Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Behebung potenziell AWS kompromittierter Anmeldedaten

PDF
RSS
Fokusmodus
Behebung potenziell AWS kompromittierter Anmeldedaten - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenn es GuardDuty generiert wirdIAM-Erkenntnistypen, deutet dies darauf hin, dass Ihre AWS Anmeldeinformationen kompromittiert wurden. Der potenziell gefährdete Ressourcentyp ist. AccessKey

Gehen Sie wie folgt vor, um potenziell kompromittierte Anmeldeinformationen in Ihrer AWS Umgebung zu beheben:

  1. Identifizieren Sie die potenziell gefährdete IAM-Entität und den verwendeten API-Aufruf.

    Der verwendete API-Aufruf wird in den Ergebnisdetails als API aufgelistet. Die IAM-Entität (entweder eine IAM-Rolle oder ein IAM-Benutzer) und ihre identifizierenden Informationen werden im Abschnitt Ressourcen der Ergebnisdetails aufgeführt. Der Typ der beteiligten IAM-Entität kann anhand des Feldes Benutzertyp bestimmt werden. Der Name der IAM-Entität befindet sich im Feld Benutzername. Der Typ von IAM-Entität, der an einem Ergebnis beteiligt ist, kann auch anhand der verwendeten Zugriffsschlüssel-ID bestimmt werden.

    Für Schlüssel, die mit AKIA beginnen:

    Bei dieser Art von Schlüssel handelt es sich um langfristige, vom Kunden verwaltete Anmeldeinformationen, die einem IAM-Benutzer oder Root-Benutzer des AWS-Kontos zugeordnet sind. Weitere Informationen zum Verwalten von Zugriffsschlüsseln für IAM-Benutzer finden Sie unter Verwalten von Zugriffsschlüsseln für IAM-Benutzer.

    Für Schlüssel, die mit ASIA beginnen:

    Bei dieser Art von Schlüssel handelt es sich um kurzfristige temporäre Anmeldeinformationen, die von AWS Security Token Service generiert werden. Diese Schlüssel existieren nur für kurze Zeit und können in der AWS Management Console nicht angezeigt oder verwaltet werden. IAM-Rollen verwenden immer AWS STS Anmeldeinformationen, sie können aber auch für IAM-Benutzer generiert werden. Weitere Informationen AWS STS finden Sie unter IAM: Temporäre Sicherheitsanmeldeinformationen.

    Wenn eine Rolle verwendet wurde, enthält das Feld Benutzername den Namen der verwendeten Rolle. Sie können feststellen, wie der Schlüssel angefordert wurde, AWS CloudTrail indem Sie das sessionIssuer Element des CloudTrail Protokolleintrags untersuchen. Weitere Informationen finden Sie unter IAM und Informationen unter. AWS STS CloudTrail

  2. Überprüfen Sie die Berechtigungen für die IAM-Entität.

    Öffnen Sie die IAM-Konsole. Wählen Sie je nach Typ der verwendeten Entität die Registerkarte Benutzer oder Rollen und suchen Sie die betroffene Entität, indem Sie den identifizierten Namen in das Suchfeld eingeben. Überprüfen Sie über die Registerkarten Berechtigung und Access Advisor effektive Berechtigungen für diese Entität.

  3. Bestimmen Sie, ob die Anmeldeinformationen der IAM-Entität rechtmäßig verwendet wurden.

    Wenden Sie sich an den Benutzer der Anmeldeinformationen, um festzustellen, ob die Aktivität beabsichtigt war.

    Ermitteln Sie beispielsweise, ob der Benutzer die Anmeldeinformationen zu Folgendem verwendet hat:

    • Hat den API-Vorgang aufgerufen, der im GuardDuty Ergebnis aufgeführt war

    • Zum Aufrufen der API-Operation zu dem im GuardDuty-Ergebnis angegebenen Zeitpunkt

    • Zum Aufrufen der API-Operation von der im GuardDuty -Ergebnis angegebenen IP-Adresse aus

Wenn es sich bei dieser Aktivität um eine legitime Verwendung der AWS Anmeldeinformationen handelt, können Sie den GuardDuty Befund ignorieren. In der https://console.aws.amazon.com/guardduty/Konsole können Sie Regeln einrichten, um einzelne Ergebnisse vollständig zu unterdrücken, sodass sie nicht mehr angezeigt werden. Weitere Informationen finden Sie unter Unterdrückungsregeln in GuardDuty.

Wenn Sie nicht bestätigen können, ob es sich bei dieser Aktivität um eine legitime Nutzung handelt, könnte dies das Ergebnis einer Kompromittierung eines bestimmten Zugriffsschlüssels sein — der Anmeldedaten des IAM-Benutzers oder möglicherweise des gesamten. AWS-Konto Wenn Sie vermuten, dass Ihre Anmeldeinformationen kompromittiert wurden, überprüfen Sie die Informationen in Mein ist AWS-Konto möglicherweise kompromittiert, um dieses Problem zu beheben.

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.