Agrupar blocos CIDR usando listas de prefixos gerenciadas - Amazon Virtual Private Cloud

Agrupar blocos CIDR usando listas de prefixos gerenciadas

Uma lista de prefixos gerenciados é um conjunto de um ou mais blocos CIDR. Você pode usar listas de prefixos para facilitar a configuração e a manutenção de grupos de segurança e tabelas de rotas. Você pode criar uma lista de prefixos a partir dos endereços IP usados com frequência e referenciá-los como um conjunto em regras e rotas no grupo de segurança em vez de referenciá-los individualmente. Por exemplo, você pode consolidar regras do grupo de segurança com diferentes blocos CIDR, mas a mesma porta e protocolo em uma única regra que usa uma lista de prefixos. Se você escalar a rede e precisar permitir tráfego de outro bloco CIDR, poderá atualizar a lista de prefixos relevante e todos os grupos de segurança que usam a lista de prefixos serão atualizados. Você também pode usar listas de prefixos gerenciadas com outras contas da AWS usando o Resource Access Manager (RAM).

Existem dois tipos de listas de prefixos:

  • Listas de prefixos gerenciadas pelo cliente — Conjuntos de intervalos de endereços IP que você define e gerencia. Você pode compartilhar sua lista de prefixos com outras contas da AWS, o que permite que essas contas façam referência à lista de prefixos em seus próprios recursos.

  • Listas de prefixos gerenciados pela AWS: conjuntos de intervalos de endereços IP para serviços da AWS. Não é possível criar, modificar, compartilhar ou excluir uma lista de prefixos gerenciados pela AWS.

Conceitos e regras das listas de prefixos

Uma lista de prefixos consiste em entradas. Cada entrada consiste em um bloco CIDR e, opcionalmente, uma descrição para o bloco CIDR.

Listas de prefixos gerenciadas pelo cliente

As regras a seguir se aplicam às listas de prefixos gerenciados pelo cliente:

  • Uma lista de prefixos é compatível com um único tipo de endereçamento IP (IPv4 ou IPv6). Não é possível combinar blocos CIDR IPv4 e IPv6 em uma única lista de prefixos.

  • Uma lista de prefixos se aplica somente à região em que você a criou.

  • Ao criar uma lista de prefixos, você deve especificar o número máximo de entradas com as quais a lista de prefixos é compatível.

  • Quando você faz referência a uma lista de prefixos em um recurso, o número máximo de entradas para as listas de prefixos é considerado como parte da cota para o número de entradas para o recurso. Por exemplo, se você cria uma lista de prefixos com o máximo de 20 entradas e faz referência a essa lista de prefixos em uma regra do grupo de segurança, isso contará como 20 regras para o grupo de segurança.

  • Quando você faz referência a uma lista de prefixos em uma tabela de rotas, as regras de prioridade da rota se aplicam. Para mais informações, consulte Listas de prioridades de rotas e prefixos.

  • Você pode modificar uma lista de prefixos. Quando você adiciona ou remove entradas de uma lista de prefixos, criamos uma nova versão da lista de prefixos. Os recursos que fazem referência ao prefixo sempre usam a versão atual (mais recente). Você pode restaurar as entradas de uma versão anterior da lista de prefixos, o que também cria uma nova versão.

  • Há cotas relacionadas a listas de prefixos. Para obter mais informações, consulte Listas de prefixos gerenciadas pelo cliente.

AWSListas de prefixos gerenciados da

As seguintes regras aplicam-se a listas de prefixos gerenciados pela AWS:

  • Não é possível criar, modificar, compartilhar ou excluir uma lista de prefixos gerenciados pela AWS.

  • Diferentes listas de prefixos gerenciados pela AWS têm um peso diferente quando você as usa. Para mais informações, consulte Peso da lista de prefixos gerenciados pela AWS.

  • Não é possível visualizar o número de versão de uma lista de prefixos gerenciados pela AWS.

Identity and Access Management para as listas de prefixos

Por padrão, os usuários do IAM não têm permissão para criar, visualizar, modificar nem excluir listas de prefixos. É possível criar uma política do IAM que permita que os usuários trabalhem com listas de prefixos.

Para ver uma lista de ações da Amazon VPC e os recursos e chaves de condição que podem ser usados em uma política do IAM, consulte Ações, recursos e chaves de condição do Amazon EC2 no Manual do usuário do IAM.

O exemplo de política a seguir permite que os usuários visualizem e trabalhem somente com listas de prefixos pl-123456abcde123456. Os usuários não podem criar ou excluir listas de prefixos.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:GetManagedPrefixListAssociations", "ec2:GetManagedPrefixListEntries", "ec2:ModifyManagedPrefixList", "ec2:RestoreManagedPrefixListVersion" ], "Resource": "arn:aws:ec2:region:account:prefix-list/pl-123456abcde123456" }, { "Effect": "Allow", "Action": "ec2:DescribeManagedPrefixLists", "Resource": "*" } ] }

Para obter mais informações sobre como trabalhar com o IAM na Amazon VPC, consulte Identity and Access Management para o Amazon VPC.