Tutorial: visualizzazione della cronologia degli indirizzi IP utilizzando la AWS CLI - Amazon Virtual Private Cloud
PanoramicaScenari

Tutorial: visualizzazione della cronologia degli indirizzi IP utilizzando la AWS CLI

Gli scenari descritti in questa sezione illustrano come analizzare e verificare l'utilizzo dell'indirizzo IP utilizzando la AWS CLI. Per informazioni generali sull'utilizzo della AWS CLI, consulta la sezione Utilizzo della AWS CLI nella Guida per l'utente di AWS Command Line Interface.

Panoramica

IPAM conserva automaticamente i dati di monitoraggio dell'indirizzo IP per un massimo di tre anni. È possibile utilizzare i dati cronologici per analizzare e verificare le policy di sicurezza e routing della rete. È possibile cercare informazioni storiche dettagliate per i seguenti tipi di risorse:

  • VPC

  • Sottoreti VPC

  • Indirizzi IP elastici

  • Istanze EC2 in esecuzione

  • Interfacce di rete EC2 collegate alle istanze

Importante

Sebbene IPAM non monitori istanze Amazon EC2 o interfacce di rete EC2 collegate alle istanze, puoi utilizzare la funzione Cerca nella cronologia IP per cercare i dati cronologici su CIDR dell'istanza EC2 e dell'interfaccia di rete.

Nota

  • I comandi di questo tutorial devono essere eseguiti utilizzando l'account proprietario dell'IPAM e la regione AWS che ospita l'IPAM.

  • I registri delle modifiche ai CIDR vengono rilevati in snapshot periodici: ciò significa che può trascorrere del tempo prima che i registri vengano visualizzati o aggiornati. Inoltre, i valori di SampledStartTime e SampleEndTime possono differire da quelli effettivi in cui gli eventi si sono verificati.

Scenari

Gli scenari descritti in questa sezione illustrano come analizzare e verificare l'utilizzo dell'indirizzo IP utilizzando la AWS CLI. Per ulteriori informazioni sui valori menzionati in questo tutorial, come l'ora di fine e l'ora di inizio campionamento, consulta Visualizzazione della cronologia degli indirizzi IP.

Scenario 1: Quali risorse sono state associate con 10.2.1.155/32 tra l'1:00 e le 21:00 del 27 dicembre 2021 (UTC)?

  1. Esegui il comando seguente:

    aws ec2 get-ipam-address-history --region us-east-1 --cidr 10.2.1.155/32 --ipam-scope-id ipam-scope-05b579a1909c5fc7a --start-time 2021-12-20T01:00:00.000Z --end-time 2021-12-27T21:00:00.000Z

  2. Visualizza i risultati dell'analisi. Nell'esempio seguente, nel periodo di tempo il CIDR è stato allocato a un'interfaccia di rete e all'istanza EC2. L'assenza di un valore SampledEndTime indica che il registro è ancora attivo. Per ulteriori informazioni sui valori mostrati nell'output riportato di seguito, consulta Visualizzazione della cronologia degli indirizzi IP.

    {                                                     
    "HistoryRecords": [
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-east-1",
            "ResourceType": "network-interface",
            "ResourceId": "eni-0b4e53eb1733aba16",
            "ResourceCidr": "10.2.1.155/32",
            "VpcId": "vpc-0f5ee7e1ba908a378",
            "SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
        },
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-east-1",
            "ResourceType": "instance",
            "ResourceId": "i-064da1f79baed14f3",
            "ResourceCidr": "10.2.1.155/32",
            "VpcId": "vpc-0f5ee7e1ba908a378",
            "SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
        }
    ]
}

    Se l'ID proprietario dell'istanza a cui è collegata un'interfaccia di rete differisce dall'ID proprietario dell'interfaccia di rete (come nel caso dei gateway NAT, delle interfacce di rete Lambda nei VPC e di altri servizi AWS), il valore ResourceOwnerId è amazon-aws anziché l'ID account del proprietario dell'interfaccia di rete. L'esempio seguente mostra il registro di un CIDR associato a un gateway NAT:

    {                                                     
    "HistoryRecords": [
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-east-1",
            "ResourceType": "network-interface",
            "ResourceId": "eni-0b4e53eb1733aba16",
            "ResourceCidr": "10.0.0.176/32",
            "VpcId": "vpc-0f5ee7e1ba908a378",
            "SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
        },
        {
            "ResourceOwnerId": "amazon-aws",
            "ResourceRegion": "us-east-1",
            "ResourceType": "instance",
            "ResourceCidr": "10.0.0.176/32",
            "VpcId": "vpc-0f5ee7e1ba908a378",
            "SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
        }
    ]
}
Scenario 2: Quali risorse sono state associate con 10.2.1.0/24 tra il 1° dicembre 2021 e il 27 dicembre 2021 (UTC)?

  1. Esegui il comando seguente:

    aws ec2 get-ipam-address-history --region us-east-1 --cidr 10.2.1.0/24 --ipam-scope-id ipam-scope-05b579a1909c5fc7a --start-time 2021-12-01T00:00:00.000Z --end-time 2021-12-27T23:59:59.000Z

  2. Visualizza i risultati dell'analisi. Nell'esempio seguente, il CIDR è stato allocato a una sottorete e VPC nel periodo di tempo. L'assenza di un valore SampledEndTime indica che il registro è ancora attivo. Per ulteriori informazioni sui valori mostrati nell'output riportato di seguito, consulta Visualizzazione della cronologia degli indirizzi IP.

    {
    "HistoryRecords": [
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-east-1",
            "ResourceType": "subnet",
            "ResourceId": "subnet-0864c82a42f5bffed",
            "ResourceCidr": "10.2.1.0/24",
            "VpcId": "vpc-0f5ee7e1ba908a378",
            "SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
        },
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-east-1",
            "ResourceType": "vpc",
            "ResourceId": "vpc-0f5ee7e1ba908a378",
            "ResourceCidr": "10.2.1.0/24",
            "ResourceComplianceStatus": "compliant",
            "ResourceOverlapStatus": "nonoverlapping",
            "VpcId": "vpc-0f5ee7e1ba908a378",
            "SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
        }
    ]
}
Scenario 3: Quali risorse sono state associate con 2605:9cc0:409::/56 tra il 1° dicembre 2021 e il 27 dicembre 2021 (UTC)?

  1. Esegui il seguente comando, dove --region è la regione di origine dell'IPAM:

    aws ec2 get-ipam-address-history --region us-east-1 --cidr 2605:9cc0:409::/56 --ipam-scope-id ipam-scope-07cb485c8b4a4d7cc --start-time 2021-12-01T01:00:00.000Z --end-time 2021-12-27T23:59:59.000Z

  2. Visualizza i risultati dell'analisi. Nell'esempio seguente, nel periodo di tempo il CIDR è stato allocato a due diversi VPC in una regione diversa da quella di origine dell'IPAM. L'assenza di un valore SampledEndTime indica che il registro è ancora attivo. Per ulteriori informazioni sui valori mostrati nell'output riportato di seguito, consulta Visualizzazione della cronologia degli indirizzi IP. 

    {
    "HistoryRecords": [
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-east-2",
            "ResourceType": "vpc",
            "ResourceId": "vpc-01d967bf3b923f72c",
            "ResourceCidr": "2605:9cc0:409::/56",
            "ResourceName": "First example VPC",
            "ResourceComplianceStatus": "compliant",
            "ResourceOverlapStatus": "nonoverlapping",
            "VpcId": "vpc-01d967bf3b923f72c",
            "SampledStartTime": "2021-12-23T20:02:00.701000+00:00",
            "SampledEndTime": "2021-12-23T20:12:59.848000+00:00"
        },
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-east-2",
            "ResourceType": "vpc",
            "ResourceId": "vpc-03e62c7eca81cb652",
            "ResourceCidr": "2605:9cc0:409::/56",
            "ResourceName": "Second example VPC",
            "ResourceComplianceStatus": "compliant",
            "ResourceOverlapStatus": "nonoverlapping",
            "VpcId": "vpc-03e62c7eca81cb652",
            "SampledStartTime": "2021-12-27T15:11:00.046000+00:00"
        }
    ]
}
Scenario 4: Quali risorse sono state associate con 10.0.0.0/24 nelle ultime 24 ore (supponendo che l'ora corrente sia mezzanotte del 27 dicembre 2021 (UTC))?

  1. Esegui il comando seguente:

    aws ec2 get-ipam-address-history --region us-east-1 --cidr 10.0.0.0/24 --ipam-scope-id ipam-scope-05b579a1909c5fc7a --start-time 2021-12-27T00:00:00.000Z

  2. Visualizza i risultati dell'analisi. Nell'esempio seguente, nel periodo di tempo il CIDR è stato allocato a numerosi sottoreti e VPC. L'assenza di un valore SampledEndTime indica che il registro è ancora attivo. Per ulteriori informazioni sui valori mostrati nell'output riportato di seguito, consulta Visualizzazione della cronologia degli indirizzi IP. 

    {
    "HistoryRecords": [
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-east-2",
            "ResourceType": "subnet",
            "ResourceId": "subnet-0d1b8f899725aa72d",
            "ResourceCidr": "10.0.0.0/24",
            "ResourceName": "Example name",
            "VpcId": "vpc-042b8a44f64267d67",
            "SampledStartTime": "2021-12-11T16:35:59.074000+00:00",
            "SampledEndTime": "2021-12-28T15:34:00.017000+00:00"
        },
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-east-2",
            "ResourceType": "vpc",
            "ResourceId": "vpc-09754dfd85911abec",
            "ResourceCidr": "10.0.0.0/24",
            "ResourceName": "Example name",
            "ResourceComplianceStatus": "unmanaged",
            "ResourceOverlapStatus": "overlapping",
            "VpcId": "vpc-09754dfd85911abec",
            "SampledStartTime": "2021-12-27T20:07:59.947000+00:00",
            "SampledEndTime": "2021-12-28T15:34:00.017000+00:00"
        },
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-west-2",
            "ResourceType": "vpc",
            "ResourceId": "vpc-0a8347f594bea5901",
            "ResourceCidr": "10.0.0.0/24",
            "ResourceName": "Example name",
            "ResourceComplianceStatus": "unmanaged",
            "ResourceOverlapStatus": "overlapping",
            "VpcId": "vpc-0a8347f594bea5901",
            "SampledStartTime": "2021-12-11T16:35:59.318000+00:00"
        },
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-east-1",
            "ResourceType": "subnet",
            "ResourceId": "subnet-0af7eadb0798e9148",
            "ResourceCidr": "10.0.0.0/24",
            "ResourceName": "Example name",
            "VpcId": "vpc-03298ba16756a8736",
            "SampledStartTime": "2021-12-14T21:07:22.357000+00:00"
        }
    ]
}
Scenario 5: Quali risorse sono attualmente associate con 10.2.1.155/32?

  1. Esegui il comando seguente:

    aws ec2 get-ipam-address-history --region us-east-1 --cidr 10.2.1.155/32 --ipam-scope-id ipam-scope-05b579a1909c5fc7a

  2. Visualizza i risultati dell'analisi. Nell'esempio seguente, nel periodo di tempo il CIDR è stato allocato a un'interfaccia di rete e all'istanza EC2. L'assenza di un valore SampledEndTime indica che il registro è ancora attivo. Per ulteriori informazioni sui valori mostrati nell'output riportato di seguito, consulta Visualizzazione della cronologia degli indirizzi IP.

    {
    "HistoryRecords": [
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-east-1",
            "ResourceType": "network-interface",
            "ResourceId": "eni-0b4e53eb1733aba16",
            "ResourceCidr": "10.2.1.155/32",
            "VpcId": "vpc-0f5ee7e1ba908a378",
            "SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
        },
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-east-1",
            "ResourceType": "instance",
            "ResourceId": "i-064da1f79baed14f3",
            "ResourceCidr": "10.2.1.155/32",
            "VpcId": "vpc-0f5ee7e1ba908a378",
            "SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
        }
    ]
}
Scenario 6: Quali risorse sono attualmente associate con 10.2.1.0/24?

  1. Esegui il comando seguente:

    aws ec2 get-ipam-address-history --region us-east-1 --cidr 10.2.1.0/24 --ipam-scope-id ipam-scope-05b579a1909c5fc7a

  2. Visualizza i risultati dell'analisi. Nell'esempio seguente, nel periodo di tempo il CIDR è stato allocato a un VPC e una sottorete. Solo i risultati che corrispondono esattamente a questo CIDR /24 vengono restituiti, non tutti i codici /32 all'interno del CIDR /24. L'assenza di un valore SampledEndTime indica che il registro è ancora attivo. Per ulteriori informazioni sui valori mostrati nell'output riportato di seguito, consulta Visualizzazione della cronologia degli indirizzi IP.

    {
    "HistoryRecords": [
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-east-1",
            "ResourceType": "subnet",
            "ResourceId": "subnet-0864c82a42f5bffed",
            "ResourceCidr": "10.2.1.0/24",
            "VpcId": "vpc-0f5ee7e1ba908a378",
            "SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
        },
        {
            "ResourceOwnerId": "123456789012",
            "ResourceRegion": "us-east-1",
            "ResourceType": "vpc",
            "ResourceId": "vpc-0f5ee7e1ba908a378",
            "ResourceCidr": "10.2.1.0/24",
            "ResourceComplianceStatus": "compliant",
            "ResourceOverlapStatus": "nonoverlapping",
            "VpcId": "vpc-0f5ee7e1ba908a378",
            "SampledStartTime": "2021-12-27T20:08:46.672000+00:00"
        }
    ]
}
Scenario 7: Quali risorse sono attualmente associate con 54.0.0.9/32?

In questo esempio, 54.0.0.9/32 è assegnato a un indirizzo IP elastico che non fa parte dell'organizzazione AWS integrata con il tuo IPAM.

  1. Esegui il comando seguente:

    aws ec2 get-ipam-address-history --region us-east-1 --cidr 54.0.0.9/32 --ipam-scope-id ipam-scope-05b579a1909c5fc7a

  2. Dato che 54.0.0.9/32 è assegnato a un indirizzo IP elastico che non fa parte dell'organizzazione AWS integrata con l'IPAM in questo esempio, non vengono restituiti record.

    {
    "HistoryRecords": []
}