Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Corriger les informations d'identification potentiellement compromises AWS
Lorsqu'il est GuardDuty généréIAMtypes de recherche, cela indique que vos AWS informations d'identification ont été compromises. Le type de ressource potentiellement compromise est AccessKey.
Pour corriger les informations d'identification potentiellement compromises dans votre AWS environnement, effectuez les opérations suivantes :
-
Identifiez l'IAMentité potentiellement compromise et l'APIappel utilisé.
L'APIappel utilisé sera répertorié comme indiqué
APIdans les détails de la recherche. L'IAMentité (IAMrôle ou utilisateur) et ses informations d'identification seront répertoriées dans la section Ressource des détails de la recherche. Le type d'IAMentité impliqué peut être déterminé par le champ Type d'utilisateur, le nom de l'IAMentité figurera dans le champ Nom d'utilisateur. Le type d'IAMentité impliqué dans la recherche peut également être déterminé par l'ID de clé d'accès utilisé.- Pour les clés commençant par
AKIA: -
Ce type de clé est un identifiant géré à long terme par le client associé à un IAM utilisateur ou. Utilisateur racine d'un compte AWS Pour plus d'informations sur la gestion des clés d'accès pour IAM les utilisateurs, consultez la section Gestion des clés d'accès pour IAM les utilisateurs.
- Pour les clés commençant par
ASIA: -
Ce type de clé est une information d'identification temporaire à court terme générée par AWS Security Token Service. Ces clés n'existent que pour une courte période et ne peuvent être ni affichées ni gérées dans la console AWS de gestion. IAMles rôles utiliseront toujours des AWS STS informations d'identification, mais elles peuvent également être générées pour IAM les utilisateurs. Pour plus d'informations, AWS STS voir IAM: Informations d'identification de sécurité temporaires.
Si un rôle a été utilisé, le champ Nom d'utilisateur contient des informations sur le nom du rôle utilisé. Vous pouvez déterminer comment la clé a été demandée AWS CloudTrail en examinant l'
sessionIssuerélément de l'entrée du CloudTrail journal. Pour plus d'informations, voir IAMet AWS STS informations dans CloudTrail.
- Pour les clés commençant par
-
Vérifiez les autorisations accordées à l'IAMentité.
Ouvrez la IAM console. Selon le type d'entité utilisé, choisissez l'onglet Utilisateurs ou Rôles, puis localisez l'entité affectée en saisissant le nom identifié dans le champ de recherche. Utilisez les onglets Permission et Access Advisor pour vérifier les autorisations effectives pour cette entité.
-
Déterminez si les informations d'identification de IAM l'entité ont été utilisées de manière légitime.
Contactez l'utilisateur des informations d'identification pour déterminer si l'activité était intentionnelle.
Recherchez par exemple si l'utilisateur a effectué les actions suivantes :
-
A invoqué l'APIopération répertoriée dans le GuardDuty résultat
-
A invoqué l'APIopération à l'heure indiquée dans le GuardDuty résultat
-
A appelé l'APIopération à partir de l'adresse IP répertoriée dans le GuardDuty résultat
-
Si cette activité constitue une utilisation légitime des AWS informations d'identification, vous pouvez ignorer le GuardDuty résultat. La https://console.aws.amazon.com/guardduty/
Si vous ne pouvez pas confirmer si cette activité constitue une utilisation légitime, elle peut être le résultat d'une compromission de la clé d'accès en question, c'est-à-dire des informations de connexion de l'IAMutilisateur, ou peut-être de l'intégralité Compte AWS. Si vous pensez que vos informations d'identification ont été compromises, consultez les informations contenues dans l'article Mon compte Compte AWS peut être compromis
