "region",
"network_border_group": "network_border_group",
"service": "subset"
}
]
}
```
**syncToken**
采用 Unix 纪元时间格式的发布时间。
类型:字符串
示例:`"syncToken": "1416435608"`
**createDate**
发布日期和时间,采用 UTC YY-MM-DD-hh-mm-ss 格式。
类型:字符串
示例:`"createDate": "2014-11-19-23-29-02"`
**prefixes**
IPv4 地址范围的 IP 前缀。
类型:数组
**ipv6\$1prefixes**
IPv6 地址范围的 IP 前缀。
类型:数组
**ip\$1prefix**
用 CIDR 表示法指定的公有 IPv4 地址范围。请注意,AWS 可在更具体的范围内公布前缀。例如,文件中的前缀 96.127.0.0/17 可公布为 96.127.0.0/21、96.127.8.0/21、96.127.32.0/19 和 96.127.64.0/18。
类型:字符串
示例:`"ip_prefix": "198.51.100.2/24"`
**ipv6\$1prefix**
用 CIDR 表示法指定的公有 IPv6 地址范围。请注意,AWS 可在更具体的范围内公布前缀。
类型:字符串
示例:`"ipv6_prefix": "2001:db8:1234::/64"`
**network\$1border\$1group**
网络边界组的名称,这是 AWS 通告 IP 地址或 `GLOBAL` 的可用区或本地区域的唯一集合。`GLOBAL` 服务流量可以被吸引到或来自 AWS 从中通告 IP 地址的多个(最多全部)可用区或本地区域。
类型:字符串
示例:`"network_border_group": "us-west-2-lax-1"`
**区域**
AWS 区域或 `GLOBAL`。`GLOBAL` 服务流量可以被吸引到或来自多个(最多全部)AWS 区域。
类型:字符串
有效值:`af-south-1` \$1 `ap-east-1` \$1 `ap-east-2` \$1 `ap-northeast-1` \$1 `ap-northeast-2` \$1 `ap-northeast-3` \$1 `ap-south-1` \$1 `ap-south-2` \$1 `ap-southeast-1` \$1 `ap-southeast-2` \$1 `ap-southeast-3` \$1 `ap-southeast-4` \$1 `ap-southeast-5` \$1 `ap-southeast-6` \$1 `ap-southeast-7` \$1 `ca-central-1` \$1 `ca-west-1` \$1 `cn-north-1` \$1 `cn-northwest-1` \$1 `eu-central-1` \$1 `eu-central-2` \$1 `eu-north-1` \$1 `eu-south-1` \$1 `eu-south-2` \$1 `eu-west-1` \$1 `eu-west-2` \$1 `eu-west-3` \$1 `il-central-1` \$1 `mx-central-1` \$1 `me-central-1` \$1 `me-south-1` \$1 `sa-east-1` \$1 `us-east-1` \$1 `us-east-2` \$1 `us-gov-east-1` \$1 `us-gov-west-1` \$1 `us-west-1` \$1 `us-west-2` \$1 `GLOBAL`
示例:`"region": "us-east-1"`
**service**
IP 地址范围的子集。为 `API_GATEWAY` 列出的地址仅为出口 IP 地址。指定 `AMAZON` 可获得所有 IP 地址范围(这意味着每个子集也在 `AMAZON` 子集中)。但是,某些 IP 地址范围仅在 `AMAZON` 子集中(这意味着它们不会再包含在其他子集中)。
类型:字符串
有效值:`AMAZON` \$1 `AMAZON_APPFLOW` \$1 `AMAZON_CONNECT` \$1 `API_GATEWAY` \$1 `AURORA_DSQL` \$1 `CHIME_MEETINGS` \$1 `CHIME_VOICECONNECTOR` \$1 `CLOUD9` \$1 `CLOUDFRONT` \$1 `CLOUDFRONT_ORIGIN_FACING` \$1 `CODEBUILD` \$1 `DYNAMODB` \$1 `EBS` \$1 `EC2` \$1 `EC2_INSTANCE_CONNECT` \$1 `GLOBALACCELERATOR` \$1 `IVS_LOW_LATENCY` \$1 `IVS_REALTIME` \$1 `KINESIS_VIDEO_STREAMS` \$1 `MEDIA_PACKAGE_V2` \$1 `ROUTE53` \$1 `ROUTE53_HEALTHCHECKS` \$1 `ROUTE53_HEALTHCHECKS_PUBLISHING` \$1 `ROUTE53_RESOLVER` \$1 `S3` \$1 `WORKSPACES_GATEWAYS`
示例:`"service": "AMAZON"`
## 范围重叠
任何服务代码返回的 IP 地址范围也由 `AMAZON` 服务代码返回。例如,由 `S3` 服务代码返回的所有 IP 地址范围也由 `AMAZON` 服务代码返回。
当服务 A 使用来自服务 B 的资源时,存在由服务 A 和服务 B 的服务代码返回的 IP 地址范围。然而,这些 IP 地址范围仅由服务 A 使用,而不能由服务 B 使用。例如,AmazonS3 使用来自 AmazonEC2 的资源,因此存在由 `S3` 和 `EC2` 服务代码返回的 IP 位置范围。但是,这些 IP 地址范围仅由 Amazon S3 使用。因此,`S3` 服务代码会返回 Amazon S3 专门使用的所有 IP 地址范围。要识别 Amazon EC2 专门使用的 IP 地址范围,请查找 `EC2` 服务代码(而不是 `S3` 服务代码)返回的 IP 地址范围。
## 了解更多
本节旨在提供不同服务代码的附加信息链接。
+ `AMAZON_APPFLOW` – [IP 地址范围](https://docs.aws.amazon.com/appflow/latest/userguide/general.html)
+ `AMAZON_CONNECT` – [设置您的网络](https://docs.aws.amazon.com/connect/latest/adminguide/ccp-networking.html)
+ `CHIME_MEETINGS` – [配置媒体和信号](https://docs.aws.amazon.com/chime-sdk/latest/dg/network-config.html#media-signaling)
+ `CLOUDFRONT` – [CloudFront 边缘服务器的位置和 IP 地址范围](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/LocationsOfEdgeServers.html)
+ `DYNAMODB` – [IP 地址范围](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AccessingDynamoDB.html#Using.IPRanges)
+ `EC2` – [公有 IPV4 地址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#concepts-public-addresses)
+ `EC2_INSTANCE_CONNECT` – [EC2 实例连接先决条件](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-connect-prerequisites.html#ec2-instance-connect-setup-security-group)
+ `GLOBALACCELERATOR` – [Global Accelerator 边缘服务器的位置和 IP 地址范围](https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-ip-ranges.html)
+ `ROUTE53` – [Amazon Route 53 服务器的 IP 地址范围](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/route-53-ip-addresses.html)
+ `ROUTE53_HEALTHCHECKS` – [Amazon Route 53 服务器的 IP 地址范围](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/route-53-ip-addresses.html)
+ `ROUTE53_HEALTHCHECKS_PUBLISHING` – [Amazon Route 53 服务器的 IP 地址范围](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/route-53-ip-addresses.html)
+ `WORKSPACES_GATEWAYS`–[PCoIP 网关服务器](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-port-requirements.html#gateway_IP)
## 发行说明
下表介绍了 `ip-ranges.json` 语法的更新。我们还会在推出每个区域时添加新的区域代码。
| 描述 | 发行日期 |
| --- | --- |
| 添加了 IVS\$1LOW\$1LATENCY 服务代码。 | 2025 年 7 月 29 日 |
| 添加了 AURORA\$1DSQL 服务代码。 | 2025 年 5 月 21 日 |
| 添加了 IVS\$1REALTIME 服务代码。 | 2024 年 6 月 11 日 |
| 添加了 MEDIA\$1PACKAGE\$1V2 服务代码。 | 2023 年 5 月 9 日 |
| 添加了 CLOUDFRONT\$1ORIGIN\$1FACING 服务代码。 | 2021 年 10 月 12 日 |
| 添加了 ROUTE53\$1RESOLVER 服务代码。 | 2021 年 6 月 24 日 |
| 添加了 EBS 服务代码。 | 2021 年 5 月 12 日 |
| 添加了 KINESIS\$1VIDEO\$1STREAMS 服务代码。 | 2020 年 11 月 19 日 |
| 添加了 CHIME\$1MEETINGS 和 CHIME\$1VOICECONNECTOR 服务代码。 | 2020 年 6 月 19 日 |
| 添加了 AMAZON\$1APPFLOW 服务代码。 | 2020 年 6 月 9 日 |
| 增加了对网络边界组的支持。 | 2020 年 4 月 7 日 |
| 添加了 WORKSPACES\$1GATEWAYS 服务代码。 | 2020 年 3 月 30 日 |
| 添加了 ROUTE53\$1HEALTHCHECK\$1PUBLISHING 服务代码。 | 2020 年 1 月 30 日 |
| 添加了 API\$1GATEWAY 服务代码。 | 2019 年 9 月 26 日 |
| 添加了 EC2\$1INSTANCE\$1CONNECT 服务代码。 | 2019 年 6 月 26 日 |
| 添加了 DYNAMODB 服务代码。 | 2019 年 4 月 25 日 |
| 添加了 GLOBALACCELERATOR 服务代码。 | 2018 年 12 月 20 日 |
| 添加了 AMAZON\$1CONNECT 服务代码。 | 2018 年 6 月 20 日 |
| 添加了 CLOUD9 服务代码。 | 2018 年 6 月 20 日 |
| 添加了 CODEBUILD 服务代码。 | 2018 年 4 月 19 日 |
| 添加了 S3 服务代码。 | 2017 年 2 月 28 日 |
| 添加了对 IPv6 地址范围的支持。 | 2016 年 8 月 22 日 |
| 初始版本 | 2014 年 11 月 19 日 |
# AWS IP 地址范围通知
AWS 以 JSON 格式发布其当前的 IP 地址范围。只要 AWS IP 地址范围发生更改,我们就会向名为 `AmazonIpSpaceChanged` 的 Amazon SNS 主题的订阅用户发送通知。有关 JSON 文件语法的更多信息,请参阅 [AWS IP 地址范围 JSON 的语法](aws-ip-syntax.md)。
通知的有效负载包含以下格式的信息。
```
{
"create-time":"yyyy-mm-ddThh:mm:ss+00:00",
"synctoken":"0123456789",
"md5":"6a45316e8bc9463c9e926d5d37836d33",
"url":"https://ip-ranges.amazonaws.com/ip-ranges.json"
}
```
**create-time**
创建日期和时间。
通知可能不按顺序传输。因此,我们建议您检查时间戳以确保正确的顺序。
**synctoken**
采用 Unix 纪元时间格式的发布时间。
**md5**
`ip-ranges.json` 文件的加密哈希值。可以使用此值来检查下载的文件是否已损坏。
**url**
`ip-ranges.json` 文件的位置。有关更多信息,请参阅 [下载 JSON 文件](aws-ip-ranges.md#aws-ip-download)。
您可以按如下方式订阅接收通知。
**订阅AWS IP 地址范围通知**
1. 通过以下网址打开 Amazon SNS 控制台:[https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home)。
1. 如果需要,可在导航栏中将区域更改为**美国东部(弗吉尼亚北部)**。您必须选择此区域,因为您订阅的 SNS 通知是在此区域中创建的。
1. 在导航窗格中,选择 **Subscriptions**。
1. 选择 **Create subscription**。
1. 在 **Create subscription** 对话框中,执行以下操作:
1. 对于 **Topic ARN**,复制以下 Amazon Resource Name(ARN):
```
arn:aws:sns:us-east-1:806199016981:AmazonIpSpaceChanged
```
1. 对于 **Protocol**,选择要使用的协议 (例如 `Email`)。
1. 对于**端点**,键入用于接收通知的端点(例如,您的电子邮件地址)。
1. 选择**创建订阅**。
1. 将通过您指定的端点与您联系并要求您确认订阅。例如,如果指定了电子邮件地址,您会收到一封主题行为 `AWS Notification - Subscription Confirmation` 的电子邮件。请按照说明确认订阅。
通知受到端点可用性约束。因此,应定期检查 JSON 文件以确保您在最新范围内。有关 Amazon SNS 可靠性的更多信息,请参阅[https://aws.amazon.com/sns/faqs/#Reliability](https://aws.amazon.com/sns/faqs/#Reliability)。
如果您不希望再收到这些通知,请通过以下步骤取消订阅。
**取消订阅AWS IP 地址范围通知**
1. 通过以下网址打开 Amazon SNS 控制台:[https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home)。
1. 在导航窗格中,选择 **Subscriptions**。
1. 选中订阅对应的复选框。
1. 选择 **Actions** 和 **Delete subscriptions**。
1. 当系统提示进行确认时,选择 **Delete(删除)**。
有关 Amazon SNS 的更多信息,请参阅《[Amazon Simple Notification Service 开发人员指南](https://docs.aws.amazon.com/sns/latest/dg/)》**。
# VPC 的 IPv6 支持
如果您的现有 VPC 仅支持 IPv4 并且您的子网中的资源配置为仅使用 IPv4,则可为您的 VPC 和资源添加 IPv6 支持。您的 VPC 可在双堆栈模式下运行:您的资源可通过 IPv4 和/或 IPv6 进行通信。IPv4 和 IPv6 通信彼此独立。
您不能为 VPC 和子网禁用 IPv4 支持;这是 Amazon VPC 和 Amazon EC2 的默认 IP 寻址系统。
**注意事项**
+ 不能从仅 IPv4 子网迁移到仅 IPv6 子网。
+ 此示例假定您已有一个包含公有和私有子网的 VPC。有关创建新的 VPC 以用于 IPv6 的信息,请参阅 [创建 VPC](create-vpc.md)。
+ 开始使用 IPv6 之前,请确保您已了解 Amazon VPC 的 IPv6 寻址的功能:[比较 IPv4 与 IPv6](ipv4-ipv6-comparison.md)。
**Topics**
+ [为 VPC 添加 IPv6 支持](vpc-migrate-ipv6-add.md)
+ [双堆栈 VPC 配置示例](vpc-migrate-ipv6-example.md)
# 为 VPC 添加 IPv6 支持
下表概述了为您的 VPC 启用 IPv6 的过程。
**Topics**
+ [步骤 1:将 IPv6 CIDR 块与您的 VPC 和子网关联](#vpc-migrate-ipv6-cidr)
+ [步骤 2:更新路由表](#vpc-migrate-ipv6-routes)
+ [步骤 3:更新安全组规则](#vpc-migrate-ipv6-sg-rules)
+ [步骤 4:为实例分配 IPv6 地址](#vpc-migrate-assign-ipv6-address)
| 步骤 | 备注 |
| --- | --- |
| [步骤 1:将 IPv6 CIDR 块与您的 VPC 和子网关联](#vpc-migrate-ipv6-cidr) | 将 Amazon 提供的或 BYOIP IPv6 CIDR 块与您的 VPC 和子网关联。 |
| [步骤 2:更新路由表](#vpc-migrate-ipv6-routes) | 更新路由表以路由 IPv6 流量。对于公有子网,请创建一个将所有 IPv6 流量都从该子网路由到互联网网关的路由。对于私有子网,请创建一个将所有发送到 Internet 的 IPv6 流量都从该子网路由到仅出口互联网网关的路由。 |
| [步骤 3:更新安全组规则](#vpc-migrate-ipv6-sg-rules) | 将安全组规则更新为包括 IPv6 地址规则。这样,使 IPv6 流量可以流入和流出您的实例。如果您已创建自定义网络 ACL 规则来控制出入子网的流量,则必须包括 IPv6 流量规则。 |
| [步骤 4:为实例分配 IPv6 地址](#vpc-migrate-assign-ipv6-address) | 将 IPv6 地址分配到您的子网的 IPv6 地址范围中的实例。 |
## 步骤 1:将 IPv6 CIDR 块与您的 VPC 和子网关联
您可将 IPv6 CIDR 块与 VPC 关联,然后将该范围内的一个 `/64` CIDR 块与每个子网关联。
**将 IPv6 CIDR 块与 VPC 关联**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Your VPCs**(您的 VPC)。
1. 选择您的 VPC。
1. 选择**操作**、**编辑 CIDR**,然后选择**添加新的 IPv6 CIDR**。
1. 选择以下选项之一,然后选择**选择 CIDR**:
+ **Amazon 提供的 IPv6 CIDR 块**:使用 Amazon 的 IPv6 地址池中的 IPv6 CIDR 块。对于**网络边界组**,选择 AWS 将从中发布 IP 地址的组。
+ **IPAM 分配的 IPv6 CIDR 块** – 使用 [IPAM 池](https://docs.aws.amazon.com/vpc/latest/ipam/how-it-works-ipam.html)中的 IPv6 CIDR 块。选择 IPAM 池和 IPv6 CIDR 块。
+ **我拥有的 IPv6 CIDR** – 使用您的 IPv6 地址池([BYOIP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html))中的 IPv6 CIDR 块。选择 IPv6 地址池和 IPv6 CIDR 块。
1. 选择**关闭**。
**将 IPv6 CIDR 块与子网关联**
1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Subnets**(子网)。
1. 选择子网。
1. 选择**操作**、**编辑 IPv6 CIDR**,然后选择**添加 IPv6 CIDR**。
1. 根据需要编辑 CIDR 块(例如,替换 `00`)。
1. 选择**保存**。
1. 对 VPC 中的任何其它子网重复此程序。
有关更多信息,请参阅 [IPv6 VPC CIDR 块](vpc-cidr-blocks.md#vpc-sizing-ipv6)。
## 步骤 2:更新路由表
当您将 IPv6 CIDR 块与您的 VPC 关联时,我们会自动为该 VPC 的每个路由表添加本地路由,以允许 VPC 内的 IPv6 流量。
对于公有子网,您必须更新路由表,以使实例(例如 Web 服务器)能对 IPv6 流量使用互联网网关。对于私有子网,您必须更新路由表,以使实例(例如数据库实例)能对 IPv6 流量使用仅出口互联网网关,因为 NAT 网关不支持 IPv6。
**要为公有子网更新路由表**
1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Subnets**(子网)。选择公有子网。在**路由表**选项卡上,选择路由表 ID 以打开路由表的详细信息页面。
1. 选择 路由表。在 **Routes (路由)** 选项卡上,选择 **Edit routes (编辑路由)**。
1. 选择 **Add route (添加路由)**。对于**目标**,选择 `::/0`。选择适用于**目标**的互联网网关 ID。
1. 选择**保存更改**。
**为私有子网更新路由表**
1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。
1. 在导航窗格中,选择**仅出口互联网网关**。选择**创建仅出口互联网网关**。从 VPC 中选择您的 **VPC**,然后选择**创建仅出口互联网网关**。
有关更多信息,请参阅 [使用仅出口互联网网关允许出站 IPv6 流量](egress-only-internet-gateway.md)。
1. 在导航窗格中,选择 **Subnets**(子网)。选择私有子网。在**路由表**选项卡上,选择路由表 ID 以打开路由表的详细信息页面。
1. 选择 路由表。在 **Routes (路由)** 选项卡上,选择 **Edit routes (编辑路由)**。
1. 选择 **Add route (添加路由)**。对于**目标**,选择 `::/0`。请为**目标**选择仅出口互联网网关的 ID。
1. 选择**保存更改**。
**注意**
路由表不能具有同时指向互联网网关和仅出口互联网网关的同一目的地 (::/0)。如果在配置仅出口互联网网关时收到一条错误消息,指出“存在以互联网网关为下一跃点的现有 IPv6 路由”,则必须先移除到互联网网关的现有 IPv6 路由,然后再将该路由添加到仅出口互联网网关。
有关更多信息,请参阅 [示例路由选项](route-table-options.md)。
## 步骤 3:更新安全组规则
为了使您的实例能够通过 IPv6 发送和接收流量,您必须更新安全组规则以包含针对 IPv6 地址的规则。例如,在上述示例中,您可以更新您 Web 服务器安全组 (`sg-11aa22bb11aa22bb1`) 以添加允许来自 IPv6 地址的入站 HTTP、HTTPS 和 SSH 访问的规则。您不需要对数据库安全组的入站规则进行任何更改;允许来自 `sg-11aa22bb11aa22bb1` 的所有通信的规则包括 IPv6 通信。
**要更新入站安全组规则**
1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。
1. 在导窗格中,选择**安全组**,并选择您的 Web 服务器安全组。
1. 在**入站规则**选项卡上,选择**编辑入站规则**。
1. 对于每条允许 IPv4 流量的规则,请选择**添加规则**并将该规则配置为允许相应的 IPv6 流量。例如,要添加允许所有通过 IPv6 的 HTTP 流量的规则,对于**类型**,请选择 **HTTP**,对于**来源**,请选择 `::/0`。
1. 完成添加标签后,选择**保存规则**。
**更新出站安全组规则**
当您将 IPv6 CIDR 块与 VPC 关联时,我们会自动为 VPC 的安全组添加一条允许所有 IPv6 流量的出站规则。但是,如果您修改了安全组的原始出站规则,则不会自动添加此规则,您必须为 IPv6 流量添加等效的出站规则。
**更新您的网络 ACL 规则**
当您将 IPv6 CIDR 块与 VPC 关联时,我们会自动为默认网络 ACL 添加规则,以允许 IPv6 流量。但是,如果您修改了默认网络 ACL,或者创建了自定义网络 ACL,则必须手动添加 IPv6 流量规则。有关更多信息,请参阅[添加和删除规则](create-network-acl.md#Rules)。
## 步骤 4:为实例分配 IPv6 地址
当前一代的所有实例类型都支持 IPv6。如果您的实例类型不支持 IPv6,则您必须调整实例的大小以使其成为支持的实例类型,然后再分配 IPv6 地址。您将使用的流程,取决于您所选择的新实例类型是否与当前实例类型兼容。有关更多信息,请参阅《*Amazon EC2 用户指南*》中的[更改实例类型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-resize.html)。如果必须从新 AMI 中启动实例来支持 IPv6,可在启动过程中为实例分配 IPv6 地址。
在确认实例类型支持 IPv6 后,可使用 Amazon EC2 控制台为实例分配 IPv6 地址。该 IPv6 地址将分配给实例的主要网络接口(例如,eth0)。有关更多信息,请参阅《*Amazon EC2 用户指南*》中的[为实例分配 IPv6 地址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#assign-ipv6-address)。
您可以使用 IPv6 地址连接到实例。有关更多信息,请参阅《*Amazon EC2 用户指南*》中的[使用 SSH 客户端连接到 Linux 实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-ssh.html#connect-linux-inst-sshClient)。
如果您使用适用于当前版本操作系统的 AMI 启动了实例,则您的实例已针对 IPv6 进行配置。如果您无法从您的实例执行 IPv6 地址的 ping 操作,则请参阅操作系统的文档来配置 IPv6。
# 双堆栈 VPC 配置示例
使用双栈配置,您可以同时使用 IPv4 和 IPv6 地址在 VPC 中的资源与互联网上的资源之间进行通信。
下图表示您的 VPC 架构。您的 VPC 具有公有子网和私有子网。VPC 和子网必须同时具有 IPv4 CIDR 块和 IPv6 CIDR 块。私有子网中有一个 EC2 实例,它同时拥有一个 IPv4 地址和一个 IPv6 地址。该实例可以使用 NAT 网关将出站 IPv4 流量发送到互联网,使用仅出口互联网网关将出站 IPv6 流量发送到互联网。
![\[具有公有子网、私有子网、NAT 网关和仅出口互联网网关的 VPC。\]](http://docs.aws.amazon.com/zh_cn/vpc/latest/userguide/images/vpc-example-dual-stack.png)
**公有子网的路由表**
以下是公有子网的路由表。前两个条目是本地路由。第三个条目将所有 IPv4 流量发送到互联网网关。请注意,仅当您计划在公有子网中启动具有 IPv6 地址的 EC2 实例时,才需要第四个条目。
| 目标位置 | Target |
| --- | --- |
| VPC IPv4 CIDR | 本地 |
| VPC IPv6 CIDR | 本地 |
| 0.0.0.0/0 | internet-gateway-id |
| ::/0 | internet-gateway-id |
**私有子网的路由表**
以下是私有子网的路由表。前两个条目是本地路由。第三个条目将所有 IPv4 流量发送到 NAT 网关。最后一个条目将所有 IPv6 流量发送到仅出口互联网网关。
| 目标位置 | Target |
| --- | --- |
| VPC IPv4 CIDR | 本地 |
| VPC IPv6 CIDR | 本地 |
| 0.0.0.0/0 | nat-gateway-id |
| ::/0 | egress-only-gateway-id |
# 支持 IPv6 的 AWS 服务
计算机和智能设备使用 IP 地址通过互联网和其他网络相互通信。随着互联网的持续增长,对 IP 地址的需求也在增加。IP 地址最常见的格式是 IPv4。IP 地址的新格式是 IPv6,它可提供比 IPv4 更大的地址空间。
AWS 服务 对 IPv6 的支持包括对双堆栈配置(IPv4 和 IPv6)或仅 IPv6 配置的支持。例如,虚拟私有云(VPC)是您可在其中启动 AWS 资源的 AWS 云 的逻辑分隔部分。在 VPC 中,您可以创建仅 IPv4、双堆栈或仅 IPv6 的子网。
AWS 服务 支持通过公共端点进行访问。一些 AWS 服务 还支持使用由 AWS PrivateLink 提供支持的私有端点进行访问。AWS 服务 即使不通过其公共端点支持 IPv6,也可以通过其私有端点支持 IPv6。支持 IPv6 的端点可以使用 AAAA 记录响应 DNS 查询。
## 支持 IPv6 的服务
下表列出了提供双堆栈支持、仅 IPv6 支持和支持 IPv6 的端点的 AWS 服务。我们将在发布对 IPv6 的其他支持时更新此表。有关某项服务如何支持 IPv6 的详细信息,请参阅适用于该服务的文档。
| 服务名称 | 双堆栈支持 | 仅 IPv6 支持 | 公共端点支持 IPv6 | 私有端点支持 IPv6 1 |
| --- | --- | --- | --- | --- |
| AWS Amplify | 是 | 否 | 是 | |
| Amazon API Gateway | 是 | 否 | 是 | 是 |
| AWS App Mesh | 是 | 是 | 是 | 否 |
| AWS App Runner | 是 | 否 | 是 | 是 |
| AWS AppConfig | [是](https://docs.aws.amazon.com/appconfig/latest/userguide/setting-up-IPv6.html) | 否 | 是 | 是 |
| Application Auto Scaling | 否 | 否 | 是 | 是 |
| AWS Application Discovery Service | 是 | 否 | 是 | 是 |
| 应用程序恢复控制器 (ARC) | 是 | 否 | 是 | |
| Amazon WorkSpaces Applications | 是 | 否 | 否 | 否 |
| AWS AppSync2 | 部分 | 否 | 部分 | 是 |
| Amazon Athena | 是 | 否 | 是 | [是](https://aws.amazon.com/about-aws/whats-new/2023/05/amazon-athena-ipv6-endpoints-inbound-connections/) |
| AWS Audit Manager | 否 | 否 | 是 | 是 |
| Amazon Aurora | [是](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/USER_VPC.WorkingWithRDSInstanceinaVPC.html#USER_VPC.IP_addressing) | 否 | 是 | 否 |
| Amazon Aurora DSQL | 否 | 否 | 是 | 是 |
| AWS Auto Scaling | 否 | 否 | 是 | 是 |
| AWS B2B Data Interchange | 是 | 否 | 是 | 是 |
| AWS Backup | 是 | 否 | [是](https://docs.aws.amazon.com/general/latest/gr/bk.html) | [是](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-network.html#backup-privatelink) |
| AWS Batch | [是](https://docs.aws.amazon.com/batch/latest/userguide/vpc-interface-endpoints.html) | 否 | 是 | 是 |
| Amazon Bedrock | 否 | 否 | 是 | 是 |
| AWS 账单与成本管理 数据导出 | 是 | 否 | 是 | 是 |
| AWS 账单与成本管理 定价计算器 | 是 | 否 | 是 | 是 |
| AWS Billing Conductor | 是 | 否 | 是 | 是 |
| AWS Budgets | 是 | 否 | 是 | |
| Amazon Braket | 是 | 是 | 是 | 是 |
| AWS Certificate Manager | 是 | 否 | 是 | 否 |
| Amazon Chime SDK | 是 | 否 | 是 | |
| Amazon Comprehend | 支持 | 是 | 是 | 是 |
| AWS Clean Rooms | 是 | 是 | 是 | 是 |
| AWS Clean Rooms 机器学习 | 支持 | 是 | 是 | 是 |
| AWS Cloud9 | [是](https://docs.aws.amazon.com/cloud9/latest/user-guide/vpc-settings.html) | 否 | 是 | |
| AWS 云端控制 API | 是 | 否 | 是 | 是 |
| CloudFormation | 否 | 否 | 是 | 是 |
| Amazon CloudFront | [是](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cloudfront-enable-ipv6.html) | [是](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cloudfront-enable-ipv6.html) | [是](https://docs.aws.amazon.com/general/latest/gr/cf_region.html) | |
| AWS CloudHSM | 是 | 否 | [是](https://docs.aws.amazon.com/cloudhsm/latest/userguide/ip-access.html) | [是](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm-vpc-endpoint.html) |
| AWS CloudTrail | 是 | 否 | 是 | 是 |
| Amazon CloudWatch | 支持 | 是 | 是 | 是 |
| Amazon CloudWatch Application Insights | 否 | 否 | 是 | 是 |
| Amazon CloudWatch 网络监测仪 | 否 | 否 | 是 | 是 |
| Amazon CloudWatch Logs | 是 | 是 | 是 | 是 |
| Amazon CloudWatch Observability Access Manager | 支持 | 是 | 是 | |
| Amazon CloudWatch Synthetics | 是 | 否 | [是](https://aws.amazon.com/about-aws/whats-new/2025/01/amazon-cloudwatch-synthetics-ipv6-support/) | 是 |
| AWS Cloud Map | [是](https://docs.aws.amazon.com/cloud-map/latest/dg/registering-instances.html) | 是 | 是 | 是 |
| AWS 云 WAN | 是 | 否 | 是 | 否 |
| AWS CodeArtifact | 是 | 否 | 是 | 是 |
| Amazon Connect Customer Profiles | 是 | 否 | 是 | 是 |
| AWS CodeBuild | 否 | 否 | 是 | 是 |
| AWS CodeCommit | 否 | 否 | 是 | 是 |
| AWS CodeDeploy | 否 | 否 | 是 | 是 |
| AWS Compute Optimizer | 否 | 否 | 是 | 是 |
| Amazon Comprehend Medical | 否 | 否 | 是 | 是 |
| Amazon CodeGuru Profiler | 是 | 否 | 是 | 是 |
| Amazon Cognito | 是 | 否 | 是 | |
| AWS Config | 否 | 否 | 是 | 是 |
| AWS Control Tower | 否 | 否 | 是 | 是 |
| AWS Cost Explorer | 是 | 否 | 是 | 是 |
| AWS 成本优化中心 | 是 | 否 | 是 | 是 |
| AWS Data Exchange | 否 | 否 | 是 | 是 |
| Amazon Data Firehose | 否 | 否 | 是 | 是 |
| Amazon Data Lifecycle Manager | 是 | 否 | 是 | 是 |
| AWS Database Migration Service | [是](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.IPAddressing.html) | 否 | 否 | 是 |
| AWS DataSync | [是](https://docs.aws.amazon.com/datasync/latest/userguide/datasync-network.html#ipv6-support) | 是 | 是 | 是 |
| Amazon DataZone | 否 | 否 | 是 | 是 |
| AWS Deadline Cloud | 是 | 否 | 是 | [是](https://docs.aws.amazon.com/deadline-cloud/latest/userguide/vpc-interface-endpoints.html) |
| Amazon Detective | 支持 | 是 | [是](https://docs.aws.amazon.com/general/latest/gr/detective.html) | |
| Direct Connect | 是 | 是 | 否 | 是 |
| Directory Service | 否 | 否 | 是 | 是 |
| Amazon EBS 直接 API | 是 | 否 | 是 | 是 |
| Amazon EC2 | [是](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#ipv6-addressing) | 是 | [是](https://docs.aws.amazon.com/ec2/latest/devguide/ec2-endpoints.html) | 否 |
| EC2 Image Builder | 支持 | 是 | 是 | 是 |
| Amazon ECR | 是 | 否 | [是](https://aws.amazon.com/about-aws/whats-new/2025/05/amazon-ecr-support-ipv6/) | 否 |
| Amazon ECS | [是](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-networking-awsvpc.html) | 是 | 是 | 是 |
| Amazon EFS | [是](https://docs.aws.amazon.com/efs/latest/ug/manage-fs-access-create-delete-mount-targets.html) | 是 | [是](https://aws.amazon.com/about-aws/whats-new/2025/06/amazon-efs-internet-protocol-version-6/) | 是 |
| Amazon EKS | [部分](https://docs.aws.amazon.com/eks/latest/userguide/network-reqs.html#network-requirements-ip-table) | [部分](https://docs.aws.amazon.com/eks/latest/userguide/network-reqs.html#network-requirements-ip-table) | 支持 | 是 |
| Amazon EMR | 否 | 否 | 是 | 是 |
| AWS Elastic Beanstalk | [是](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environments-cfg-elbv2-ipv6-dualstack.html) | 否 | [是](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/vpc-vpce.html#vpc-vpce.ipv6) | [是](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/vpc-vpce.html#vpc-vpce.ipv6) |
| AWS Elastic Disaster Recovery | 否 | 否 | 是 | 是 |
| Elastic Load Balancing | [部分](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#ip-address-types) | [部分](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#ip-address-types) | 是 | 否 |
| Amazon ElastiCache | [是](https://docs.aws.amazon.com/AmazonElastiCache/latest/dg/network-type.html) | 是 | 否 | 是 |
| AWS Elemental MediaConvert | 否 | 否 | 是 | 是 |
| AWS Elemental MediaConnect | 是 | 是 | 是 | 部分 |
| AWS 最终用户消息社交 | 是 | 否 | 是 | 否 |
| AWS Entity Resolution 数据匹配服务 | 是 | 否 | 是 | 是 |
| Amazon EventBridge | 否 | 否 | 是 | 是 |
| AWS Fargate | [是](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/fargate-task-networking.html) | 否 | 是 | 是 |
| Amazon FSx | 否 | 否 | [是](https://docs.aws.amazon.com/general/latest/gr/fsxn.html) | [是](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/fsx-vpc-endpoints.html) |
| Amazon GameLift Streams | 是 | 否 | [是](https://docs.aws.amazon.com/general/latest/gr/gameliftstreams.html) | 是 |
| AWS Global Accelerator | [是](https://aws.amazon.com/about-aws/whats-new/2022/07/aws-global-accelerator-announces-ipv6-support/) | 否 | 是 | |
| AWS Glue | 是 | 否 | 否 | 是 |
| AWS Glue DataBrew | 否 | 否 | 是 | 是 |
| Amazon Managed Grafana 3 | 是 | 否 | 是 | 是 |
| AWS Ground Station 4 | 是 | 否 | 是 | 是 |
| Amazon GuardDuty | 否 | 否 | 是 | 是 |
| AWS HealthImaging | 否 | 否 | 是 | 是 |
| AWS HealthLake | 否 | 否 | 是 | 是 |
| AWS HealthOmics | 否 | 否 | 是 | 是 |
| AWS Identity and Access Management (IAM) | [是](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_dual-stack_endpoint_support.html) | 是 | 是 | 否 |
| AWS IAM 访问权限分析器 | [是](https://aws.amazon.com/about-aws/whats-new/2025/03/iam-access-analyzer-supports-ipv6/) | 否 | 是 | 是 |
| AWS IAM Identity Center | 是 | 否 | 是 | |
| AWS IAM Roles Anywhere | 否 | 否 | 是 | 是 |
| Amazon Inspector | 支持 | 是 | 是 | 是 |
| Amazon Interactive Video Service (IVS) 5 | 是 | 否 | 是 | 是 |
| AWS IoT Core | 是 | 否 | [是](https://docs.aws.amazon.com/iot/latest/developerguide/protocols.html) | 是 |
| AWS IoT Device Defender | 是 | 否 | 是 | 否 |
| AWS IoT Device Management | 是 | 否 | 是 | 否 |
| AWS IoT FleetWise | 是 | 否 | [是](https://docs.aws.amazon.com/iot-fleetwise/latest/developerguide/fleetwise-ipv6-access.html) | 是 |
| AWS IoT Greengrass | 是 | 否 | 是 | 否 |
| AWS IoT SiteWise | 是 | 否 | 是 | 是 |
| AWS IoT TwinMaker | 是 | 否 | 是 | 是 |
| AWS IoT Wireless | 是 | 否 | [是](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/wireless-ipv6-access.html) | [是](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/vpc-interface-endpoints.html) |
| Amazon Kendra | 否 | 否 | 是 | 否 |
| AWS Key Management Service | [是](https://docs.aws.amazon.com/kms/latest/developerguide/ipv6-kms.html) | [部分](https://docs.aws.amazon.com/kms/latest/developerguide/ipv6-kms.html) | 支持 | 是 |
| Amazon Keyspaces | [是](https://docs.aws.amazon.com/keyspaces/latest/devguide/ipv6-support.html) | 是 | 是 | 是 |
| Amazon Keyspaces CDC streams | 是 | 是 | 是 | 是 |
| Amazon Kinesis Data Streams | 是 | 否 | 是 | 是 |
| AWS Lake Formation | 否 | 否 | 否 | 是 |
| AWS Lambda | [是](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#configuration-vpc-ipv6) | 否 | [是](https://aws.amazon.com/about-aws/whats-new/2021/12/aws-lambda-ipv6-endpoints-inbound-connections/) | 是 |
| AWS Launch Wizard | 否 | 否 | 是 | 是 |
| AWS License Manager | 否 | 否 | 是 | 是 |
| Amazon Lightsail | [是](https://aws.amazon.com/about-aws/whats-new/2021/01/amazon-lightsail-supports-ipv6/) | [是](https://aws.amazon.com/about-aws/whats-new/2024/01/ipv6-instance-bundles-amazon-lightsail/) | [是](https://aws.amazon.com/about-aws/whats-new/2024/12/amazon-lightsail-api-endpoints-connectivity-ipv6/) | 是 |
| Amazon Location Service | 否 | 否 | 是 | 是 |
| Amazon MQ | 否 | 否 | 是 | 是 |
| Amazon MWAA | 否 | 否 | 是 | 是 |
| Amazon Macie | 是 | 否 | 是 | 是 |
| AWS Mainframe Modernization | 是 | 否 | 是 | 是 |
| Amazon Managed Grafana | 否 | 否 | 是 | 是 |
| Amazon Managed Service for Prometheus | 是 | 否 | 是 | 是 |
| AWS Migration Hub Orchestrator | 否 | 否 | 是 | 是 |
| AWS Network Firewall | [是](https://aws.amazon.com/about-aws/whats-new/2023/01/aws-network-firewall-ipv6-support/) | [是](https://aws.amazon.com/about-aws/whats-new/2023/04/aws-network-firewall-ipv6-only-subnets/) | 否 | 是 |
| AWS Network Manager | 是 | 否 | 是 | 否 |
| Amazon OpenSearch Service | [是](https://aws.amazon.com/about-aws/whats-new/2023/10/amazon-opensearch-service-ipv6/) | 否 | 是 | |
| AWS Organizations | 是 | 否 | 是 | 是 |
| AWS Outposts | 否 | 否 | 是 | 是 |
| Amazon Personalize | 是 | 否 | 是 | 是 |
| Amazon Pinpoint | 是 | 否 | 是 | 是 |
| Amazon Polly | 是 | 否 | 是 | 是 |
| AWS 价目表 | 否 | 否 | 是 | 否 |
| AWS 私有证书颁发机构 | 是 | 否 | 是 | 是 |
| AWS 私有 CA Connector for Active Directory | 是 | 否 | 是 | 是 |
| AWS 私有 CA Connector for SCEP | 是 | 否 | 是 | 是 |
| AWS PrivateLink | 是 | 是 | 是 | |
| Amazon Q Business | 否 | 否 | 是 | 否 |
| Amazon RDS | [是](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.WorkingWithRDSInstanceinaVPC.html#USER_VPC.IP_addressing) | 否 | 是 | 否 |
| Amazon RDS Data API | 否 | 否 | 是 | 是 |
| Amazon RDS 性能详情 | 否 | 否 | 是 | 是 |
| Amazon Redshift | 是 | 否 | 是 | |
| Amazon Rekognition | 否 | 否 | 是 | 是 |
| 回收站 | 是 | 否 | 是 | 是 |
| AWS re:Post 私人版 | 是 | 否 | 是 | 是 |
| AWS Resource Access Manager | 是 | 否 | 是 | 是 |
| AWS 资源探索器 | 是 | 否 | 是 | 否 |
| AWS Resource Groups | 是 | 是 | 是 | 是 |
| AWS Resource Groups Tagging API | 是 | 是 | 是 | 是 |
| Amazon Route 53 | 支持 | 是 | 是 | 是 |
| Amazon S3 | [是](https://docs.aws.amazon.com/AmazonS3/latest/API/ipv6-access.html) | 否 | [是](https://docs.aws.amazon.com/AmazonS3/latest/API/ipv6-access.html) | 否 |
| Amazon S3 on Outposts | 否 | 否 | 是 | 否 |
| Amazon SageMaker | 否 | 否 | 是 | 是 |
| AWS Secrets Manager | 是 | 否 | [是](https://docs.aws.amazon.com/secretsmanager/latest/userguide/asm_access.html#endpoints) | 是 |
| AWS Security Hub | 否 | 否 | 是 | 是 |
| Amazon Security Lake | [是](https://aws.amazon.com/about-aws/whats-new/2025/04/amazon-security-lake-internet-protocol-version-6/) | 否 | [是](https://docs.aws.amazon.com/general/latest/gr/securitylake.html) | [是](https://docs.aws.amazon.com/security-lake/latest/userguide/security-vpc-endpoints.html) |
| AWS Security Token Service | 是 | 否 | 是 | 是 |
| AWS Service Catalog | 否 | 否 | 是 | 是 |
| AWS Shield | 是 | 是 | 否 | 是 |
| Amazon Simple Email Service | 是 | 否 | 是 | 是 |
| Amazon Simple Notification Service | 是 | 否 | 是 | 是 |
| Amazon Simple Queue Service | 是 | 否 | 是 | 是 |
| Amazon Simple Workflow Service | 是 | 否 | 是 | 是 |
| AWS Site-to-Site VPN | [是](https://docs.aws.amazon.com/vpn/latest/s2svpn/ipv4-ipv6.html) | 否 | [是](https://docs.aws.amazon.com/ec2/latest/devguide/ec2-endpoints.html) | 否 |
| AWS Snow Family | 否 | 否 | 是 | |
| AWS Step Functions | 是 | 否 | 是 | 是 |
| AWS Storage Gateway | 是 | 是 | 是 | 是 |
| AWS Systems Manager | 否 | 否 | 是 | 是 |
| AWS Systems Manager Incident Manager | 否 | 否 | 是 | 是 |
| AWS Systems Manager for SAP | 否 | 否 | 是 | 是 |
| Amazon Textract | 否 | 否 | 是 | 是 |
| Amazon Timestream | 否 | 否 | 是 | 是 |
| Amazon Transcribe | 支持 | 是 | 是 | 是 |
| AWS Transfer Family 6 | [是](https://docs.aws.amazon.com/transfer/latest/userguide/ipv6-support.html) | 否 | 是 | 是 |
| AWS Transit Gateway | 是 | 否 | 是 | 否 |
| Amazon Translate | 支持 | 是 | 是 | 是 |
| AWS Trusted Advisor | 否 | 否 | 是 | 是 |
| AWS 用户通知服务 | 否 | 否 | 是 | 是 |
| Amazon Verified Permissions | 是 | 否 | 是 | 是 |
| VMware Cloud on AWS | 否 | 否 | 是 | 是 |
| Amazon VPC | [是](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#vpc-ip-addressing) | 是 | [是](https://docs.aws.amazon.com/ec2/latest/devguide/ec2-endpoints.html) | 否 |
| Amazon VPC Lattice | 否 | 否 | 是 | 是 |
| AWS WAF | [是](https://aws.amazon.com/about-aws/whats-new/2016/10/ipv6-support-for-cloudfront-waf-and-s3-transfer-acceleration/) | 是 | 否 | |
| AWS WAFV2 | 否 | 否 | 是 | 是 |
| AWS Well-Architected Tool | 否 | 否 | 是 | 是 |
| Amazon WorkMail | 否 | 否 | 是 | 是 |
| Amazon WorkSpaces | [是](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-vpc.html) | 否 | 是 | 是 |
| AWS X-Ray | 是 | 否 | 是 | 是 |
1 空单元格表示该服务未[与 AWS PrivateLink 集成](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html)。
2 此条目表示通过 [AWS AppSync SDK API](https://docs.aws.amazon.com/appsync/latest/APIReference/API_Operations.html) 对 AWS AppSync GraphLQL 和事件 API 配置操作的 IPv6 支持。与客户托管的 AWS AppSync GraphQL 和事件 API 的客户端连接不支持 IPv6。
3 此条目表示对 Grafana *工作区管理*操作(例如更新工作区和工作区权限)的 IPv6 支持。常规 Grafana 工作区操作(例如创建和编辑仪表板或查询数据源)不支持 IPv6。
4 此条目表示对 AWS Ground Station *控制面板*操作(例如调用 [AWS Ground Station API](https://docs.aws.amazon.com/ground-station/latest/APIReference/API_Operations.html))的 IPv6 支持。AWS Ground Station *数据面板*不支持 IPv6,因此请确保您要向其传输数据的资源(例如 Amazon EC2 实例)可以通过 IPv4 访问。
5 此条目表示对 Amazon IVS *控制面板*操作(例如调用 [IVS 端点](https://docs.aws.amazon.com/general/latest/gr/ivs.html))的 IPv6 支持。
6 有关 AWS Transfer Family 中 IPv6 支持的更多详细信息,请参阅 [IPv6 限制](https://docs.aws.amazon.com/transfer/latest/userguide/ipv6-support.html#ipv6-limitations)。
## 其他 IPv6 支持
**计算**
+ Amazon EC2 支持在仅限 IPv6 的子网中启动基于 Nitro 系统的实例。
+ Amazon EC2 可为实例元数据服务(IMDS)和 Amazon Time Sync Service 提供 IPv6 端点。
**游戏开发**
+ Amazon GameLift Streams 支持在 Microsoft Windows Server 2022 Base 运行时上通过 IPv6 进行流式处理。
**联网和内容分发**
+ Amazon VPC 支持创建仅限 IPv6 的子网。
+ 通过支持子网上的 DNS64 和 NAT 网关上的 NAT64,Amazon VPC 可有助于 IPv6 AWS 资源与 IPv4 资源通信。
**安全、身份和合规性**
+ 在与网络相关的调查发现和实体配置文件中,Amazon Detective 支持 IPv6 地址。
+ AWS Identity and Access Management(IAM)在基于 IAM 身份的策略中支持 IPv6 地址。
+ Amazon Macie 支持个人身份信息(PII)中的 IPv6 地址。
+ Amazon Security Lake 支持在日志源和订阅用户的所有操作中使用 IPv6 地址。
**管理和治理**
+ AWS CloudTrail 记录包括源 IPv6 信息。
+ AWS CLI v2 支持仅限 IPv6 的客户端通过 IPv6 连接进行下载。
## 了解详情
+ [AWS 上的 IPv6](https://docs.aws.amazon.com/whitepapers/latest/ipv6-on-aws/IPv6-on-AWS.html)
+ [双堆栈和仅 IPv6 Amazon VPC 参考架构](https://d1.awsstatic.com/architecture-diagrams/ArchitectureDiagrams/IPv6-reference-architectures-for-AWS-and-hybrid-networks-ra.pdf)(PDF)