Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Behebung potenziell AWS kompromittierter Anmeldedaten
Wenn es GuardDuty generiert wirdIAMTypen finden, deutet dies darauf hin, dass Ihre AWS Anmeldeinformationen kompromittiert wurden. Der potenziell gefährdete Ressourcentyp ist. AccessKey
Gehen Sie wie folgt vor, um potenziell gefährdete Anmeldeinformationen in Ihrer AWS Umgebung zu beheben:
-
Identifizieren Sie die potenziell gefährdete IAM Entität und den API verwendeten Anruf.
Der verwendete API Anruf wird wie
API
in den Ergebnisdetails aufgeführt. Die IAM Entität (entweder eine IAM Rolle oder ein Benutzer) und ihre identifizierenden Informationen werden im Abschnitt Ressourcen der Ergebnisdetails aufgeführt. Der Typ der beteiligten IAM Entität kann im Feld Benutzertyp bestimmt werden. Der Name der IAM Entität wird im Feld Benutzername angezeigt. Der Typ der IAM Entität, die an der Suche beteiligt war, kann auch anhand der verwendeten Zugriffsschlüssel-ID bestimmt werden.- Für Schlüssel, die mit
AKIA
beginnen: -
Bei diesem Schlüsseltyp handelt es sich um langfristige, vom Kunden verwaltete Anmeldeinformationen, die einem IAM Benutzer oder zugeordnet sind. Root-Benutzer des AWS-Kontos Informationen zur Verwaltung von Zugriffsschlüsseln für IAM Benutzer finden Sie unter Zugriffsschlüssel für IAM Benutzer verwalten.
- Für Schlüssel, die mit
ASIA
beginnen: -
Bei dieser Art von Schlüssel handelt es sich um kurzfristige temporäre Anmeldeinformationen, die von AWS Security Token Service generiert werden. Diese Schlüssel existieren nur für kurze Zeit und können in der AWS Management Console nicht angezeigt oder verwaltet werden. IAMRollen verwenden immer AWS STS Anmeldeinformationen, sie können aber auch für IAM Benutzer generiert werden. Weitere Informationen AWS STS finden Sie unter Temporäre IAM Sicherheitsanmeldeinformationen.
Wenn eine Rolle verwendet wurde, enthält das Feld Benutzername den Namen der verwendeten Rolle. Sie können feststellen, wie der Schlüssel angefordert wurde, AWS CloudTrail indem Sie das
sessionIssuer
Element des CloudTrail Protokolleintrags untersuchen. Weitere Informationen finden Sie unter IAMund AWS STS unter CloudTrail.
- Für Schlüssel, die mit
-
Überprüfen Sie die Berechtigungen für die IAM Entität.
Öffnen Sie die IAM Konsole. Wählen Sie je nach Typ der verwendeten Entität die Registerkarte Benutzer oder Rollen und suchen Sie die betroffene Entität, indem Sie den identifizierten Namen in das Suchfeld eingeben. Überprüfen Sie über die Registerkarten Berechtigung und Access Advisor effektive Berechtigungen für diese Entität.
-
Stellen Sie fest, ob die Anmeldeinformationen der IAM Entität rechtmäßig verwendet wurden.
Wenden Sie sich an den Benutzer der Anmeldeinformationen, um festzustellen, ob die Aktivität beabsichtigt war.
Ermitteln Sie beispielsweise, ob der Benutzer die Anmeldeinformationen zu Folgendem verwendet hat:
-
Hat den API Vorgang aufgerufen, der im Ergebnis aufgeführt war GuardDuty
-
Der API Vorgang wurde zu dem Zeitpunkt aufgerufen, der im Ergebnis aufgeführt ist GuardDuty
-
Der API Vorgang wurde von der IP-Adresse aus aufgerufen, die im Ergebnis aufgeführt ist GuardDuty
-
Wenn es sich bei dieser Aktivität um eine legitime Verwendung der AWS Anmeldeinformationen handelt, können Sie den GuardDuty Befund ignorieren. In der https://console.aws.amazon.com/guardduty/
Wenn Sie nicht bestätigen können, ob es sich bei dieser Aktivität um eine legitime Nutzung handelt, könnte dies das Ergebnis einer Kompromittierung eines bestimmten Zugriffsschlüssels sein — der Anmeldedaten des IAM Benutzers oder möglicherweise des gesamten AWS-Konto Schlüssels. Wenn Sie vermuten, dass Ihre Anmeldeinformationen kompromittiert wurden, lesen Sie die Informationen im Artikel Meine Daten sind AWS-Konto möglicherweise kompromittiert, um dieses