修復可能遭到入侵 AWS 的登入資料 - Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

修復可能遭到入侵 AWS 的登入資料

當 GuardDuty 產生 時IAM 問題清單類型,表示您的 AWS 登入資料已遭洩漏。可能遭到入侵的資源類型為 AccessKey

若要修復 AWS 環境中可能遭到入侵的登入資料,請執行下列步驟:

  1. 識別可能遭到入侵的IAM實體和使用的API呼叫。

    使用的API呼叫會列在調查結果詳細資訊API中。IAM 實體 (IAM角色或使用者) 及其識別資訊會列在調查結果詳細資訊的資源區段中。涉及的IAM實體類型可由使用者類型欄位決定,IAM實體的名稱將位於使用者名稱欄位中。問題清單涉及的IAM實體類型也可以由使用的存取金鑰 ID 決定。

    對於以 AKIA 開頭的金鑰:

    這種類型的金鑰是與 IAM 使用者或 相關聯的長期客戶受管憑證 AWS 帳戶根使用者。如需管理IAM使用者存取金鑰的資訊,請參閱管理IAM使用者的存取金鑰

    對於以 ASIA 開頭的金鑰:

    此類金鑰是 AWS Security Token Service產生的短期臨時登入資料。這些金鑰只會存在一小段時間,無法在 AWS 管理主控台中檢視或管理。 IAM角色一律會使用 AWS STS 登入資料,但也可以為IAM使用者產生,如需詳細資訊, AWS STS 請參閱 IAM:臨時安全登入資料

    如果已使用角色,使用者名稱欄位將顯示所使用角色的名稱。您可以透過檢查 CloudTrail 日誌項目的 sessionIssuer元素 AWS CloudTrail 來判斷 金鑰的請求方式,如需詳細資訊,請參閱 IAM 和 中 AWS STS 的資訊 CloudTrail

  2. 檢閱IAM實體的許可。

    開啟 IAM 主控台。根據使用的實體類型,選擇使用者角色索引標籤,然後在搜尋欄位中輸入識別的名稱,以找出受影響的實體。使用許可存取顧問索引標籤,以檢閱該實體的有效許可。

  3. 判斷IAM實體登入資料是否合法使用。

    請聯絡該登入資料的使用者,以判斷活動是否為刻意。

    例如,查出使用者是否進行了以下動作:

    • 調用 GuardDuty 調查結果中列出的API操作

    • 在調查結果中 GuardDuty列出的時間調用 API操作

    • 從 GuardDuty 調查結果中列出的 IP 地址叫用 API操作

如果此活動是 AWS 憑證的合法使用,您可以忽略 GuardDuty 調查結果。https://console.aws.amazon.com/guardduty/ 主控台可讓您設定規則,以完全隱藏個別問題清單,使其不再顯示。如需詳細資訊,請參閱中的隱藏規則 GuardDuty

如果您無法確認此活動是否為合法用途,這可能是特定存取金鑰遭到入侵的結果 - IAM使用者的登入憑證,或可能是整個 AWS 帳戶。如果您懷疑登入資料已遭洩漏,請檢閱 My 中的資訊 AWS 帳戶 ,以修復此問題。