翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
GuardDuty が を生成するとIAM の検出結果タイプ、 AWS 認証情報が侵害されたことを示します。侵害された可能性のある [リソース] のタイプは [AccessKey] です。
AWS 環境で侵害された可能性のある認証情報を修正するには、次の手順を実行します。
-
侵害された可能性のある IAM エンティティと使用された API コールを識別します。
使用された API コールは、検出結果の詳細に
APIとして表示されます。IAM エンティティ (IAM ロールまたはユーザー) とその識別情報は、検出結果の詳細の [リソース] セクションに表示されます。関連する IAM エンティティのタイプは、[User Type] (ユーザータイプ) フィールドで特定できます。IAM エンティティの名前は、[User name] (ユーザー名) フィールドに表示されます。検出結果に関連する IAM エンティティのタイプは、使用された [Access key ID] (アクセスキー ID) でも特定できます。AKIAで始まるキーの場合:-
このタイプのキーは、IAM ユーザーまたは AWS アカウントのルートユーザーに関連付けられているカスタマーマネージドの長期の認証情報です。IAM ユーザーのアクセスキーの管理については、「IAM ユーザーのアクセスキーの管理」を参照してください。
ASIAで始まるキーの場合:-
このタイプのキーは、 AWS Security Token Serviceによって生成される短期の一時的な認証情報です。これらのキーは短時間のみ存在し、 AWS マネジメントコンソールで表示または管理することはできません。IAM ロールは常に AWS STS 認証情報を使用しますが、IAM ユーザー用に生成することもできます。詳細については、「IAM: 一時的なセキュリティ認証情報 AWS STS 」を参照してください。
ロールが使用された場合、[User name] (ユーザー名) フィールドには使用されたロールの名前が表示されます。CloudTrail ログエントリの
sessionIssuer要素を調べる AWS CloudTrail ことで、 でキーがどのようにリクエストされたかを確認できます。詳細については、「IAM」およびCloudTrail AWS STS の情報」を参照してください。
-
IAM エンティティの許可を確認します。
[IAM コンソール] を開きます。使用されたエンティティのタイプに応じて [ユーザー] タブまたは [ロール] タブを選択し、検索フィールドに識別した名前を入力して影響を受けるエンティティを見つけます。[Permission] (許可) タブと [Access Advisor] (アクセスアドバイザー) タブを使用して、そのエンティティの有効な許可を確認します。
-
IAM エンティティの認証情報が正当に使用されたかどうかを確認します。
アクティビティが意図的なものであったかどうかを確認するには、認証情報のユーザーに問い合わせます。
例えば、ユーザーが次のことを行ったかどうかを確認します。
-
GuardDuty の検出結果に表示された API オペレーションの呼び出し
-
GuardDuty の検出結果に表示された時刻における API オペレーションの呼び出し
-
GuardDuty の検出結果に表示された IP アドレスからの API オペレーションの呼び出し
-
このアクティビティが AWS 認証情報の正当な使用である場合は、GuardDuty の検出結果を無視できます。https://console.aws.amazon.com/guardduty/
正当に使用されたことが確認できない場合、このアクティビティはその特定のアクセスキー、IAM ユーザーのサインイン認証情報、または AWS アカウント全体に対する侵害の結果である可能性があります。認証情報が侵害されたと思われる場合は、「My AWS アカウント may be compromised
