# 使用客户管理的前缀列表 本节旨在介绍如何使用客户管理的前缀列表。 **Topics** + [ ## 创建前缀列表 ](#create-managed-prefix-list) + [ ## 查看前缀列表 ](#view-managed-prefix-lists) + [ ## 查看前缀列表的条目 ](#view-managed-prefix-list-entries) + [ ## 查看前缀列表的关联(引用) ](#view-managed-prefix-list-associations) + [ ## 修改前缀列表 ](#modify-managed-prefix-list) + [ ## 调整前缀列表的大小 ](#resize-managed-prefix-list) + [ ## 还原前缀列表的以前版本 ](#restore-managed-prefix-list) + [ ## 删除前缀列表 ](#delete-managed-prefix-list) + [ # 共享客户管理的前缀列表 ](sharing-managed-prefix-lists.md) ## 创建前缀列表 创建前缀列表时,必须指定前缀列表可支持的最大条目数。 **限制** 如果规则数加上前缀列表的最大条目数超过账户每个安全组的规则配额,则无法向安全组规则添加前缀列表。 **使用控制台创建前缀列表** 1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。 1. 在导航窗格中,选择**托管前缀列表**。 1. 选择**创建前缀列表**。 1. 对于**前缀列表名称**,输入前缀列表的名称。 1. 对于**最大条目数**,输入前缀列表的最大条目数。 1. 对于**地址系列**,选择前缀列表是支持 IPv4 条目还是 IPv6 条目。 1. 对于**前缀列表条目**,选择**添加新条目**,然后输入 CIDR 块和条目的描述。对每个条目重复此步骤。 1. (可选)对于**标签**,将标签添加到前缀列表,以帮助您以后识别它。 1. 选择**创建前缀列表**。 **使用 AWS CLI 创建前缀列表** 使用 [create-managed-prefix-list](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-managed-prefix-list.html) 命令。 ## 查看前缀列表 您可以查看您的前缀列表、与您共享的前缀列表以及AWS托管的前缀列表。 **使用控制台查看前缀列表** 1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。 1. 在导航窗格中,选择**托管前缀列表**。 1. **拥有者 ID** 列显示前缀列表拥有者的 AWS 账户 ID。对于AWS托管前缀列表,**Owner ID (拥有者 ID)** 是**AWS**。 **使用 AWS CLI 查看前缀列表** 使用 [describe-managed-prefix-lists](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-managed-prefix-lists.html) 命令。 ## 查看前缀列表的条目 您可以查看您的前缀列表的条目、与您共享的前缀列表以及AWS托管的前缀列表。 **使用控制台查看前缀列表的条目** 1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。 1. 在导航窗格中,选择**托管前缀列表**。 1. 选中与所需前缀列表对应的复选框。 1. 在下部窗格中,选择**条目**以查看前缀列表的条目。 **使用 AWS CLI 查看前缀列表的条目** 使用 [get-managed-prefix-list-entries](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-managed-prefix-list-entries.html) 命令。 ## 查看前缀列表的关联(引用) 您可以查看与前缀列表关联的资源的 ID 和拥有者。关联的资源是指在其条目或规则中引用前缀列表的资源。 **限制** 您无法查看AWS托管的前缀列表的关联资源。 **使用控制台查看前缀列表关联** 1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。 1. 在导航窗格中,选择**托管前缀列表**。 1. 选中与所需前缀列表对应的复选框。 1. 在下部窗格中,选择**关联**以查看引用前缀列表的资源。 **使用 AWS CLI 查看前缀列表关联** 使用 [get-managed-prefix-list-associations](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-managed-prefix-list-associations.html) 命令。 ## 修改前缀列表 您可以修改前缀列表的名称,也可以添加或删除条目。要修改最大条目数,请参阅 [调整前缀列表的大小](#resize-managed-prefix-list)。 若更新前缀列表条目,系统会为前缀列表创建新版本。若更新前缀列表条目名称或条目上限,系统不会为前缀列表创建新版本。 **注意事项** + 您不能修改AWS托管的前缀列表。 + 若增加前缀列表条目上限,增量会应用到引用此前缀列表的资源条目配额。若其中有任何资源不支持此上限增加,修改操作会失败,且并上限会恢复到之前大小。 **使用控制台修改前缀列表** 1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。 1. 在导航窗格中,选择**托管前缀列表**。 1. 选中前缀列表的复选框,然后依次选择 **Actions (操作)**、**Modify prefix list (修改前缀列表)**。 1. 对于**前缀列表名称**,输入前缀列表的新名称。 1. 如果已将托管前缀列表配置为 IPAM 前缀列表解析器目标,则会看到 **IPAM 前缀列表解析器同步**选项。 选择启用还是禁用与 IPAM 前缀列表解析器的同步。启用后,前缀列表 CIDR 将根据关联的解析器的 CIDR 选择规则自动更新。禁用后,前缀列表 CIDR 将不会自动更新。有关此功能的更多信息,请参阅《Amazon VPC IPAM 用户指南》**中的[使用 IPAM 自动更新前缀列表](https://docs.aws.amazon.com/vpc/latest/ipam/automate-prefix-list-updates.html)。 1. 对于**前缀列表条目**,选择**删除**以删除现有条目。要添加新条目,请选择**添加新条目**,然后输入 CIDR 块和条目的描述。 1. 选择**保存前缀列表**。 **使用 AWS CLI 修改前缀列表** 使用 [modify-managed-prefix-list](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-managed-prefix-list.html) 命令。 ## 调整前缀列表的大小 您可以调整前缀列表的大小,并可以将前缀列表的最大条目数修改为 1000。有关客户托管的前缀列表配额的更多信息,请参阅 [客户管理的前缀列表](amazon-vpc-limits.md#vpc-quotas-managed-prefix-lists)。 **使用控制台调整前缀列表的大小** 1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。 1. 在导航窗格中,选择**托管前缀列表**。 1. 选中前缀列表的复选框,然后依次选择 **Actions**(操作)、**Resize prefix list**(调整前缀列表的大小)。 1. 对于 **New max entries**(新的最大条目数),请输入一个值。 1. 选择 **Resize(调整大小)**。 **使用 AWS CLI 调整前缀列表的大小** 使用 [modify-managed-prefix-list](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-managed-prefix-list.html) 命令。 ## 还原前缀列表的以前版本 您可以将条目从前缀列表的以前版本还原。这将创建前缀列表的一个新版本。 若减小前缀列表,必须确保前缀列表足以包含旧版本条目。 **使用控制台还原前缀列表的以前版本** 1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。 1. 在导航窗格中,选择**托管前缀列表**。 1. 选中前缀列表的复选框,然后依次选择 **Actions (操作)**、**Restore prefix list (还原前缀列表)**。 1. 为 **Select prefix list version (选择前缀列表版本)** 选择旧版本。所选版本条目会在 **Prefix list entries (前缀列表条目)** 内显示。 1. 选择**还原前缀列表**。 **使用 AWS CLI 还原前缀列表的以前版本** 使用 [restore-managed-prefix-list-version](https://docs.aws.amazon.com/cli/latest/reference/ec2/restore-managed-prefix-list-version.html) 命令。 ## 删除前缀列表 要删除前缀列表,必须首先删除在资源中(例如在路由表中)对该列表的所有引用。如果您已使用 AWS RAM 共享前缀列表,则必须首先删除使用者拥有的资源中的所有引用。 **限制** 您不能删除AWS托管的前缀列表。 **使用控制台删除前缀列表** 1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。 1. 在导航窗格中,选择**托管前缀列表**。 1. 选择前缀列表,然后依次选择**操作**、**删除前缀列表**。 1. 在确认对话框中,输入 `delete`,然后选择**删除**。 **使用 AWS CLI 删除前缀列表** 使用 [delete-managed-prefix-list](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-managed-prefix-list.html) 命令。 # 共享客户管理的前缀列表 借助 AWS Resource Access Manager(AWS RAM),客户托管前缀列表的拥有者可以与以下对象共享前缀列表: + AWS Organizations 中的拥有者企业内部或外部的特定 AWS 账户 + 中的所有者企业内部的企业单位AWS Organizations + AWS Organizations 中的整个所织 已与之共享前缀列表的使用者可以查看前缀列表及其条目,也可以在其AWS资源中引用前缀列表。 有关 AWS RAM 的更多信息,请参阅 [AWS RAM 用户指南](https://docs.aws.amazon.com/ram/latest/userguide/)。有关配额的更多信息,请参阅《AWS RAM User Guide》中的 [Service quotas](https://docs.aws.amazon.com/general/latest/gr/ram.html#limits_ram)。 **重要** 共享前缀列表不会产生额外的费用。 **Topics** + [ # 共享前缀列表权限 ](sharing-perms.md) + [ # 使用共享前缀列表 ](work-with-shared-prefixes.md) # 共享前缀列表权限 **拥有者的权限** 拥有者负责管理共享前缀列表及其条目。拥有者可以查看引用前缀列表的AWS资源的 ID。但是,他们不能在使用者拥有的AWS资源中添加或删除对前缀列表的引用。 如果在使用者拥有的资源中引用了前缀列表,则拥有者不能删除该前缀列表。 **使用者的权限** 使用者可以查看共享前缀列表中的条目,也可以在其AWS资源中引用共享前缀列表。但是,使用者无法修改、还原或删除共享前缀列表。 # 使用共享前缀列表 AWS 前缀列表提供了一种便捷的方式来管理和引用各种 AWS 服务使用的 IP 地址范围。除了 AWS 托管前缀列表,您还可以创建自己的客户管理的前缀列表并与其他 AWS 账户共享。 共享前缀列表对于具有复杂联网要求的组织或需要在多个 AWS 工作负载之间协调 IP 地址使用的组织特别有用。通过共享前缀列表,您可以确保一致的 IP 地址管理,简化协作者的联网配置。 本节旨在介绍如何共享前缀列表,以及如何识别和使用已与自己账户共享的前缀列表。 **Topics** + [ ## 共享前缀列表 ](#sharing-share) + [ ## 将共享前缀列表取消共享 ](#sharing-unshare) + [ ## 识别共享前缀列表 ](#sharing-identify) + [ ## 识别对共享前缀列表的引用 ](#sharing-identify-references) ## 共享前缀列表 要共享前缀列表,您必须将它添加到资源共享。如果您没有资源共享,则必须首先使用 [AWS RAM 控制台](https://console.aws.amazon.com/ram)创建一个。 如果您是 AWS Organizations 中某企业的一部分并且已在您的企业中启用共享,企业中的使用者将自动获得对共享前缀列表的访问权限。否则,使用者将会收到加入资源共享的邀请,并在接受邀请后获得对共享前缀列表的访问权限。 您可以使用 AWS RAM 控制台或 AWS CLI 创建资源共享并共享您拥有的前缀列表。 **重要** 要共享前缀列表,您必须拥有它。您无法共享已与您共享的前缀列表。您不能共享AWS托管的前缀列表。 要与您的企业或 AWS Organizations 内的企业部门共享前缀列表,您必须允许与 AWS Organizations 共享。有关更多信息,请参阅《*AWS RAM 用户指南*》中的[允许与 AWS Organizations 共享](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)。 **使用 AWS RAM 控制台创建资源共享并共享前缀列表** 按照 *AWS RAM 用户指南*中[创建资源共享](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create)的步骤操作。对于**选择资源类型**,选择**前缀列表**,然后选中您的前缀列表的复选框。 **使用 AWS RAM 控制台将前缀列表添加到现有资源共享** 要将您拥有的托管前缀添加到现有资源共享,请按照 *AWS RAM 用户指南*中[更新资源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update)的步骤操作。对于**选择资源类型**,选择**前缀列表**,然后选中您的前缀列表的复选框。 **使用 AWS CLI 共享您拥有的前缀列表** 使用以下命令创建和更新资源共享: + [create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html) + [associate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/associate-resource-share.html) + [update-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/update-resource-share.html) ## 将共享前缀列表取消共享 取消共享前缀列表后,使用者不再可以在其账户中查看前缀列表或条目,也无法在其资源中引用前缀列表。如果已在使用者的资源中引用前缀列表,则这些引用将继续正常运行,并且您可以继续[查看这些引用](#sharing-identify-references)。如果将前缀列表更新为新版本,则引用将使用最新版本。 要取消共享您拥有的已共享前缀列表,必须使用 AWS RAM 从资源共享中将其删除。 **使用 AWS RAM 控制台取消共享您拥有的共享前缀列表** 请参阅 *AWS RAM 用户指南*中的[更新资源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update)。 **使用 AWS CLI 取消共享您拥有的共享前缀列表** 使用 [disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html) 命令。 ## 识别共享前缀列表 拥有者和使用者可以使用 Amazon VPC 控制台和 AWS CLI 识别共享前缀列表。 **使用 Amazon VPC 控制台识别共享前缀列表** 1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。 1. 在导航窗格中,选择**托管前缀列表**。 1. 此页面显示您拥有的前缀列表以及与您共享的前缀列表。**拥有者 ID** 列显示前缀列表拥有者的 AWS 账户 ID。 1. 要查看前缀列表的资源共享信息,请选择该前缀列表,然后选择下部窗格中的**共享**。 **使用 AWS CLI 识别共享的前缀列表** 使用 [describe-managed-prefix-lists](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-managed-prefix-lists.html) 命令。该命令返回您拥有的前缀列表以及与您共享的前缀列表。`OwnerId` 显示前缀列表拥有者的 AWS 账户 ID。 ## 识别对共享前缀列表的引用 所有者可以识别使用者拥有的引用共享前缀列表的资源。 **使用 Amazon VPC 控制台识别对共享前缀列表的引用** 1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。 1. 在导航窗格中,选择**托管前缀列表**。 1. 选择前缀列表,然后选择下部窗格中的**关联**。 1. 引用前缀列表的资源的 ID 列在**资源 ID** 列中。资源的拥有者列在**资源拥有者**列中。 **使用 AWS CLI 识别对共享前缀列表的引用** 使用 [get-managed-prefix-list-associations](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-managed-prefix-list-associations.html) 命令。