本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
修复可能被泄露的凭证 AWS
请按照以下建议步骤修复您的 AWS 环境中可能被泄露的凭证:
-
识别可能受到威胁的IAM实体和使用的API呼叫。
使用的API呼叫将按查找结果详细信息
API
中列出。IAM实体(IAM角色或用户)及其标识信息将列在调查结果详细信息的 “资源” 部分中。所涉及的IAM实体的类型可以通过 “用户类型” 字段确定,该IAM实体的名称将在 “用户名” 字段中。调查结果中涉及的IAM实体类型也可以通过使用的访问密钥 ID 来确定。- 对于以
AKIA
开头的密钥: -
这种类型的密钥是与IAM用户或关联的长期客户管理的凭证。 AWS 账户根用户有关管理IAM用户访问密钥的信息,请参阅管理IAM用户的访问密钥。
- 对于以
ASIA
开头的密钥: -
此类型的密钥是由 AWS Security Token Service生成的短期临时凭证。这些密钥仅存在很短的时间,无法在 AWS 管理控制台中查看或管理。IAM角色将始终使用 AWS STS 证书,但也可以为IAM用户生成证书,有关更多信息, AWS STS 请参阅 IAM:临时安全证书。
如果使用了角色,用户名称字段将指示所用角色的名称。您可以 AWS CloudTrail 通过检查 CloudTrail 日志条目的
sessionIssuer
元素来确定如何请求密钥,有关更多信息,请参阅IAM和中的 AWS STS 信息 CloudTrail。
- 对于以
-
查看IAM实体的权限。
打开控制IAM台。根据所用实体的类型,选择 “用户” 或 “角色” 选项卡,然后通过在搜索字段中键入已识别的名称来找到受影响的实体。使用 Permission (权限) 和 Access Advisor (访问顾问) 选项卡可查看该实体的有效权限。
-
确定IAM实体凭证的使用是否合法。
请与凭证用户联系以确定活动是否是有意进行的。
例如,确定此用户是否执行了以下操作:
-
调用了 GuardDuty 调查结果中列出的API操作
-
在 GuardDuty调查结果中列出的时间调用了该API操作
-
从 GuardDuty 调查结果中列出的 IP 地址调用了该API操作
-
如果此活动是对 AWS 凭证的合法使用,则可以忽略该 GuardDuty 发现。https://console.aws.amazon.com/guardduty/
如果您无法确认此活动是否为合法用途,则可能是由于特定访问密钥(IAM用户的登录凭证,或者可能是整个 AWS 账户访问密钥)遭到泄露所致。如果您怀疑自己的凭证已被泄露,请查看 “我的 AWS 账户 可能已被泄露