ENGINEER BLOG ENGINEER BLOG
  • 公開日
  • 最終更新日

【Amazon VPC IPAM】IPアドレスからEC2インスタンスを特定できるか試してみた

この記事を共有する

目次

はじめに

皆さんこんにちは!パーソル&サーバーワークスの小泉です。 今回は、「IPAMのダッシュボードでどこまでリソースの中身が見えるのか」を検証してみます。 特に気になっていたのは以下の点です。

  • ダッシュボードで何が一覧できるのか
  • ENIは見えるのか?ENIに紐づくEC2インスタンスは辿れるのか?
  • パブリックIPの使用状況はどこまで把握できるのか
  • 未使用のEIPを検出できるのか

先に結論を書いてしまうと、「IP履歴を検索する」機能を使えば、プライベートIPからでもEC2インスタンスまで辿れます。 ただし辿り方は1つではなく、用途によって使い分ける必要がありました。実際に確認してみた流れをまとめます。

検証環境

マルチアカウント・マルチリージョン構成でIPAMを構築済みの環境を使います。加えて、ENI/EC2/EIPの検証用に以下を追加しています。

EC2-IPAM.png

手順

1. ダッシュボードを確認する

IPAM管理者アカウントでIPAMコンソールを開き、「ダッシュボード」を選択します。

ipam-overview.png

スコープ全体のサマリが円グラフのウィジェットで表示されます。確認できる情報は以下の通りです。

ウィジェット表示内容
リソース CIDR タイプサブネット / VPC
管理状態マネージド / アンマネージド / 無視された CIDR の数
重複するリソース CIDR重複あり / 重複なし の数(赤く表示されるので一目で分かる)
準拠リソース CIDR割り当てルールに準拠 / 非準拠の数
重複ステータス重複CIDRの時系列推移グラフ

今回の環境では「重複するリソースCIDR」が赤く5件表示されています。これは各アカウントのデフォルトVPC(すべて172.31.0.0/16)がお互いに重複と判定されているためです。

2. リソース一覧を確認する

ダッシュボードの「このスコープのネットワークリソースを表示」をクリックするか、左メニューの「リソース」を開きます。

ipam-overview(リソース一覧).png

Organizations配下の複数アカウントのVPC・サブネットが横断的に一覧表示されています。各行には以下の情報が表示されます。

内容
名前 (リソース ID)vpc-xxx / subnet-xxx / ipam-pool-xxx
リソースのタイプVPC / サブネット / IPAMプールCIDR
CIDR割り当てられたCIDRブロック
コンプライアンスのステータス準拠 / 非準拠 / −
重複ステータス重複なし / 重複
所有者 IDリソースを持つAWSアカウントID
割り当てられた IPVPC/サブネットのIP使用率
リージョンリソースのリージョン

ここで気づいたのですが、リソース一覧に表示されるのはVPC・サブネット・IPAMプールCIDRまでで、ENI単体は出てきません。「ENIが見えるか?」の答えは、この画面に関しては「No」です。

では、ENIやEC2インスタンスの紐付けはどうやって辿るのか。2つの方法があります。

3. パブリックIPに関するインサイトで確認する

左メニューの「パブリックIPに関するインサイト」を開きます。

パブリックIP.png

Organizations全体のパブリックIPv4アドレスが一覧表示されます。今回の環境では3件が検出されました。

IPアドレス関連付けアドレスタイプENI IDインスタンスID
13.112.237.239関連付けられているAmazon所有EIPeni-066c5e735e1ec2560i-081d7b366a6a0be63
54.64.83.208関連付けられていないAmazon所有EIP
43.207.66.214関連付けられているEC2 public IPeni-066c5e735e1ec2560i-081d7b366a6a0be63

ここで重要なのは2点です。

① パブリックIPからENI・EC2インスタンスまで辿れる

「ネットワークインターフェイスID」列と「インスタンスID」列が表示されています。パブリックIPを持つリソースであれば、IPAMの画面上でEC2インスタンスまで特定できます。

② 未使用EIPが検出される

54.64.83.208 が「関連付けられていない」として赤く表示されています。

ただし、パブリックIPに関するインサイトはパブリックIPを持つリソースだけが対象です。プライベートIPのみのEC2はここには出ません。

4. IP履歴を検索する(プライベートIPでもEC2が辿れる)

ここが今回一番の発見でした。

左メニューの「IP履歴を検索する」を開き、プライベートIPアドレス 10.0.0.29/32 を入力して検索してみます。

プライベートIP.png

結果として、2件のIP履歴レコードが返ってきました。

名前 (リソースID)リソースのタイプVPC IDリージョン
eni-066c5e735e1ec2560ネットワークインターフェイスvpc-04b54c2122e85bf35ap-northeast-1
i-081d7b366a6a0be63インスタンスvpc-04b54c2122e85bf35ap-northeast-1

プライベートIPアドレスからでも、ENIとEC2インスタンスの両方が辿れています。

正直、これは想定外でした。リソース一覧にENIが出なかったので「プライベートIPではEC2まで辿れないのでは」と思っていたのですが、IP履歴検索を使えば問題なく特定できました。

IPAMで「IPからEC2を辿る」方法のまとめ

検証結果を整理すると、IPAMでIPアドレスからEC2インスタンスを特定する方法は用途に応じて3つあります。

機能対象IPENI表示EC2表示用途
リソース一覧VPC/サブネットのCIDR管理状況を俯瞰する
パブリックIPに関するインサイトパブリックIPパブリックIPの棚卸し・未使用EIP検出
IP履歴を検索するパブリック/プライベート両方特定IPが何に紐づいているか調査

「ENIに紐づくEC2は分かるのか」という最初の疑問への答えは、「IP履歴を検索する」を使えばパブリック/プライベートを問わず辿れるでした。

注意点

  • リソース一覧の反映には時間がかかる:新しいVPCやサブネットを作成しても、IPAMのリソース一覧に反映されるまで数分〜かかります。
  • パブリックIPに関するインサイトはFree Tierでも利用可能:ただし、プライベートIPv4のプール管理やIP履歴監査はAdvanced Tierが必要です。
  • CSVエクスポート:パブリックIPに関するインサイト、IP履歴ともにCSVエクスポートが可能です。

所感

実際に触ってみて、IPAMは触っていかないと理解が難しいサービスだなと思いました。

この記事は私が書きました

小泉 和貴

記事一覧

全国を旅行することを目標に、仕事を頑張っています。

小泉 和貴

この記事を共有する

クラウドのご相談

CONTACT

クラウド導入や運用でお悩みの方は、お気軽にご相談ください。
専門家がサポートします。

サービス資料ダウンロード

DOWNLOAD

ビジネスをクラウドで加速させる準備はできていますか?
今すぐサービス資料をダウンロードして、詳細をご確認ください。