Correção de credenciais potencialmente comprometidas AWS - Amazon GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Correção de credenciais potencialmente comprometidas AWS

Quando GuardDuty geradoIAMtipos de descoberta, indica que suas AWS credenciais foram comprometidas. O tipo de recurso potencialmente comprometido é AccessKey.

Para corrigir credenciais potencialmente comprometidas em seu AWS ambiente, execute as seguintes etapas:

  1. Identifique a IAM entidade potencialmente comprometida e a API chamada usada.

    A API chamada usada será listada conforme API os detalhes da descoberta. A IAM entidade (uma IAM função ou um usuário) e suas informações de identificação serão listadas na seção Recursos dos detalhes da descoberta. O tipo de IAM entidade envolvida pode ser determinado pelo campo Tipo de usuário, o nome da IAM entidade estará no campo Nome do usuário. O tipo de IAM entidade envolvida na descoberta também pode ser determinado pelo ID da chave de acesso usada.

    Para chaves que começam com AKIA:

    Esse tipo de chave é uma credencial de longo prazo gerenciada pelo cliente associada a um IAM usuário ou. Usuário raiz da conta da AWS Para obter informações sobre como gerenciar chaves de acesso para IAM usuários, consulte Gerenciando chaves de acesso para IAM usuários.

    Para chaves que começam com ASIA:

    Esse tipo de chave é uma credencial temporária de curto prazo gerada pelo AWS Security Token Service. Essas chaves existem por pouco tempo e não podem ser visualizadas nem gerenciadas no AWS Management Console. IAMas funções sempre usarão AWS STS credenciais, mas elas também podem ser geradas para IAM usuários. Para obter mais informações, AWS STS consulte IAM: Credenciais de segurança temporárias.

    Se um perfil tiver sido usado, o campo Nome de usuário conterá informações sobre o nome do perfil usado. Você pode determinar como a chave foi solicitada AWS CloudTrail examinando o sessionIssuer elemento da entrada de CloudTrail registro. Para obter mais informações, consulte IAMe AWS STS informações em CloudTrail.

  2. Revise as permissões da IAM entidade.

    Abra o IAM console. Dependendo do tipo da entidade usada, escolha a guia Usuários ou Funções e localize a entidade afetada digitando o nome identificado no campo de pesquisa. Use as guias Permissão e Consultor de acesso para revisar permissões efetivas para essa entidade.

  3. Determine se as credenciais da IAM entidade foram usadas legitimamente.

    Entre em contato com o usuário das credenciais para determinar se a atividade foi intencional.

    Por exemplo, descubra se o usuário fez o seguinte:

    • Invocou a API operação que foi listada na descoberta GuardDuty

    • Invocou a API operação no momento listado na descoberta GuardDuty

    • Invocou a API operação a partir do endereço IP listado na descoberta GuardDuty

Se essa atividade for um uso legítimo das AWS credenciais, você poderá ignorar a GuardDuty descoberta. O https://console.aws.amazon.com/guardduty/console permite que você configure regras para suprimir totalmente as descobertas individuais, para que elas não apareçam mais. Para obter mais informações, consulte Regras de supressão em GuardDuty.

Se você não puder confirmar se essa atividade é um uso legítimo, isso pode ser o resultado de um comprometimento da chave de acesso específica: as credenciais de login do IAM usuário ou, possivelmente, a totalidade. Conta da AWS Se você suspeitar que suas credenciais foram comprometidas, revise as informações no artigo Meu Conta da AWS pode estar comprometido para corrigir esse problema.