Consolidez et gérez les blocs d’adresse CIDR du réseau à l’aide de listes de préfixes gérées
Une liste de préfixes gérée est un jeu d'un ou de plusieurs blocs d’adresse CIDR. Vous pouvez utiliser des listes de préfixes pour faciliter la configuration et la maintenance de vos groupes de sécurité et de vos tables de routage. Vous pouvez créer une liste de préfixes à partir des adresses IP que vous utilisez fréquemment et y faire référence en tant qu'ensemble dans les règles et routes de groupe de sécurité plutôt que d’y faire référencer de manière individuelle. Par exemple, vous pouvez consolider les règles de groupe de sécurité avec différents blocs CIDR, mais le même port et le même protocole en une seule règle qui utilise une liste de préfixes. Si vous mettez à l'échelle votre réseau et devez autoriser le trafic provenant d'un autre bloc CIDR, vous pouvez mettre à jour la liste des préfixes correspondante et tous les groupes de sécurité qui utilisent la liste de préfixes sont mis à jour. Vous pouvez également utiliser des listes de préfixes gérées avec d'autres comptes AWS en utilisant le gestionnaire Resource Access Manager (RAM).
Il existe deux types de listes de préfixes :
-
Listes de préfixes gérées par le client : ensembles de plages d'adresses IP que vous définissez et gérez. Vous pouvez partager votre liste de préfixes avec d'autres comptes AWS, ce qui permet à ces comptes de référencer la liste de préfixes dans leurs propres ressources.
-
Listes de préfixes gérées par AWS : ensembles de plages d'adresses IP pour les services AWS. Vous ne pouvez pas créer, modifier, partager ou supprimer une liste de préfixes gérée par AWS.
Table des matières
Le préfixe répertorie les concepts et les règles
Une liste de préfixes se compose d'entrées. Chaque entrée se compose d'un bloc CIDR et, éventuellement, d'une description pour le bloc CIDR.
Listes de préfixes gérées par le client
Les règles suivantes s'appliquent aux listes de préfixes gérées par le client :
-
Une liste de préfixes ne prend en charge qu'un seul type d'adressage IP (IPv4 ou IPv6). Vous ne pouvez pas combiner les blocs CIDR IPv4 et IPv6 dans une seule liste de préfixes.
-
Une liste de préfixes ne s’applique qu’à la région dans laquelle vous l’avez créée.
-
Lorsque vous créez une liste de préfixes, vous devez spécifier le nombre maximal d'entrées que la liste de préfixes peut prendre en charge.
-
Lorsque vous faites référence à une liste de préfixes dans une ressource, le nombre maximal d'entrées pour les listes de préfixes est imputé au quota du nombre d'entrées pour la ressource. Par exemple, si vous créez une liste de préfixes avec maximum 20 entrées et que vous référencez cette liste de préfixes dans une règle de groupe de sécurité, cela compte comme 20 règles de sécurité pour le groupe.
-
Lorsque vous référencez une liste de préfixes dans une table de routage, des règles de priorité de routage s'appliquent. Pour en savoir plus, consultez Priorité d'acheminement pour les listes de préfixes.
-
Vous pouvez modifier une liste de préfixes. Lorsque vous ajoutez ou supprimez des entrées, nous créons une nouvelle version de la liste de préfixes. Les ressources qui font référence au préfixe utilisent toujours la version actuelle (la plus récente). Vous pouvez restaurer les entrées d'une version précédente de la liste de préfixes, ce qui a également pour effet de créer une nouvelle version.
-
Il existe des quotas liés aux listes de préfixes. Pour en savoir plus, consultez Listes de préfixes gérées par le client.
-
Les listes de préfixes gérées par les clients sont disponibles dans toutes les régions AWS
commerciales (y compris les régions GovCloud (États-Unis) et Chine).
AWSListes de préfixes gérées par
Les règles suivantes s'appliquent aux listes de préfixes gérées par AWS :
-
Vous ne pouvez pas créer, modifier, partager ou supprimer une liste de préfixes gérée par AWS.
-
Différentes listes de préfixes gérées par AWS ont une pondération différente lorsque vous les utilisez. Pour en savoir plus, consultez Pondération de la liste de préfixes gérée par AWS.
-
Vous ne pouvez pas afficher le numéro de version d'une liste de préfixes gérée par AWS.
Gestion des identités et des accès pour les listes de préfixes
Par défaut, les utilisateurs ne sont pas autorisés à créer, afficher, modifier ou supprimer des listes de préfixes. Vous pouvez créer une politique IAM qui permet aux utilisateurs de se servir de listes de préfixes.
Pour afficher la liste des actions Amazon VPC ainsi que les ressources et clés de condition que vous pouvez utiliser dans une stratégie IAM, veuillez consulter Actions, ressources et clés de condition Amazon EC2 dans le Guide de l'utilisateur IAM.
L'exemple de stratégie suivant permet aux utilisateurs d'afficher et de travailler avec la liste de préfixes pl-123456abcde123456
uniquement. Les utilisateurs ne peuvent pas créer ou supprimer des listes de préfixes.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:GetManagedPrefixListAssociations", "ec2:GetManagedPrefixListEntries", "ec2:ModifyManagedPrefixList", "ec2:RestoreManagedPrefixListVersion" ], "Resource": "arn:aws:ec2:
region
:account
:prefix-list/pl-123456abcde123456
" }, { "Effect": "Allow", "Action": "ec2:DescribeManagedPrefixLists", "Resource": "*" } ] }
Pour de plus amples informations sur l'utilisation d’IAM dans Amazon VPC, veuillez consulter Identity and Access Management pour Amazon VPC.