- 公開日
- 最終更新日
【Amazon VPC IPAM】IPアドレスからEC2インスタンスを特定できるか試してみた
この記事を共有する
目次
はじめに
皆さんこんにちは!パーソル&サーバーワークスの小泉です。 今回は、「IPAMのダッシュボードでどこまでリソースの中身が見えるのか」を検証してみます。 特に気になっていたのは以下の点です。
- ダッシュボードで何が一覧できるのか
- ENIは見えるのか?ENIに紐づくEC2インスタンスは辿れるのか?
- パブリックIPの使用状況はどこまで把握できるのか
- 未使用のEIPを検出できるのか
先に結論を書いてしまうと、「IP履歴を検索する」機能を使えば、プライベートIPからでもEC2インスタンスまで辿れます。 ただし辿り方は1つではなく、用途によって使い分ける必要がありました。実際に確認してみた流れをまとめます。
検証環境
マルチアカウント・マルチリージョン構成でIPAMを構築済みの環境を使います。加えて、ENI/EC2/EIPの検証用に以下を追加しています。

手順
1. ダッシュボードを確認する
IPAM管理者アカウントでIPAMコンソールを開き、「ダッシュボード」を選択します。

スコープ全体のサマリが円グラフのウィジェットで表示されます。確認できる情報は以下の通りです。
| ウィジェット | 表示内容 |
|---|---|
| リソース CIDR タイプ | サブネット / VPC |
| 管理状態 | マネージド / アンマネージド / 無視された CIDR の数 |
| 重複するリソース CIDR | 重複あり / 重複なし の数(赤く表示されるので一目で分かる) |
| 準拠リソース CIDR | 割り当てルールに準拠 / 非準拠の数 |
| 重複ステータス | 重複CIDRの時系列推移グラフ |
今回の環境では「重複するリソースCIDR」が赤く5件表示されています。これは各アカウントのデフォルトVPC(すべて172.31.0.0/16)がお互いに重複と判定されているためです。
2. リソース一覧を確認する
ダッシュボードの「このスコープのネットワークリソースを表示」をクリックするか、左メニューの「リソース」を開きます。

Organizations配下の複数アカウントのVPC・サブネットが横断的に一覧表示されています。各行には以下の情報が表示されます。
| 列 | 内容 |
|---|---|
| 名前 (リソース ID) | vpc-xxx / subnet-xxx / ipam-pool-xxx |
| リソースのタイプ | VPC / サブネット / IPAMプールCIDR |
| CIDR | 割り当てられたCIDRブロック |
| コンプライアンスのステータス | 準拠 / 非準拠 / − |
| 重複ステータス | 重複なし / 重複 |
| 所有者 ID | リソースを持つAWSアカウントID |
| 割り当てられた IP | VPC/サブネットのIP使用率 |
| リージョン | リソースのリージョン |
ここで気づいたのですが、リソース一覧に表示されるのはVPC・サブネット・IPAMプールCIDRまでで、ENI単体は出てきません。「ENIが見えるか?」の答えは、この画面に関しては「No」です。
では、ENIやEC2インスタンスの紐付けはどうやって辿るのか。2つの方法があります。
3. パブリックIPに関するインサイトで確認する
左メニューの「パブリックIPに関するインサイト」を開きます。

Organizations全体のパブリックIPv4アドレスが一覧表示されます。今回の環境では3件が検出されました。
| IPアドレス | 関連付け | アドレスタイプ | ENI ID | インスタンスID |
|---|---|---|---|---|
| 13.112.237.239 | 関連付けられている | Amazon所有EIP | eni-066c5e735e1ec2560 | i-081d7b366a6a0be63 |
| 54.64.83.208 | 関連付けられていない | Amazon所有EIP | − | − |
| 43.207.66.214 | 関連付けられている | EC2 public IP | eni-066c5e735e1ec2560 | i-081d7b366a6a0be63 |
ここで重要なのは2点です。
① パブリックIPからENI・EC2インスタンスまで辿れる
「ネットワークインターフェイスID」列と「インスタンスID」列が表示されています。パブリックIPを持つリソースであれば、IPAMの画面上でEC2インスタンスまで特定できます。
② 未使用EIPが検出される
54.64.83.208 が「関連付けられていない」として赤く表示されています。
ただし、パブリックIPに関するインサイトはパブリックIPを持つリソースだけが対象です。プライベートIPのみのEC2はここには出ません。
4. IP履歴を検索する(プライベートIPでもEC2が辿れる)
ここが今回一番の発見でした。
左メニューの「IP履歴を検索する」を開き、プライベートIPアドレス 10.0.0.29/32 を入力して検索してみます。

結果として、2件のIP履歴レコードが返ってきました。
| 名前 (リソースID) | リソースのタイプ | VPC ID | リージョン |
|---|---|---|---|
| eni-066c5e735e1ec2560 | ネットワークインターフェイス | vpc-04b54c2122e85bf35 | ap-northeast-1 |
| i-081d7b366a6a0be63 | インスタンス | vpc-04b54c2122e85bf35 | ap-northeast-1 |
プライベートIPアドレスからでも、ENIとEC2インスタンスの両方が辿れています。
正直、これは想定外でした。リソース一覧にENIが出なかったので「プライベートIPではEC2まで辿れないのでは」と思っていたのですが、IP履歴検索を使えば問題なく特定できました。
IPAMで「IPからEC2を辿る」方法のまとめ
検証結果を整理すると、IPAMでIPアドレスからEC2インスタンスを特定する方法は用途に応じて3つあります。
| 機能 | 対象IP | ENI表示 | EC2表示 | 用途 |
|---|---|---|---|---|
| リソース一覧 | − | ❌ | ❌ | VPC/サブネットのCIDR管理状況を俯瞰する |
| パブリックIPに関するインサイト | パブリックIP | ✅ | ✅ | パブリックIPの棚卸し・未使用EIP検出 |
| IP履歴を検索する | パブリック/プライベート両方 | ✅ | ✅ | 特定IPが何に紐づいているか調査 |
「ENIに紐づくEC2は分かるのか」という最初の疑問への答えは、「IP履歴を検索する」を使えばパブリック/プライベートを問わず辿れるでした。
注意点
- リソース一覧の反映には時間がかかる:新しいVPCやサブネットを作成しても、IPAMのリソース一覧に反映されるまで数分〜かかります。
- パブリックIPに関するインサイトはFree Tierでも利用可能:ただし、プライベートIPv4のプール管理やIP履歴監査はAdvanced Tierが必要です。
- CSVエクスポート:パブリックIPに関するインサイト、IP履歴ともにCSVエクスポートが可能です。
所感
実際に触ってみて、IPAMは触っていかないと理解が難しいサービスだなと思いました。
この記事は私が書きました
小泉 和貴
記事一覧全国を旅行することを目標に、仕事を頑張っています。