Memulihkan kredensi yang berpotensi dikompromikan AWS - Amazon GuardDuty

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memulihkan kredensi yang berpotensi dikompromikan AWS

Saat GuardDuty menghasilkanIAMmenemukan jenis, ini menunjukkan bahwa AWS kredensil Anda telah disusupi. Jenis Sumber Daya yang berpotensi dikompromikan adalah AccessKey.

Untuk memulihkan kredensil yang berpotensi dikompromikan di AWS lingkungan Anda, lakukan langkah-langkah berikut:

  1. Identifikasi IAM entitas yang berpotensi dikompromikan dan API panggilan yang digunakan.

    APIPanggilan yang digunakan akan dicantumkan seperti API pada detail temuan. IAMEntitas (baik IAM peran atau pengguna) dan informasi pengenalannya akan dicantumkan di bagian Sumber Daya dari rincian temuan. Jenis IAM entitas yang terlibat dapat ditentukan oleh bidang Jenis Pengguna, nama IAM entitas akan berada di bidang Nama pengguna. Jenis IAM entitas yang terlibat dalam temuan juga dapat ditentukan oleh ID kunci Access yang digunakan.

    Untuk kunci yang diawali dengan AKIA:

    Jenis kunci ini adalah kredensi jangka panjang yang dikelola pelanggan yang terkait dengan pengguna atauIAM. Pengguna root akun AWS Untuk informasi tentang mengelola kunci akses bagi IAM pengguna, lihat Mengelola kunci akses untuk IAM pengguna.

    Untuk kunci yang diawali dengan ASIA:

    Tipe kunci ini adalah kredensial sementara jangka pendek yang dihasilkan oleh AWS Security Token Service. Kunci ini hanya ada untuk waktu yang singkat dan tidak dapat dilihat atau dikelola di Konsol AWS Manajemen. IAMperan akan selalu menggunakan AWS STS kredensi, tetapi juga dapat dibuat untuk IAM Pengguna, untuk informasi lebih lanjut tentang AWS STS lihat IAM: Kredensial keamanan sementara.

    Jika peran digunakan, bidang Nama pengguna akan menunjukkan nama dari peran yang digunakan. Anda dapat menentukan bagaimana kunci diminta AWS CloudTrail dengan memeriksa sessionIssuer elemen entri CloudTrail log, untuk informasi lebih lanjut lihat IAMdan AWS STS informasi di CloudTrail.

  2. Meninjau izin untuk IAM entitas.

    Buka IAM konsol. Bergantung pada jenis entitas yang digunakan, pilih tab Pengguna atau Peran, dan temukan entitas yang terpengaruh dengan mengetikkan nama yang diidentifikasi ke dalam bidang pencarian. Gunakan tab Izin dan Penasihat Akses untuk meninjau izin efektif untuk entitas tersebut.

  3. Tentukan apakah kredensil IAM entitas digunakan secara sah.

    Hubungi pengguna kredensial untuk menentukan apakah aktivitas tersebut disengaja.

    Misalnya, cari tahu apakah pengguna melakukan hal berikut:

    • Memanggil API operasi yang tercantum dalam temuan GuardDuty

    • Memanggil API operasi pada saat yang tercantum dalam temuan GuardDuty

    • Memanggil API operasi dari alamat IP yang tercantum dalam temuan GuardDuty

Jika aktivitas ini adalah penggunaan AWS kredensil yang sah, Anda dapat mengabaikan temuan tersebut. GuardDuty https://console.aws.amazon.com/guardduty/Konsol memungkinkan Anda untuk mengatur aturan untuk sepenuhnya menekan temuan individu sehingga tidak lagi muncul. Untuk informasi selengkapnya, lihat Aturan penindasan di GuardDuty.

Jika Anda tidak dapat mengonfirmasi apakah aktivitas ini adalah penggunaan yang sah, itu bisa menjadi hasil dari kompromi ke kunci akses tertentu - kredensi login IAM pengguna, atau mungkin keseluruhan. Akun AWS Jika Anda mencurigai kredensil Anda telah disusupi, tinjau informasi di artikel My Akun AWS may be compromised untuk memperbaiki masalah ini.