Corregir credenciales de AWS potencialmente comprometidas - Amazon GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Corregir credenciales de AWS potencialmente comprometidas

Cuando se GuardDuty generaTipos de resultados de IAM, indica que sus AWS credenciales se han visto comprometidas. El tipo de recurso potencialmente comprometido es AccessKey.

Para corregir las credenciales potencialmente comprometidas de su AWS entorno, lleve a cabo los siguientes pasos:

  1. Identifique la entidad de IAM potencialmente comprometida y la llamada a la API utilizada.

    La llamada a la API utilizada se mostrará como API en los detalles de resultado. La entidad de IAM (ya sea un usuario o rol de IAM) y su información de identificación se enumerarán en la sección Recurso de los detalles del resultado. El tipo de entidad de IAM implicada puede determinarse mediante el campo Tipo de usuario, el nombre de la entidad de IAM estará en el campo Nombre de usuario. El tipo de entidad de IAM implicada en el resultado también puede determinarse mediante el ID de clave de acceso utilizado.

    Para las claves que empiecen con AKIA:

    Este tipo de clave es una credencial administrada por el cliente a largo plazo asociada con un usuario de IAM o Usuario raíz de la cuenta de AWS. Para obtener información sobre la administración de claves de acceso para usuarios de IAM, consulte Administración de las claves de acceso de los usuarios de IAM.

    Para las claves que empiecen con ASIA:

    Este tipo de clave es una credencial temporal a corto plazo generada por AWS Security Token Service. Estas claves solo existen durante un período breve y no se pueden ver ni administrar en la consola AWS de administración. Los roles de IAM siempre utilizarán AWS STS credenciales, pero también se pueden generar para los usuarios de IAM. Para obtener más información, AWS STS consulte IAM: credenciales de seguridad temporales.

    Si se utilizó un rol, el campo Nombre de usuario indicará el nombre del rol utilizado. Para determinar cómo se solicitó la clave, AWS CloudTrail examine el sessionIssuer elemento de la entrada del CloudTrail registro. Para obtener más información, consulte IAM e información en. AWS STS CloudTrail

  2. Revise los permisos de la entidad de IAM.

    Abra la consola de IAM. Según el tipo de entidad utilizada, seleccione la pestaña Usuarios o Roles, y localice la entidad afectada. Para ello, escriba el nombre identificado en el campo de búsqueda. Utilice las pestañas Permisos y Acceso a Advisor para revisar los permisos efectivos para esa entidad.

  3. Determine si las credenciales de entidad de IAM se utilizaron legítimamente.

    Póngase en contacto con el usuario de las credenciales para determinar si la actividad fue intencionada.

    Por ejemplo, averigüe si el usuario hizo lo siguiente:

    • Invocó la operación de API que figuraba en el hallazgo GuardDuty

    • Invocó la operación de la API en el momento que se muestra en el resultado de GuardDuty

    • Invocó la operación de la API desde la dirección IP que se muestra en el resultado de GuardDuty

Si esta actividad es un uso legítimo de las AWS credenciales, puede ignorar la GuardDuty conclusión. La https://console.aws.amazon.com/guardduty/consola le permite configurar reglas para suprimir por completo los hallazgos individuales y evitar que aparezcan. Para obtener más información, consulte Reglas de supresión en GuardDuty.

Si no puede confirmar si esta actividad constituye un uso legítimo, podría ser consecuencia de que la clave de acceso concreta, las credenciales de inicio de sesión del usuario de IAM o, posiblemente, toda la Cuenta de AWS, se encuentren comprometidas. Si sospecha que sus credenciales se han visto comprometidas, consulte la información de My Cuenta de AWS may be compromised para solucionar este problema.