Corregir las credenciales potencialmente comprometidas AWS - Amazon GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Corregir las credenciales potencialmente comprometidas AWS

Siga estos pasos recomendados para corregir las credenciales potencialmente comprometidas en su AWS entorno:

  1. Identifique la IAM entidad potencialmente comprometida y la API llamada utilizada.

    La API llamada utilizada aparecerá API en la lista de detalles del hallazgo. La IAM entidad (ya sea un IAM rol o un usuario) y su información de identificación figurarán en la sección Recursos de los detalles de la búsqueda. El tipo de IAM entidad implicada se puede determinar mediante el campo Tipo de usuario; el nombre de la IAM entidad aparecerá en el campo Nombre de usuario. El tipo de IAM entidad implicada en la búsqueda también se puede determinar mediante el ID de clave de acceso utilizado.

    Para las claves que empiecen con AKIA:

    Este tipo de clave es una credencial a largo plazo administrada por el cliente asociada a un IAM usuario o. Usuario raíz de la cuenta de AWS Para obtener información sobre la administración de las claves de acceso de los IAM usuarios, consulte Administrar las claves de acceso de los usuarios. IAM

    Para las claves que empiecen con ASIA:

    Este tipo de clave es una credencial temporal a corto plazo generada por AWS Security Token Service. Estas claves solo existen durante un período breve y no se pueden ver ni administrar en la Consola AWS de administración. IAMLos roles siempre usarán AWS STS credenciales, pero también se pueden generar para IAM los usuarios. Para obtener más información, AWS STS consulte IAM: Credenciales de seguridad temporales.

    Si se utilizó un rol, el campo Nombre de usuario indicará el nombre del rol utilizado. Puede determinar cómo se solicitó la clave AWS CloudTrail examinando el sessionIssuer elemento de la entrada de CloudTrail registro; para obtener más información, consulte IAMe AWS STS información en CloudTrail.

  2. Revise los permisos de la IAM entidad.

    Abre la IAM consola. Según el tipo de entidad utilizada, seleccione la pestaña Usuarios o Funciones y localice la entidad afectada escribiendo el nombre identificado en el campo de búsqueda. Utilice las pestañas Permisos y Acceso a Advisor para revisar los permisos efectivos para esa entidad.

  3. Determine si las credenciales de la IAM entidad se utilizaron de forma legítima.

    Póngase en contacto con el usuario de las credenciales para determinar si la actividad fue intencionada.

    Por ejemplo, averigüe si el usuario hizo lo siguiente:

    • Invocó la API operación que figuraba en la conclusión GuardDuty

    • Se invocó la API operación en el momento que aparece en la GuardDuty constatación

    • Se invocó la API operación desde la dirección IP que aparece en el GuardDuty hallazgo

Si esta actividad es un uso legítimo de las AWS credenciales, puede ignorar el GuardDuty hallazgo. La https://console.aws.amazon.com/guardduty/consola le permite configurar reglas para suprimir por completo los hallazgos individuales y evitar que aparezcan. Para obtener más información, consulte Reglas de supresión.

Si no puedes confirmar si esta actividad es un uso legítimo, podría deberse a que se ha visto comprometida la clave de acceso concreta (las credenciales de inicio de sesión del IAM usuario) o, posiblemente, la totalidad Cuenta de AWS. Si sospechas que tus credenciales se han visto comprometidas, consulta la información del artículo Mi información Cuenta de AWS puede estar comprometida para solucionar este problema.