チュートリアル: AWS CLI を使用して IP アドレス履歴を表示する
このセクションのシナリオでは、AWS CLI を使用して IP アドレス使用率を分析し監査する方法を説明します。AWS CLI の使用に関する一般的な情報については、AWS コマンドラインインターフェイスユーザーガイドにある「AWS CLI の使用」を参照してください。
概要
IPAM は、IP アドレス監視データを最大 3 年間自動的に保持します。履歴データを使用して、ネットワークセキュリティおよびルーティングポリシーを分析および監査できます。以下のタイプのリソースについて、履歴インサイトを検索できます。
VPC
VPC サブネット
Elastic IP アドレス
実行中の EC2 インスタンス
インスタンスにアタッチされた EC2 ネットワークインターフェイス
重要
IPAM はインスタンスにアタッチされた Amazon EC2 インスタンスおよび EC2 ネットワークインターフェイスを監視しませんが、IP 履歴検索機能を使用して EC2 インスタンスおよびネットワークインターフェイス CIDR 上の履歴データを検索できます。
注記
-
このチュートリアルにあるコマンドは、IPAM を所有するアカウントと IPAM をホストする AWS リージョンを使用して実行する必要があります。
-
CIDR に対する変更のレコードは、定期的なスナップショットで取得されます。これは、レコードが表示または更新されるまでに時間がかかることを指し、SampledStartTime および SampledEndTime の値が、実際の発生時刻と異なる場合があります。
シナリオ
このセクションのシナリオでは、AWS CLI を使用して IP アドレス使用率を分析し監査する方法を説明します。サンプリングされた終了時間や開始時間など、このチュートリアルで説明する値の詳細については、IP アドレス履歴の表示 を参照してください。
シナリオ 1: 2021 年 12 月 27 日 (UTC) の午前 1 時から午後 9 時の間に、10.2.1.155/32 に関連付けられたリソースはどれか?
次のコマンドを実行します。
aws ec2 get-ipam-address-history --regionus-east-1--cidr10.2.1.155/32--ipam-scope-idipam-scope-05b579a1909c5fc7a--start-time2021-12-20T01:00:00.000Z--end-time2021-12-27T21:00:00.000Z分析の結果を表示します。以下の例では、CIDR はネットワークインターフェイスと EC2 インスタンスに一定期間にわたって割り当てられています。SampledEndTime 値がないことは、レコードがアクティブ状態のままであることを意味します。次の出力に表示される値の詳細については、IP アドレス履歴の表示を参照してください。
{ "HistoryRecords": [ { "ResourceOwnerId": "123456789012", "ResourceRegion": "us-east-1", "ResourceType": "network-interface", "ResourceId": "eni-0b4e53eb1733aba16", "ResourceCidr": "10.2.1.155/32", "VpcId": "vpc-0f5ee7e1ba908a378", "SampledStartTime": "2021-12-27T20:08:46.672000+00:00" }, { "ResourceOwnerId": "123456789012", "ResourceRegion": "us-east-1", "ResourceType": "instance", "ResourceId": "i-064da1f79baed14f3", "ResourceCidr": "10.2.1.155/32", "VpcId": "vpc-0f5ee7e1ba908a378", "SampledStartTime": "2021-12-27T20:08:46.672000+00:00" } ] }ネットワークインターフェイスがアタッチされているインスタンスの所有者 ID が、ネットワークインターフェイスの所有者 ID と異なる場合 (NAT ゲートウェイ、VPC 内の Lambda ネットワークインターフェイス、およびその他の AWS サービス場合と同様に)、
ResourceOwnerIdはネットワークインターフェイスの所有者のアカウント ID ではなくamazon-awsになります。次の例は、NAT ゲートウェイに関連付けられている CIDR のレコードを示しています。{ "HistoryRecords": [ { "ResourceOwnerId": "123456789012", "ResourceRegion": "us-east-1", "ResourceType": "network-interface", "ResourceId": "eni-0b4e53eb1733aba16", "ResourceCidr": "10.0.0.176/32", "VpcId": "vpc-0f5ee7e1ba908a378", "SampledStartTime": "2021-12-27T20:08:46.672000+00:00" }, { "ResourceOwnerId": "amazon-aws", "ResourceRegion": "us-east-1", "ResourceType": "instance", "ResourceCidr": "10.0.0.176/32", "VpcId": "vpc-0f5ee7e1ba908a378", "SampledStartTime": "2021-12-27T20:08:46.672000+00:00" } ] }
シナリオ 2: 2021 年 12 月 1 日 ~ 2021 年 12 月 27 日 (UTC) の間に、10.2.1.0/24 に関連付けられるリソースはどれか?
次のコマンドを実行します。
aws ec2 get-ipam-address-history --regionus-east-1--cidr10.2.1.0/24--ipam-scope-idipam-scope-05b579a1909c5fc7a--start-time2021-12-01T00:00:00.000Z--end-time2021-12-27T23:59:59.000Z分析の結果を表示します。以下の例では、CIDR はサブネットと VPC に一定期間にわたって割り当てられています。SampledEndTime 値がないことは、レコードがアクティブ状態のままであることを意味します。次の出力に表示される値の詳細については、IP アドレス履歴の表示を参照してください。
{ "HistoryRecords": [ { "ResourceOwnerId": "123456789012", "ResourceRegion": "us-east-1", "ResourceType": "subnet", "ResourceId": "subnet-0864c82a42f5bffed", "ResourceCidr": "10.2.1.0/24", "VpcId": "vpc-0f5ee7e1ba908a378", "SampledStartTime": "2021-12-27T20:08:46.672000+00:00" }, { "ResourceOwnerId": "123456789012", "ResourceRegion": "us-east-1", "ResourceType": "vpc", "ResourceId": "vpc-0f5ee7e1ba908a378", "ResourceCidr": "10.2.1.0/24", "ResourceComplianceStatus": "compliant", "ResourceOverlapStatus": "nonoverlapping", "VpcId": "vpc-0f5ee7e1ba908a378", "SampledStartTime": "2021-12-27T20:08:46.672000+00:00" } ] }
シナリオ 3: 2021 年 12 月 1 日 ~ 2021 年 12 月 27 日 (UTC) の間に、2605:9cc0:409::/56 に関連付けられるリソースはどれか?
次のコマンドを実行します。--region は IPAM ホームリージョンとなります:
aws ec2 get-ipam-address-history --regionus-east-1--cidr2605:9cc0:409::/56--ipam-scope-idipam-scope-07cb485c8b4a4d7cc--start-time2021-12-01T01:00:00.000Z--end-time2021-12-27T23:59:59.000Z分析の結果を表示します。次の例では、CIDR は、IPAM ホームリージョン外のリージョンで、一定の期間にわたって 2 つの異なる VPC に割り当てられています。SampledEndTime 値がないことは、レコードがアクティブ状態のままであることを意味します。次の出力に表示される値の詳細については、IP アドレス履歴の表示を参照してください。
{ "HistoryRecords": [ { "ResourceOwnerId": "123456789012", "ResourceRegion": "us-east-2", "ResourceType": "vpc", "ResourceId": "vpc-01d967bf3b923f72c", "ResourceCidr": "2605:9cc0:409::/56", "ResourceName": "First example VPC", "ResourceComplianceStatus": "compliant", "ResourceOverlapStatus": "nonoverlapping", "VpcId": "vpc-01d967bf3b923f72c", "SampledStartTime": "2021-12-23T20:02:00.701000+00:00", "SampledEndTime": "2021-12-23T20:12:59.848000+00:00" }, { "ResourceOwnerId": "123456789012", "ResourceRegion": "us-east-2", "ResourceType": "vpc", "ResourceId": "vpc-03e62c7eca81cb652", "ResourceCidr": "2605:9cc0:409::/56", "ResourceName": "Second example VPC", "ResourceComplianceStatus": "compliant", "ResourceOverlapStatus": "nonoverlapping", "VpcId": "vpc-03e62c7eca81cb652", "SampledStartTime": "2021-12-27T15:11:00.046000+00:00" } ] }
シナリオ 4: 過去 24 時間に、10.0.0.0/24 に関連付けられたリソースはどれか (現時刻は 2021 年 12 月 27 日 (UTC) の午前 0 時であると仮定)?
-
次のコマンドを実行します。
aws ec2 get-ipam-address-history --regionus-east-1--cidr10.0.0.0/24--ipam-scope-idipam-scope-05b579a1909c5fc7a--start-time2021-12-27T00:00:00.000Z -
分析の結果を表示します。以下の例では、CIDR が多くのサブネットと VPC に一定期間にわたって割り当てられています。SampledEndTime 値がないことは、レコードがアクティブ状態のままであることを意味します。次の出力に表示される値の詳細については、IP アドレス履歴の表示を参照してください。
{ "HistoryRecords": [ { "ResourceOwnerId": "123456789012", "ResourceRegion": "us-east-2", "ResourceType": "subnet", "ResourceId": "subnet-0d1b8f899725aa72d", "ResourceCidr": "10.0.0.0/24", "ResourceName": "Example name", "VpcId": "vpc-042b8a44f64267d67", "SampledStartTime": "2021-12-11T16:35:59.074000+00:00", "SampledEndTime": "2021-12-28T15:34:00.017000+00:00" }, { "ResourceOwnerId": "123456789012", "ResourceRegion": "us-east-2", "ResourceType": "vpc", "ResourceId": "vpc-09754dfd85911abec", "ResourceCidr": "10.0.0.0/24", "ResourceName": "Example name", "ResourceComplianceStatus": "unmanaged", "ResourceOverlapStatus": "overlapping", "VpcId": "vpc-09754dfd85911abec", "SampledStartTime": "2021-12-27T20:07:59.947000+00:00", "SampledEndTime": "2021-12-28T15:34:00.017000+00:00" }, { "ResourceOwnerId": "123456789012", "ResourceRegion": "us-west-2", "ResourceType": "vpc", "ResourceId": "vpc-0a8347f594bea5901", "ResourceCidr": "10.0.0.0/24", "ResourceName": "Example name", "ResourceComplianceStatus": "unmanaged", "ResourceOverlapStatus": "overlapping", "VpcId": "vpc-0a8347f594bea5901", "SampledStartTime": "2021-12-11T16:35:59.318000+00:00" }, { "ResourceOwnerId": "123456789012", "ResourceRegion": "us-east-1", "ResourceType": "subnet", "ResourceId": "subnet-0af7eadb0798e9148", "ResourceCidr": "10.0.0.0/24", "ResourceName": "Example name", "VpcId": "vpc-03298ba16756a8736", "SampledStartTime": "2021-12-14T21:07:22.357000+00:00" } ] }
シナリオ 5: 現在 10.2.1.155/32 に関連付けられているリソースはどれか?
-
次のコマンドを実行します。
aws ec2 get-ipam-address-history --regionus-east-1--cidr10.2.1.155/32--ipam-scope-idipam-scope-05b579a1909c5fc7a -
分析の結果を表示します。以下の例では、CIDR がネットワークインターフェイスと EC2 インスタンスに一定期間にわたって割り当てられています。SampledEndTime 値がないことは、レコードがアクティブ状態のままであることを意味します。次の出力に表示される値の詳細については、IP アドレス履歴の表示を参照してください。
{ "HistoryRecords": [ { "ResourceOwnerId": "123456789012", "ResourceRegion": "us-east-1", "ResourceType": "network-interface", "ResourceId": "eni-0b4e53eb1733aba16", "ResourceCidr": "10.2.1.155/32", "VpcId": "vpc-0f5ee7e1ba908a378", "SampledStartTime": "2021-12-27T20:08:46.672000+00:00" }, { "ResourceOwnerId": "123456789012", "ResourceRegion": "us-east-1", "ResourceType": "instance", "ResourceId": "i-064da1f79baed14f3", "ResourceCidr": "10.2.1.155/32", "VpcId": "vpc-0f5ee7e1ba908a378", "SampledStartTime": "2021-12-27T20:08:46.672000+00:00" } ] }
シナリオ 6: 現在 10.2.1.0/24 に関連付けられているリソースはどれか?
-
次のコマンドを実行します。
aws ec2 get-ipam-address-history --regionus-east-1--cidr10.2.1.0/24--ipam-scope-idipam-scope-05b579a1909c5fc7a -
分析の結果を表示します。以下の例では、CIDR が VPC とサブネットに一定期間にわたって割り当てられています。この
/24CIDR に完全に一致する結果のみが返されます。/24CIDR のすべての/32ではありません。SampledEndTime 値がないことは、レコードがアクティブ状態のままであることを意味します。次の出力に表示される値の詳細については、IP アドレス履歴の表示を参照してください。{ "HistoryRecords": [ { "ResourceOwnerId": "123456789012", "ResourceRegion": "us-east-1", "ResourceType": "subnet", "ResourceId": "subnet-0864c82a42f5bffed", "ResourceCidr": "10.2.1.0/24", "VpcId": "vpc-0f5ee7e1ba908a378", "SampledStartTime": "2021-12-27T20:08:46.672000+00:00" }, { "ResourceOwnerId": "123456789012", "ResourceRegion": "us-east-1", "ResourceType": "vpc", "ResourceId": "vpc-0f5ee7e1ba908a378", "ResourceCidr": "10.2.1.0/24", "ResourceComplianceStatus": "compliant", "ResourceOverlapStatus": "nonoverlapping", "VpcId": "vpc-0f5ee7e1ba908a378", "SampledStartTime": "2021-12-27T20:08:46.672000+00:00" } ] }
シナリオ 7: 現在 54.0.0.9/32 に関連付けられているリソースはどれか?
この例では、54.0.0.9/32 が IPAM と統合されている AWS Organizations の一部ではない Elastic IP アドレスに割り当てられています。
-
次のコマンドを実行します。
aws ec2 get-ipam-address-history --regionus-east-1--cidr54.0.0.9/32--ipam-scope-idipam-scope-05b579a1909c5fc7a -
この例では、
54.0.0.9/32が IPAM と統合されている AWS Organizations の一部ではない Elastic IP アドレスに割り当てられているため、レコードは返されません。{ "HistoryRecords": [] }
