AWS - VPC Prefix lists 管理 CIDR blocks
VPC Prefix lists
利用 VPC Prefix Lists 來集中管理 多個 CIDR 網段 (CIDR blocks),
讓你在跨帳號、跨 VPC、甚至跨區部署時,更輕鬆地維護 IP 白名單或網段規則。
VPC Managed Prefix List
是一種可以 集中定義與管理一組 CIDR 網段(IP 範圍) 的 AWS 資源,
並可被 多個 VPC、Security Group、Route Table、Network Firewall 等共同引用。
為甚麼要 Prefix List?
沒有 Prefix List 的情況下:
- 你可能在不同帳號 / VPC 重複維護相同的 CIDR (例:公司內網、合作夥伴 IP)
- 每個 Security Group 都要手動改 IP → 容易出錯
- CIDR 變更時要逐一更新 N 個地方
Prefix List 解決了這個痛點:
- 集中管理
- 跨帳號共用
- 自動同步更新
Prefix List 的類型
| 類型 | 說明 |
|---|---|
| AWS-managed prefix list | 由 AWS 提供並自動更新(例如:S3、CloudFront、DynamoDB 端點 IP) |
| Customer-managed prefix list | 由你自訂(可跨帳號共用與引用) |
Prefix List 在哪裡可以用?
| 服務 | 用途 |
|---|---|
| Security Group | 用 Prefix List 定義允許的來源 IP 範圍 |
| Network ACL (NACL) | 用於 CIDR 白名單控制 |
| Route Table | 將流量導向特定網段(例如 TGW、VPN) |
| AWS Network Firewall | 定義允許/阻擋的 IP 範圍 |
| AWS Transit Gateway (TGW) | 匯總多個子網段的路由目標 |
| VPC Peering | 控制可互通的網段範圍 |
使用場景
| 使用情境 | 解法 |
|---|---|
| 🧱 有多個帳號共用相同白名單 | 用 Prefix List + Resource Access Manager (RAM) 共用 |
| 🧠 管理 CloudFront / S3 IP | 使用 AWS-managed Prefix List |
| 🔄 CIDR 常變動 | 只要更新 Prefix List,一次套用到所有資源 |
| 🔒 需要集中控管安全組規則 | Prefix List + AWS Config / Control Tower |
| 🌐 多區網路路由設計 | Prefix List + Transit Gateway Route Table |
Reference
- AWS - Consolidate and manage network CIDR blocks with managed prefix lists
