CloudTrail - CloudTrail 管理事件中的 sourceIPAddress 字段
CloudTrail - sourceIPAddress field in CloudTrail management event
以下是我在 CloudTrail 生成的 S3 日志中收到的事件:
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AID...HVRL",
"arn": "arn:aws:iam::233333337:user/Administrator",
"accountId": "233333337",
"accessKeyId": "abcd",
"userName": "Administrator"
},
"eventTime": "2019-06-26T21:49:54Z",
"eventSource": "acm.amazonaws.com",
"eventName": "GetCertificate",
"awsRegion": "us-east-2",
"sourceIPAddress": "64.xx.xx.224",
"userAgent": "aws-sdk-go/1.20.3 (go1.12.6; darwin; amd64)",
"requestParameters": {
"certificateArn": "arn:aws:acm:us-east-2:233333337:certificate/23fffff-1fff4-bfff-6fffff"
},
"responseElements": {
"certificateChain": "-----BEGIN CERTIFICATE-----\nMIID2zCCA...ZYIQ\u003d\u003d\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----\nMIIDrzC......Nh7d1A6k8\u003d\n-----END CERTIFICATE-----\n",
"certificate": "-----BEGIN CERTIFICATE-----\nMIIDpTC......8ilqQHRR80CEg\u003d\u003d\n-----END CERTIFICATE-----\n"
},
"requestID": "55600533-985c-11e9-8a21-a3d9a1ca5215",
"eventID": "a50a8e95-972a-44aa-9c74-ddf59b12ccc8",
"eventType": "AwsApiCall",
"recipientAccountId": "285774445527"
}
从我的 Mac 笔记本电脑向 AWS 证书管理器提交 AWS SDK 请求后,
但是,
ifconfig 在我的 MAC 笔记本电脑上 不 显示 64.xx.xx.224
但是事件日志有
"sourceIPAddress" 作为 "64.xx.xx.224"
sourceIPAddress在这个事件中表示什么?
IP 地址是 AWS 所见的发出请求的地址。
网络上的计算机通常有一个本地 IP 地址(192.x 或 10.x)。当请求退出到 Internet 时,它们将 "appear" 来自与路由器网关关联的 IP 地址。因此,一家公司内的所有流量通常看起来都来自同一个 IP 地址。即使是家庭网络上的流量也会通过一个 public IP 地址。
UserAgent确实表明您在Mac上使用了GO SDK,所以这可能是您的要求。因此,请相信您的请求 "appear" 来自该 IP 地址。
以下是我在 CloudTrail 生成的 S3 日志中收到的事件:
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AID...HVRL",
"arn": "arn:aws:iam::233333337:user/Administrator",
"accountId": "233333337",
"accessKeyId": "abcd",
"userName": "Administrator"
},
"eventTime": "2019-06-26T21:49:54Z",
"eventSource": "acm.amazonaws.com",
"eventName": "GetCertificate",
"awsRegion": "us-east-2",
"sourceIPAddress": "64.xx.xx.224",
"userAgent": "aws-sdk-go/1.20.3 (go1.12.6; darwin; amd64)",
"requestParameters": {
"certificateArn": "arn:aws:acm:us-east-2:233333337:certificate/23fffff-1fff4-bfff-6fffff"
},
"responseElements": {
"certificateChain": "-----BEGIN CERTIFICATE-----\nMIID2zCCA...ZYIQ\u003d\u003d\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----\nMIIDrzC......Nh7d1A6k8\u003d\n-----END CERTIFICATE-----\n",
"certificate": "-----BEGIN CERTIFICATE-----\nMIIDpTC......8ilqQHRR80CEg\u003d\u003d\n-----END CERTIFICATE-----\n"
},
"requestID": "55600533-985c-11e9-8a21-a3d9a1ca5215",
"eventID": "a50a8e95-972a-44aa-9c74-ddf59b12ccc8",
"eventType": "AwsApiCall",
"recipientAccountId": "285774445527"
}
从我的 Mac 笔记本电脑向 AWS 证书管理器提交 AWS SDK 请求后,
但是,
ifconfig 在我的 MAC 笔记本电脑上 不 显示 64.xx.xx.224
但是事件日志有
"sourceIPAddress" 作为 "64.xx.xx.224"
sourceIPAddress在这个事件中表示什么?
IP 地址是 AWS 所见的发出请求的地址。
网络上的计算机通常有一个本地 IP 地址(192.x 或 10.x)。当请求退出到 Internet 时,它们将 "appear" 来自与路由器网关关联的 IP 地址。因此,一家公司内的所有流量通常看起来都来自同一个 IP 地址。即使是家庭网络上的流量也会通过一个 public IP 地址。
UserAgent确实表明您在Mac上使用了GO SDK,所以这可能是您的要求。因此,请相信您的请求 "appear" 来自该 IP 地址。