손상되었을 수 있는 AWS 보안 인증 정보 문제 해결 - Amazon GuardDuty

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

손상되었을 수 있는 AWS 보안 인증 정보 문제 해결

GuardDuty가를 생성하면 자격 AWS 증명이 손상되었음을 IAM 결과 유형나타냅니다. 잠재적으로 손상된 리소스 유형은 AccessKey입니다.

AWS 환경에서 잠재적으로 손상된 자격 증명을 해결하려면 다음 단계를 수행합니다.

  1. 잠재적으로 손상된 IAM 엔터티와 사용된 API 호출을 식별합니다.

    사용된 API 호출은 결과 세부 정보에 API로 나열됩니다. IAM 엔터티(IAM 역할 또는 사용자)와 해당 식별 정보는 검색 세부정보의 리소스 섹션에 나열됩니다. 관련된 IAM 엔터티의 유형은 User Type(사용자 유형) 필드에 의해 결정될 수 있으며 IAM 엔터티의 이름은 User name(사용자 이름) 필드에 표시됩니다. 결과에 관여한 IAM 엔터티의 유형은 사용된 Access key ID(Access 키 ID)에 의해 결정될 수도 있습니다.

    AKIA로 시작하는 키의 경우.

    이 유형의 키는 IAM 사용자 또는 AWS 계정 루트 사용자와 연결된 장기 고객 관리형 보안 인증 정보입니다. IAM 사용자의 액세스 키 관리에 대한 자세한 내용은 IAM 사용자의 액세스 키 관리를 참조하세요.

    ASIA로 시작하는 키의 경우.

    이 유형의 키는 AWS Security Token Service에서 생성되는 단기 임시 자격 증명입니다. 이러한 키는 단기간 동안만 존재하며 AWS Management Console에서 보거나 관리할 수 없습니다. IAM 역할은 항상 AWS STS 자격 증명을 사용하지만 IAM 사용자를 위해 생성할 수도 있습니다. 자세한 내용은 IAM: 임시 보안 자격 증명을 AWS STS 참조하세요.

    역할을 사용한 경우 사용자 이름 필드에는 사용된 역할의 이름이 표시됩니다. CloudTrail 로그 항목의 sessionIssuer 요소를 검사 AWS CloudTrail 하여에서 키를 요청한 방법을 확인할 수 있습니다. 자세한 내용은 CloudTrail의 IAM 및 AWS STS 정보를 참조하세요.

  2. IAM 엔터티에 대한 권한을 검토합니다.

    IAM 콘솔을 엽니다. 사용된 엔터티의 유형에 따라 사용자 또는 역할 탭을 선택하고 검색 필드에 식별된 이름을 입력하여 영향을 받는 엔터티를 찾습니다. Permission(권한)Access Advisor(액세스 관리자) 탭을 사용하여 해당 엔터티에 대한 유효한 권한을 검토합니다.

  3. IAM 엔터티 자격 증명이 합법적으로 사용되었는지 여부를 확인합니다.

    자격 증명 사용자에게 연락하여 활동이 의도적이었는지 여부를 확인합니다.

    예를 들어, 사용자가 다음을 수행했는지 확인합니다.

    • GuardDuty 결과에 나열된 API 작업 간접 호출됨

    • GuardDuty 결과에 나열된 시간에 API 작업 간접 호출됨

    • GuardDuty 결과에 나열된 IP 주소에서 API 작업 간접 호출됨

이 활동이 AWS 보안 인증 정보를 합법적으로 사용하는 경우 GuardDuty 조사 결과를 무시할 수 있습니다. https://console.aws.amazon.com/guardduty/ 콘솔에서 더 이상 표시되지 않도록 개별 결과를 완전히 차단하는 규칙을 설정할 수 있습니다. 자세한 내용은 GuardDuty의 억제 규칙 단원을 참조하십시오.

이 활동이 합법적인 사용인지 여부를 확인할 수 없다면 특정 액세스 키, IAM 사용자의 로그인 보안 인증 정보 또는 전체 AWS 계정가 손상되었기 때문일 수 있습니다. 자격 증명이 손상되었다고 의심되는 경우 내 정보가 손상되었을 AWS 계정 수 있음을 검토하여이 문제를 해결합니다.