VPCフローログの設定した結果、cloudtrailを見ると、自動でcreatelogstreamされます。この操作の発信元IPは確認できないのか?

0

最近VPCフローログを設定したところ、cloudtrailに以下(一番下)が出力されるようになりました。
cloudtrailに想定しない操作があった場合(発信元IPが不明とか)はアラートするよう監視ツールで設定しているのですが、以下が疑問です。

1)vpc-flow-logging+8xxxxxxxxxxx は誰なのか?
2)発信者IP("sourceIPAddress")の "54.240.200.68"ってAWS側のアドレスでよいのか(利用者ではなく)?

上記共にAWS側のユーザ、IPアドレスと認識しているのですが、その記載がAWSDocumentを探し回っても、見当たらず。
特にIPアドレスは一定していないように見えるので、無視していいアドレスか確認できなくて困っています。
どなたか、AWS側のアドレスだから無視できると判断できる情報の記載箇所を教えていただけると大変助かります。
#他のAWSサービス(ELBとか)でも、AWS側からの自動処理と思われる操作があるのですが、同様にIPアドレス、ユーザが不明で困っています。
#AWSサービス提供側による自動実行処理を、「AWS側」と私は表現しています。

■補足
以下URLにAWS全体のIPRANGEが記載されていますが、これって利用者のIP含んでるんですよね?
だとしたらそのままでは使えない(セキュリティ的な意味で無視できない)と思っています。
http://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html

■cloudtrailコンソール
{
"eventVersion": "1.04",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAZZZZZZZZZZZZZZZZZ:vpc-flow-logging+8xxxxxxxxxxx",
"arn": "arn:aws:sts::8xxxxxxxxxxx:assumed-role/flowlogsRole/vpc-flow-logging+8xxxxxxxxxxx",
"accountId": "8xxxxxxxxxxx",
"accessKeyId": "ASIAZZZZZZZZZZZZZZZZZ",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2017-11-07T13:52:55Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AROAZZZZZZZZZZZZZZZZZ",
"arn": "arn:aws:iam::8xxxxxxxxxxx:role/flowlogsRole",
"accountId": "8xxxxxxxxxxx",
"userName": "flowlogsRole"
}
}
},
"eventTime": "2017-11-07T14:09:54Z",
"eventSource": "logs.amazonaws.com",
"eventName": "CreateLogStream",
"awsRegion": "ap-northeast-1",
"sourceIPAddress": "54.240.200.68",
"userAgent": "aws-vpc-flow-logs, aws-internal/3",
"requestParameters": {
"logGroupName": "flowlogs-loggroup",
"logStreamName": "eni-cf563ac0-accept"
},
"responseElements": null,
"requestID": "53d57134-c3c5-11e7-9fc1-7370821a1dfe",
"eventID": "dc10a380-d2ee-4787-9093-0f89b0217a75",
"eventType": "AwsApiCall",
"apiVersion": "20140328",
"recipientAccountId": "8xxxxxxxxxxx"
}

Edited by: keep-eye-on-Ad3 on Nov 8, 2017 8:14 PM

質問済み 7年前333ビュー
2回答
0

既に他の場所で回答を得ているかもしれませんが、私の理解している範囲で説明させていただきます。

1)vpc-flow-logging+8xxxxxxxxxxx は誰なのか?
これは API の AssumeRole を使用する際、リクエストに RoleSessionName パラメータとして付与された値です。
これは AWS 側で操作 (CreateLogStream) を実施する前に一時的な認証情報を得るためのものですが、便宜上アカウント ID を含めたこの文字列を使用していると思われます (実際のログからの推測)。

http://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html#API_AssumeRole_Examples
※ こちらの例では "Bob" という文字列を指定しています。

2)発信者IP("sourceIPAddress")の "54.240.200.68"ってAWS側のアドレスでよいのか(利用者ではなく)?
以下URLにAWS全体のIPRANGEが記載されていますが、これって利用者のIP含んでるんですよね?
ご認識の通りと考えます。
最終的にどういった事を実現しようとされているか分かりませんが、"sourceIPAddress" のみでこのログが問題ない事を判断することはできないと考えますので、他の値を組み合わせて想定された操作と判断するなどの対応が必要になると思います。

semnil
回答済み 7年前
0

semnil さん、コメントありがとうございます!!

>便宜上アカウント ID を含めたこの文字列を使用していると思われます (実際のログからの推測)。

なるほど。AWSさんには、命名のルールなどをdocumentに明記してほしいですが、きっとそこまでは手が届かないんですよね。

>最終的にどういった事を実現しようとされているか分かりませんが、"sourceIPAddress" のみでこのログが問題ない事を判断することはできないと考えますので、他の値を組み合わせて想定された操作と判断するなどの対応が必要になると思います。

「最終的にどういった事を」としては、監視ツールを使ってAWS操作を監視しており、
「問題ない事を判断すること」を正規表現で実現したいと思っていました。
ご助言頂いた通り、"sourceIPAddress"以外をのフィールドを利用して、実現したいと思います。
あらためて、semnil さん、ありがとうございました。

#以下、"sourceIPAddress"以外をのフィールドとして操作元特定に利用予定。
invokedBy, eventSource, eventName, sourceIPAddress, userAgent

#以下URLを参考にしました。
https://aws.amazon.com/jp/premiumsupport/knowledge-center/cloudtrail-root-action-logs/

回答済み 7年前

ログインしていません。 ログイン 回答を投稿する。

優れた回答とは、質問に明確に答え、建設的なフィードバックを提供し、質問者の専門分野におけるスキルの向上を促すものです。

質問に答えるためのガイドライン

関連するコンテンツ