CloudTrail - поле sourceIPAddress в событии управления CloudTrail

Ниже показано событие, которое я получил в журналах S3, созданных CloudTrail:

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AID...HVRL",
        "arn": "arn:aws:iam::233333337:user/Administrator",
        "accountId": "233333337",
        "accessKeyId": "abcd",
        "userName": "Administrator"
    },
    "eventTime": "2019-06-26T21:49:54Z",
    "eventSource": "acm.amazonaws.com",
    "eventName": "GetCertificate",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "64.xx.xx.224",
    "userAgent": "aws-sdk-go/1.20.3 (go1.12.6; darwin; amd64)",
    "requestParameters": {
        "certificateArn": "arn:aws:acm:us-east-2:233333337:certificate/23fffff-1fff4-bfff-6fffff"
    },
    "responseElements": {
        "certificateChain": "-----BEGIN CERTIFICATE-----\nMIID2zCCA...ZYIQ\u003d\u003d\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----\nMIIDrzC......Nh7d1A6k8\u003d\n-----END CERTIFICATE-----\n",
        "certificate": "-----BEGIN CERTIFICATE-----\nMIIDpTC......8ilqQHRR80CEg\u003d\u003d\n-----END CERTIFICATE-----\n"
    },
    "requestID": "55600533-985c-11e9-8a21-a3d9a1ca5215",
    "eventID": "a50a8e95-972a-44aa-9c74-ddf59b12ccc8",
    "eventType": "AwsApiCall",
    "recipientAccountId": "285774445527"
}

после отправки запроса AWS SDK менеджеру AWS Cert с моего ноутбука Mac,

но,

ifconfig на моем ноутбуке MAC не показывает 64.xx.xx.224

но в журнале событий есть

"sourceIPAddress" as "64.xx.xx.224"

Что означает sourceIPAddress в этом событии?


amazon-web-services amazon-s3 amazon-cloudtrail
person overexchange    schedule 26.06.2019    source источник
comment
Вы делали это из корпоративной сети? Что отображается, если вы перейдете на myipaddress.com/show-my-ip-address < / а>?   -  person John Rotenstein    schedule 27.06.2019
comment
@JohnRotenstein Он не дает IP-адрес из указанной вами ссылки   -  person overexchange    schedule 27.06.2019

Ответы (1)


arrow_upward
2
arrow_downward

AWS видит IP-адрес, с которого был отправлен запрос.

Компьютеры в сети обычно имеют локальный IP-адрес (192.x или 10.x). Когда запросы выходят в Интернет, они будут "казаться" исходящими с IP-адреса, связанного со шлюзом маршрутизатора. Таким образом, весь трафик внутри компании обычно поступает с одного и того же IP-адреса. Даже трафик в домашней сети будет выходить на один публичный IP-адрес.

UserAgent указывает на то, что вы использовали GO SDK на Mac, поэтому, вероятно, это ваш запрос. Поэтому поверьте, что ваши запросы действительно "кажутся" исходящими с этого IP-адреса.

person John Rotenstein    schedule 28.06.2019
comment
Это нат настройка? - person overexchange; 28.06.2019
comment
да. CloudTrail будет фиксировать исходный IP-адрес, видимый серверами Amazon в общедоступном Интернете. Устройства NAT могут транслировать ваш IP-адрес между частными / общедоступными сетями и, следовательно, изменять видимый IP-адрес. Другой (совершенно другой) способ проверить это поведение - сохранить идентификатор запроса из вашего вызова SDK, а затем сравнить его с событием CloudTrail. Они должны совпадать. - person Gaston; 28.05.2020