本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
修復可能遭到入侵 AWS 的憑證
當 GuardDuty 產生 時IAM 調查結果類型,表示您的 AWS 憑證已遭入侵。可能遭到入侵的資源類型為 AccessKey。
若要修復 AWS 環境中可能遭到入侵的憑證,請執行下列步驟:
-
識別可能遭到入侵的IAM實體和使用的API呼叫。
使用的API呼叫會列在調查結果詳細資訊
API中。IAM 實體 (IAM角色或使用者) 及其識別資訊將列在調查結果詳細資訊的資源區段中。涉及的IAM實體類型可由使用者類型欄位決定,IAM實體的名稱將在使用者名稱欄位中。調查結果中涉及的IAM實體類型也可以由使用的存取金鑰 ID 決定。- 對於以
AKIA開頭的金鑰: -
此類型的金鑰是與IAM使用者 或 相關聯的長期客戶受管憑證 AWS 帳戶根使用者。如需管理IAM使用者存取金鑰的相關資訊,請參閱管理IAM使用者存取金鑰。
- 對於以
ASIA開頭的金鑰: -
此類金鑰是 AWS Security Token Service產生的短期臨時登入資料。這些金鑰僅存在一小段時間,無法在 AWS 管理主控台中檢視或管理。IAM 角色一律會使用 AWS STS 憑證,但也可以為IAM使用者產生憑證,如需詳細資訊, AWS STS 請參閱IAM:臨時安全憑證。
如果已使用角色,使用者名稱欄位將顯示所使用角色的名稱。您可以透過檢查 CloudTrail 日誌項目的
sessionIssuer元素 AWS CloudTrail 來判斷 金鑰的請求方式,如需詳細資訊,請參閱 IAM 中的 和 AWS STS 資訊 CloudTrail。
- 對於以
-
檢閱IAM實體的許可。
開啟IAM主控台。根據使用的實體類型,選擇使用者或角色索引標籤,然後在搜尋欄位中輸入識別的名稱,以找出受影響的實體。使用許可和存取顧問索引標籤,以檢閱該實體的有效許可。
-
判斷IAM實體憑證是否合法使用。
請聯絡該登入資料的使用者,以判斷活動是否為刻意。
例如,查出使用者是否進行了以下動作:
-
調用 GuardDuty 調查結果中列出的API操作
-
在調查結果中 GuardDuty列出的時間調用 API 操作
-
從 GuardDuty 調查結果中列出的 IP 地址叫用API操作
-
如果此活動是 AWS 憑證的合法使用,您可以忽略 GuardDuty 調查結果。https://console.aws.amazon.com/guardduty/
如果您無法確認此活動是否為合法用途,這可能是特定存取金鑰遭到入侵的結果 - IAM使用者的登入憑證,或整個 AWS 帳戶。如果您懷疑憑證已遭洩漏,請檢閱 My AWS 帳戶 中的資訊,
