Riparazione delle credenziali potenzialmente compromesse AWS - Amazon GuardDuty

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Riparazione delle credenziali potenzialmente compromesse AWS

Quando viene GuardDuty generataIAMricerca di tipi, indica che le AWS credenziali sono state compromesse. Il tipo di risorsa potenzialmente compromesso è. AccessKey

Per correggere le credenziali potenzialmente compromesse nel tuo AWS ambiente, procedi come segue:

  1. Identifica l'IAMentità potenzialmente compromessa e la chiamata utilizzata. API

    La API chiamata utilizzata verrà elencata come indicato API nei dettagli del ritrovamento. L'IAMentità (IAMruolo o utente) e le relative informazioni identificative verranno elencate nella sezione Risorse dei dettagli del risultato. Il tipo di IAM entità coinvolta può essere determinato dal campo Tipo utente, il nome dell'IAMentità sarà nel campo Nome utente. Il tipo di IAM entità coinvolta nella scoperta può essere determinato anche dall'ID della chiave di accesso utilizzato.

    Per le chiavi che iniziano con AKIA:

    Questo tipo di chiave è una credenziale gestita dal cliente a lungo termine associata a un IAM utente o. Utente root dell'account AWS Per informazioni sulla gestione delle chiavi di accesso per IAM gli utenti, vedere Gestione delle chiavi di accesso per gli utenti. IAM

    Per le chiavi che iniziano con ASIA:

    Questo tipo di chiave è una credenziale temporanea a breve termine generata da AWS Security Token Service. Queste chiavi esistono solo per un breve periodo e non possono essere visualizzate o gestite nella console di AWS gestione. IAMi ruoli utilizzeranno sempre AWS STS le credenziali, ma possono anche essere generati per IAM gli utenti, per ulteriori informazioni, AWS STS consulta IAM: Credenziali di sicurezza temporanee.

    Se è stato utilizzato un ruolo, il campo Nome utente indicherà il nome del ruolo utilizzato. È possibile determinare in che modo è stata richiesta la chiave AWS CloudTrail esaminando l'sessionIssuerelemento della voce di CloudTrail registro, per ulteriori informazioni vedi IAMe AWS STS informazioni in. CloudTrail

  2. Rivedi le autorizzazioni per l'entità. IAM

    Apri la IAM console. A seconda del tipo di entità utilizzata, scegli la scheda Utenti o Ruoli e individua l'entità interessata digitando il nome identificato nel campo di ricerca. Utilizzare le schede Autorizzazione e Access Advisor per esaminare le autorizzazioni effettive per tale entità.

  3. Determina se le credenziali IAM dell'entità sono state utilizzate legittimamente.

    Contattare l'utente delle credenziali per stabilire se l'attività era intenzionale.

    Ad esempio, determina se l'utente ha:

    • Ha richiamato l'APIoperazione elencata nel risultato GuardDuty

    • Ha richiamato l'APIoperazione nel momento indicato nel risultato GuardDuty

    • Ha richiamato l'APIoperazione dall'indirizzo IP elencato nel risultato GuardDuty

Se questa attività è un uso legittimo delle AWS credenziali, puoi ignorare il GuardDuty risultato. La https://console.aws.amazon.com/guardduty/console consente di impostare regole per eliminare completamente i singoli risultati in modo che non vengano più visualizzati. Per ulteriori informazioni, consulta Regole di soppressione in GuardDuty.

Se non riesci a confermare se questa attività è un uso legittimo, potrebbe essere il risultato di una compromissione di una particolare chiave di accesso, ovvero delle credenziali di accesso IAM dell'utente o forse dell'intera. Account AWS Se sospetti che le tue credenziali siano state compromesse, consulta le informazioni contenute nell'articolo Le mie credenziali Account AWS potrebbero essere compromesse per risolvere il problema.