Didacticiel : affichez l'historique des adresses IP à l'aide de AWS CLI - Amazon Virtual Private Cloud
PrésentationScénarios

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Didacticiel : affichez l'historique des adresses IP à l'aide de AWS CLI

Les scénarios de cette section vous montrent comment analyser et auditer l'utilisation des adresses IP à l'aide de l'AWS CLI. Pour obtenir des informations générales sur l'utilisation de l'AWS CLI, voirUtilisation deAWS CLIdans leAWSGuide de l'utilisateur de l'interface de ligne de commande.

Table des matières

Présentation

IPAM retient automatiquement les données de surveillance des adresses IP pendant trois ans maximum. Vous pouvez utiliser les données historiques pour analyser et auditer vos politiques de routage et de sécurité réseau. Vous pouvez rechercher des informations historiques pour les types de ressources suivants :

  • VPC

  • Sous-réseaux VPC

  • Adresses IP élastiques

  • Instances EC2 en cours d'exécution

  • Interfaces réseau EC2 connectées à des instances

Important

Bien qu'IPAM ne contrôle pas les instances Amazon EC2 ou les interfaces réseau EC2, reliées aux instances, vous pouvez utiliser la fonction d'historique de recherche d'IP pour rechercher des données historiques sur des CIDR d'interface réseau et d'instance EC2.

Note

  • Les commandes de ce didacticiel doivent être exécutées à l'aide du compte propriétaire de l'IPAM et duAWSRégion qui héberge l'IPAM.

  • Les enregistrements des modifications apportées aux CIDR sont capturés dans des instantanés périodiques, ce qui signifie que l'affichage ou la mise à jour des enregistrements peut prendre un certain temps, et les valeurs de SampledStartTime et SampledEndTime peuvent différer des heures réelles de leur apparition.

Scénarios

Les scénarios de cette section vous montrent comment analyser et auditer l'utilisation des adresses IP à l'aide de l'AWS CLI. Pour plus d'informations sur les valeurs mentionnées dans ce didacticiel, telles que l'heure de fin et l'heure de début échantillonnées, voirAfficher l'historique des adresses IP.

Scénario 1 : Quelles ressources ont été associées 10.2.1.155/32 entre 1 h et 21 h 00 le 27 décembre 2021 (UTC) ?

  1. Exécutez la commande suivante :

    aws ec2 get-ipam-address-history --region us-east-1 --cidr 10.2.1.155/32 --ipam-scope-id ipam-scope-05b579a1909c5fc7a --start-time 2021-12-20T01:00:00.000Z --end-time 2021-12-27T21:00:00.000Z

  2. Affichez les résultats de l'analyse. Dans l'exemple ci-dessous, le CIDR a été alloué à une interface réseau et à une instance EC2 au cours de la période. Remarque : une absence de valeur SampledEndTime signifie que le dossier est toujours actif. Pour plus d'informations sur les valeurs affichées dans la sortie suivante, consultez Afficher l'historique des adresses IP.

    {                                                     
    "HistoryRecords": [
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-east-1",
            "ResourceType": "network-interface",
            "ResourceId": "eni-0b4e53eb1733aba16",
            "ResourceCidr": "10.2.1.155/32",
            "VpcId": "vpc-0f5ee7e1ba908a378",
            "SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
        },
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-east-1",
            "ResourceType": "instance",
            "ResourceId": "i-064da1f79baed14f3",
            "ResourceCidr": "10.2.1.155/32",
            "VpcId": "vpc-0f5ee7e1ba908a378",
            "SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
        }
    ]
}

    Si l'ID du propriétaire de l'instance à laquelle une interface réseau est attachée diffère de l'ID propriétaire de l'interface réseau (comme c'est le cas pour les passerelles NAT, les interfaces réseau Lambda dans les VPC et autresAWSservices), le ResourceOwnerId est amazon-aws plutôt que l'ID de compte du propriétaire de l'interface réseau. L'exemple suivant montre l'enregistrement d'un CIDR associé à une passerelle NAT :

    {                                                     
    "HistoryRecords": [
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-east-1",
            "ResourceType": "network-interface",
            "ResourceId": "eni-0b4e53eb1733aba16",
            "ResourceCidr": "10.0.0.176/32",
            "VpcId": "vpc-0f5ee7e1ba908a378",
            "SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
        },
        {
            "ResourceOwnerId": "amazon-aws",
            "ResourceRegion": "us-east-1",
            "ResourceType": "instance",
            "ResourceCidr": "10.0.0.176/32",
            "VpcId": "vpc-0f5ee7e1ba908a378",
            "SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
        }
    ]
}
Scénario 2 : Quelles ressources ont été associées 10.2.1.0/24 entre le 1er décembre 2021 et le 27 décembre 2021 (UTC) ?

  1. Exécutez la commande suivante :

    aws ec2 get-ipam-address-history --region us-east-1 --cidr 10.2.1.0/24 --ipam-scope-id ipam-scope-05b579a1909c5fc7a --start-time 2021-12-01T00:00:00.000Z --end-time 2021-12-27T23:59:59.000Z

  2. Affichez les résultats de l'analyse. Dans l'exemple ci-dessous, le CIDR a été alloué à un sous-réseau et VPC au cours de la période. Remarque : une absence de valeur SampledEndTime signifie que le dossier est toujours actif. Pour plus d'informations sur les valeurs affichées dans la sortie suivante, consultez Afficher l'historique des adresses IP.

    {
    "HistoryRecords": [
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-east-1",
            "ResourceType": "subnet",
            "ResourceId": "subnet-0864c82a42f5bffed",
            "ResourceCidr": "10.2.1.0/24",
            "VpcId": "vpc-0f5ee7e1ba908a378",
            "SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
        },
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-east-1",
            "ResourceType": "vpc",
            "ResourceId": "vpc-0f5ee7e1ba908a378",
            "ResourceCidr": "10.2.1.0/24",
            "ResourceComplianceStatus": "compliant",
            "ResourceOverlapStatus": "nonoverlapping",
            "VpcId": "vpc-0f5ee7e1ba908a378",
            "SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
        }
    ]
}
Scénario 3 : Quelles ressources ont été associées 2605:9cc0:409::/56 entre le 1er décembre 2021 et le 27 décembre 2021 (UTC) ?

  1. Exécutez la commande suivante, où —region est la région d'origine IPAM :

    aws ec2 get-ipam-address-history --region us-east-1 --cidr 2605:9cc0:409::/56 --ipam-scope-id ipam-scope-07cb485c8b4a4d7cc --start-time 2021-12-01T01:00:00.000Z --end-time 2021-12-27T23:59:59.000Z

  2. Affichez les résultats de l'analyse. Dans l'exemple ci-dessous, le CIDR a été alloué à deux VPC différents au cours de la période dans une région située en dehors de la région d'origine de l'IPAM. Remarque : une absence de valeur SampledEndTime signifie que le dossier est toujours actif. Pour plus d'informations sur les valeurs affichées dans la sortie suivante, consultez Afficher l'historique des adresses IP. 

    {
    "HistoryRecords": [
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-east-2",
            "ResourceType": "vpc",
            "ResourceId": "vpc-01d967bf3b923f72c",
            "ResourceCidr": "2605:9cc0:409::/56",
            "ResourceName": "First example VPC",
            "ResourceComplianceStatus": "compliant",
            "ResourceOverlapStatus": "nonoverlapping",
            "VpcId": "vpc-01d967bf3b923f72c",
            "SampledStartTime": "2021-12-23T20:02:00.701000+00:00",
            "SampledEndTime": "2021-12-23T20:12:59.848000+00:00"
        },
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-east-2",
            "ResourceType": "vpc",
            "ResourceId": "vpc-03e62c7eca81cb652",
            "ResourceCidr": "2605:9cc0:409::/56",
            "ResourceName": "Second example VPC",
            "ResourceComplianceStatus": "compliant",
            "ResourceOverlapStatus": "nonoverlapping",
            "VpcId": "vpc-03e62c7eca81cb652",
            "SampledStartTime": "2021-12-27T15:11:00.046000+00:00"
        }
    ]
}
Scénario 4 : Quelles ressources ont été associées 10.0.0.0/24 au cours des dernières 24 heures (en supposant que l'heure actuelle soit minuit le 27 décembre 2021 (UTC)) ?

  1. Exécutez la commande suivante :

    aws ec2 get-ipam-address-history --region us-east-1 --cidr 10.0.0.0/24 --ipam-scope-id ipam-scope-05b579a1909c5fc7a --start-time 2021-12-27T00:00:00.000Z

  2. Affichez les résultats de l'analyse. Dans l'exemple ci-dessous, le CIDR a été alloué à plusieurs sous-réseaux et VPC au cours de la période. Remarque : une absence de valeur SampledEndTime signifie que le dossier est toujours actif. Pour plus d'informations sur les valeurs affichées dans la sortie suivante, consultez Afficher l'historique des adresses IP. 

    {
    "HistoryRecords": [
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-east-2",
            "ResourceType": "subnet",
            "ResourceId": "subnet-0d1b8f899725aa72d",
            "ResourceCidr": "10.0.0.0/24",
            "ResourceName": "Example name",
            "VpcId": "vpc-042b8a44f64267d67",
            "SampledStartTime": "2021-12-11T16:35:59.074000+00:00",
            "SampledEndTime": "2021-12-28T15:34:00.017000+00:00"
        },
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-east-2",
            "ResourceType": "vpc",
            "ResourceId": "vpc-09754dfd85911abec",
            "ResourceCidr": "10.0.0.0/24",
            "ResourceName": "Example name",
            "ResourceComplianceStatus": "unmanaged",
            "ResourceOverlapStatus": "overlapping",
            "VpcId": "vpc-09754dfd85911abec",
            "SampledStartTime": "2021-12-27T20:07:59.947000+00:00",
            "SampledEndTime": "2021-12-28T15:34:00.017000+00:00"
        },
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-west-2",
            "ResourceType": "vpc",
            "ResourceId": "vpc-0a8347f594bea5901",
            "ResourceCidr": "10.0.0.0/24",
            "ResourceName": "Example name",
            "ResourceComplianceStatus": "unmanaged",
            "ResourceOverlapStatus": "overlapping",
            "VpcId": "vpc-0a8347f594bea5901",
            "SampledStartTime": "2021-12-11T16:35:59.318000+00:00"
        },
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-east-1",
            "ResourceType": "subnet",
            "ResourceId": "subnet-0af7eadb0798e9148",
            "ResourceCidr": "10.0.0.0/24",
            "ResourceName": "Example name",
            "VpcId": "vpc-03298ba16756a8736",
            "SampledStartTime": "2021-12-14T21:07:22.357000+00:00"
        }
    ]
}
Scénario 5 : Quelles ressources sont actuellement associées avec 10.2.1.155/32 ?

  1. Exécutez la commande suivante :

    aws ec2 get-ipam-address-history --region us-east-1 --cidr 10.2.1.155/32 --ipam-scope-id ipam-scope-05b579a1909c5fc7a

  2. Affichez les résultats de l'analyse. Dans l'exemple ci-dessous, le CIDR a été alloué à une interface réseau et à une instance EC2 pendant la période. Remarque : une absence de valeur SampledEndTime signifie que le dossier est toujours actif. Pour plus d'informations sur les valeurs affichées dans la sortie suivante, consultez Afficher l'historique des adresses IP.

    {
    "HistoryRecords": [
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-east-1",
            "ResourceType": "network-interface",
            "ResourceId": "eni-0b4e53eb1733aba16",
            "ResourceCidr": "10.2.1.155/32",
            "VpcId": "vpc-0f5ee7e1ba908a378",
            "SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
        },
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-east-1",
            "ResourceType": "instance",
            "ResourceId": "i-064da1f79baed14f3",
            "ResourceCidr": "10.2.1.155/32",
            "VpcId": "vpc-0f5ee7e1ba908a378",
            "SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
        }
    ]
}
Scénario 6 : Quelles ressources sont actuellement associées avec 10.2.1.0/24 ?

  1. Exécutez la commande suivante :

    aws ec2 get-ipam-address-history --region us-east-1 --cidr 10.2.1.0/24 --ipam-scope-id ipam-scope-05b579a1909c5fc7a

  2. Affichez les résultats de l'analyse. Dans l'exemple ci-dessous, le CIDR a été alloué à un VPC et sous-réseau au cours de la période. Seuls les résultats qui correspondent exactement à ce résultat /24Les CIDR sont retournés, pas tous /32 au sein du/24CIDR. Remarque : une absence de valeur SampledEndTime signifie que le dossier est toujours actif. Pour plus d'informations sur les valeurs affichées dans la sortie suivante, consultez Afficher l'historique des adresses IP.

    {
    "HistoryRecords": [
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-east-1",
            "ResourceType": "subnet",
            "ResourceId": "subnet-0864c82a42f5bffed",
            "ResourceCidr": "10.2.1.0/24",
            "VpcId": "vpc-0f5ee7e1ba908a378",
            "SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
        },
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-east-1",
            "ResourceType": "vpc",
            "ResourceId": "vpc-0f5ee7e1ba908a378",
            "ResourceCidr": "10.2.1.0/24",
            "ResourceComplianceStatus": "compliant",
            "ResourceOverlapStatus": "nonoverlapping",
            "VpcId": "vpc-0f5ee7e1ba908a378",
            "SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
        }
    ]
}
Scénario 7 : Quelles ressources sont actuellement associées avec 54.0.0.9/32 ?

Dans cet exemple, 54.0.0.9/32 est attribué à une adresse IP élastique qui ne fait pas partie de l’AWSOrganization intégrée à votre IPAM.

  1. Exécutez la commande suivante :

    aws ec2 get-ipam-address-history --region us-east-1 --cidr 54.0.0.9/32 --ipam-scope-id ipam-scope-05b579a1909c5fc7a

  2. Depuis que 54.0.0.9/32 est attribué à une adresse IP élastique qui ne fait pas partie de l’AWSOrganization intégrée à l'IPAM dans cet exemple, aucun dossier n'est renvoyé.

    {
    "HistoryRecords": []
}