修復可能遭到入侵 AWS 的登入資料 - Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

修復可能遭到入侵 AWS 的登入資料

當 GuardDuty 產生 時IAM 調查結果類型,表示您的 AWS 登入資料已遭到入侵。可能遭到入侵的資源類型為 AccessKey

若要修復 AWS 環境中可能遭到入侵的登入資料,請執行下列步驟:

  1. 識別可能遭到入侵的 IAM 實體和使用的 API 呼叫。

    使用的 API 呼叫會在調查結果詳細資訊中列為 API。IAM 實體 (IAM 角色或使用者) 及其識別資訊會列在調查結果詳細資訊的資源區段中。涉及的 IAM 實體類型可由使用者類型欄位決定,IAM 實體名稱將位於使用者名稱 欄位中。調查結果中涉及的 IAM 實體類型也可由使用的存取金鑰 ID 決定。

    對於以 AKIA 開頭的金鑰:

    此類金鑰是與 IAM 使用者或 AWS 帳戶根使用者相關聯的長期客戶自管憑證。如需有關管理 IAM 使用者存取金鑰的資訊,請參閱管理 IAM 使用者的存取金鑰

    對於以 ASIA 開頭的金鑰:

    此類金鑰是 AWS Security Token Service產生的短期臨時登入資料。這些金鑰僅存在一小段時間,無法在 AWS 管理主控台中檢視或管理。IAM 角色一律使用 AWS STS 登入資料,但也可以為 IAM 使用者產生登入資料,如需詳細資訊, AWS STS 請參閱 IAM:臨時安全登入資料

    如果已使用角色,使用者名稱欄位將顯示所使用角色的名稱。您可以透過檢查 CloudTrail 日誌項目的 sessionIssuer元素 AWS CloudTrail 來判斷 金鑰的請求方式,如需詳細資訊,請參閱 CloudTrail 中的 IAM 和 AWS STS 資訊

  2. 檢閱 IAM 實體的許可。

    開啟 IAM 主控台。根據使用的實體類型,選擇使用者角色索引標籤,然後在搜尋欄位中輸入識別的名稱,以找出受影響的實體。使用許可存取顧問索引標籤,以檢閱該實體的有效許可。

  3. 判斷是否合法使用 IAM 實體登入資料。

    請聯絡該登入資料的使用者,以判斷活動是否為刻意。

    例如,查出使用者是否進行了以下動作:

    • 調用 GuardDuty 調查結果中所列的 API 操作

    • 在 GuardDuty 調查結果中所列的時間點調用 API 操作

    • 從 GuardDuty 調查結果中所列的 IP 地址調用 API 操作

如果此活動是 AWS 憑證的合法使用,您可以忽略 GuardDuty 調查結果。https://console.aws.amazon.com/guardduty/ 控制台允許您設定規則以完全隱藏單個調查結果,使其不再顯示。如需詳細資訊,請參閱GuardDuty 中的隱藏規則

如果您無法確認此活動是否為合法用途,這可能是特定存取金鑰遭到入侵的結果 - IAM 使用者的登入憑證,或整個憑證 AWS 帳戶。如果您懷疑登入資料已遭洩漏,請檢閱 My 中的資訊 AWS 帳戶 ,以修復此問題。