# AWS - VPC Prefix lists 管理 CIDR blocks
# VPC Prefix lists
利用 VPC Prefix Lists 來集中管理 多個 CIDR 網段 (CIDR blocks),
讓你在跨帳號、跨 VPC、甚至跨區部署時,更輕鬆地維護 IP 白名單或網段規則。
VPC Managed Prefix List
是一種可以 集中定義與管理一組 CIDR 網段(IP 範圍) 的 AWS 資源,
並可被 多個 VPC、Security Group、Route Table、Network Firewall 等共同引用。
# 為甚麼要 Prefix List?
沒有 Prefix List 的情況下:
- 你可能在不同帳號 / VPC 重複維護相同的 CIDR (例:公司內網、合作夥伴 IP)
- 每個 Security Group 都要手動改 IP → 容易出錯
- CIDR 變更時要逐一更新 N 個地方
Prefix List 解決了這個痛點:
- 集中管理
- 跨帳號共用
- 自動同步更新
# Prefix List 的類型
| 類型 | 說明 |
|---|---|
| AWS-managed prefix list | 由 AWS 提供並自動更新(例如:S3、CloudFront、DynamoDB 端點 IP) |
| Customer-managed prefix list | 由你自訂(可跨帳號共用與引用) |
# Prefix List 在哪裡可以用?
| 服務 | 用途 |
|---|---|
| Security Group | 用 Prefix List 定義允許的來源 IP 範圍 |
| Network ACL (NACL) | 用於 CIDR 白名單控制 |
| Route Table | 將流量導向特定網段(例如 TGW、VPN) |
| AWS Network Firewall | 定義允許 / 阻擋的 IP 範圍 |
| AWS Transit Gateway (TGW) | 匯總多個子網段的路由目標 |
| VPC Peering | 控制可互通的網段範圍 |
# 使用場景
| 使用情境 | 解法 |
|---|---|
| 🧱 有多個帳號共用相同白名單 | 用 Prefix List + Resource Access Manager (RAM) 共用 |
| 🧠 管理 CloudFront / S3 IP | 使用 AWS-managed Prefix List |
| 🔄 CIDR 常變動 | 只要更新 Prefix List,一次套用到所有資源 |
| 🔒 需要集中控管安全組規則 | Prefix List + AWS Config / Control Tower |
| 🌐 多區網路路由設計 | Prefix List + Transit Gateway Route Table |
# Reference
- AWS - Consolidate and manage network CIDR blocks with managed prefix lists
