修復可能遭到入侵的 S3 儲存貯體 - Amazon GuardDuty
根據特定 S3 儲存貯體存取需求的建議

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

修復可能遭到入侵的 S3 儲存貯體

當 GuardDuty 產生 時GuardDuty S3 保護調查結果類型,表示您的 Amazon S3 儲存貯體已遭入侵。如果在您的環境中預期導致調查結果的行為,請考慮建立 隱藏規則。如果未預期此行為,請遵循這些建議步驟來修復 AWS 環境中可能遭到入侵的 Amazon S3 儲存貯體:

  1. 識別可能遭到入侵的 S3 資源。

    S3 的 GuardDuty 調查結果會在調查結果詳細資訊中列出相關聯的 S3 儲存貯體、其 Amazon Resource Name (ARN) 及其擁有者。

  2. 識別可疑活動的來源和使用的API呼叫。

    使用的API呼叫會列在調查結果詳細資訊API中。來源將是IAM主體 (IAM角色、使用者或帳戶),而識別詳細資訊將列在調查結果中。視來源類型而定,遠端 IP 地址或來源網域資訊將可供使用,並可協助您評估來源是否已獲得授權。如果調查結果涉及來自 Amazon EC2執行個體的登入資料,則也會包含該資源的詳細資訊。

  3. 判斷呼叫來源是否已獲得授權可存取已識別的資源。

    如需範例,請考慮以下內容:

    • 如果IAM使用者涉及其中,他們的登入資料是否可能遭到入侵? 如需詳細資訊,請參閱修復可能遭到入侵 AWS 的登入資料

    • 如果從先前沒有調API用此類型 的歷史記錄的委託人叫用 API,則此來源是否需要此操作的存取許可? 是否可以進一步限制儲存貯體許可?

    • 如果從使用者類型AWSAccount使用者名稱 ANONYMOUS_PRINCIPAL 中看到存取,則表示該儲存貯體為公有且已存取。這個儲存貯體是否應該為公有? 如果不是,請檢閱以下安全建議,了解共用 S3 資源的替代解決方案。

    • 如果存取是從使用者名稱ANONYMOUS_PRINCIPAL看到的成功PreflightRequest呼叫,且使用者類型AWSAccount為 ,則表示儲存貯體具有跨來源資源共用 (CORS) 政策集。此儲存貯體是否應該有CORS政策? 如果不是,請確保儲存貯體不會意外公開,並檢閱以下安全建議,了解共用 S3 資源的替代解決方案。如需詳細資訊,CORS請參閱 S3 使用者指南中的使用跨來源資源共用 (CORS)

  4. 判斷 S3 儲存貯體是否包含敏感資料。

    使用 Amazon Macie 判斷 S3 儲存貯體是否包含敏感資料,例如個人識別資訊 (PII)、財務資料或登入資料。如果您的 Macie 帳戶啟用了自動化敏感資料探索,請檢閱 S3 儲存貯體的詳細資訊,以更深入了解 S3 儲存貯體的內容。如果您的 Macie 帳戶已停用此功能,建議您將其開啟以加速評估。或者,您可以建立並執行敏感資料探索任務,以檢查 S3 儲存貯體的物件是否存在敏感資料。如需詳細資訊,請參閱 Discovering sensitive data with Macie

如已授權存取,您可以忽略該調查結果。https://console.aws.amazon.com/guardduty/ 主控台可讓您設定規則,以完全隱藏個別問題清單,使其不再顯示。如需詳細資訊,請參閱中的隱藏規則 GuardDuty

如果您確定 S3 資料已由未經授權的一方公開或存取,請檢閱下列 S3 安全建議,以加強許可並限制存取。適當的修復解決方案取決於特定環境的需求。

根據特定 S3 儲存貯體存取需求的建議

以下清單根據特定的 Amazon S3 儲存貯體存取需求提供建議:

  • 為了集中限制公開存取 S3 資料使用,S3 會封鎖公開存取。可以透過四種不同的設定,為存取點、儲存貯體和 AWS 帳戶啟用封鎖公開存取設定,以控制存取的精細性。如需詳細資訊,請參閱《Amazon S3 使用者指南》中的封鎖公開存取設定

  • AWS 存取政策可用來控制IAM使用者如何存取您的資源,或如何存取您的儲存貯體。如需詳細資訊,請參閱《Amazon S3 使用者指南》中的使用儲存貯體政策和使用者政策

    此外,您可以使用 Virtual Private Cloud (VPC) 端點搭配 S3 儲存貯體政策來限制對特定VPC端點的存取。如需詳細資訊,請參閱《Amazon S3 使用者指南》中的使用儲存貯體政策控制VPC端點的存取

  • 若要暫時允許存取 S3 物件到您帳戶外部的信任實體,您可以透過 URL S3 建立預先簽章。此存取權限使用您的帳戶憑證建立而成,並根據使用的憑證可以持續 6 小時到 7 天。如需詳細資訊,請參閱《Amazon S3 使用者指南》中的使用預先簽章URLs來下載和上傳物件

  • 對於需要在不同來源之間共用 S3 物件的使用案例,您可以使用 S3 存取點建立許可集,以限制只存取私有網路中的物件。如需詳細資訊,請參閱《Amazon S3 使用者指南》中的使用存取點管理共用資料集的存取Amazon S3

  • 若要安全地將 S3 資源的存取權授予其他 AWS 帳戶,您可以使用存取控制清單 (ACL),如需詳細資訊,請參閱《Amazon S3 使用者指南》中的存取控制清單 (ACL) 概觀

如需 S3 安全選項的詳細資訊,請參閱《Amazon S3 使用者指南》中的 Amazon S3 的安全最佳實務Amazon S3