Behebung potenziell gefährdeter Anmeldeinformationen AWS

Folgen Sie diesen empfohlenen Schritten, um potenziell kompromittierte Anmeldeinformationen in Ihrer Umgebung zu beheben: AWS

1. Identifizieren Sie die potenziell gefährdete IAM-Entität und den verwendeten API-Aufruf.

   Der verwendete API-Aufruf wird in den Ergebnisdetails als API aufgelistet. Die IAM-Entität (entweder eine IAM-Rolle oder ein IAM-Benutzer) und ihre identifizierenden Informationen werden im Abschnitt „Ressourcen“ der Ergebnisdetails aufgeführt. Der Typ der beteiligten IAM-Entität kann anhand des Feldes Benutzertyp bestimmt werden. Der Name der IAM-Entität befindet sich im Feld Benutzername. Der Typ von IAM-Entität, der an einem Ergebnis beteiligt ist, kann auch anhand der verwendeten Zugriffsschlüssel-ID bestimmt werden.

   Für Schlüssel, die mit AKIA beginnen:

   Bei dieser Art von Schlüssel handelt es sich um langfristige, vom Kunden verwaltete Anmeldeinformationen, die einem IAM-Benutzer oder Root-Benutzer des AWS-Kontos zugeordnet sind. Weitere Informationen zum Verwalten von Zugriffsschlüsseln für IAM-Benutzer finden Sie unter Verwalten von Zugriffsschlüsseln für IAM-Benutzer.

   Für Schlüssel, die mit ASIA beginnen:

   Bei dieser Art von Schlüssel handelt es sich um kurzfristige temporäre Anmeldeinformationen, die von AWS Security Token Service generiert werden. Diese Schlüssel existieren nur für kurze Zeit und können in der AWS Management Console nicht angezeigt oder verwaltet werden. IAM-Rollen verwenden immer AWS STS Anmeldeinformationen, sie können aber auch für IAM-Benutzer generiert werden. Weitere Informationen AWS STS finden Sie unter IAM: Temporäre Sicherheitsanmeldeinformationen.

   Wenn eine Rolle verwendet wurde, enthält das Feld Benutzername den Namen der verwendeten Rolle. Sie können feststellen, wie der Schlüssel angefordert wurde, AWS CloudTrail indem Sie das sessionIssuer Element des CloudTrail Protokolleintrags untersuchen. Weitere Informationen finden Sie unter IAM und Informationen unter. AWS STS CloudTrail

2. Überprüfen Sie die Berechtigungen für die IAM-Entität.

   Öffnen Sie die IAM-Konsole. Wählen Sie je nach Typ der verwendeten Entität die Registerkarte Benutzer oder Rollen und suchen Sie nach der betroffenen Entität, indem Sie den identifizierten Namen in das Suchfeld eingeben. Überprüfen Sie über die Registerkarten Berechtigung und Access Advisor effektive Berechtigungen für diese Entität.

3. Bestimmen Sie, ob die Anmeldeinformationen der IAM-Entität rechtmäßig verwendet wurden.

   Wenden Sie sich an den Benutzer der Anmeldeinformationen, um festzustellen, ob die Aktivität beabsichtigt war.

   Ermitteln Sie beispielsweise, ob der Benutzer die Anmeldeinformationen zu Folgendem verwendet hat:

   • Hat den API-Vorgang aufgerufen, der im GuardDuty Ergebnis aufgeführt war

   • Der API-Vorgang wurde zu dem Zeitpunkt aufgerufen, der im Ergebnis aufgeführt ist GuardDuty

   • Der API-Vorgang wurde von der IP-Adresse aus aufgerufen, die im Ergebnis aufgeführt ist GuardDuty

Wenn es sich bei dieser Aktivität um eine legitime Verwendung der AWS Anmeldeinformationen handelt, können Sie den GuardDuty Befund ignorieren. In der https://console.aws.amazon.com/guardduty/-Konsole können Sie Regeln einrichten, um einzelne Erkenntnisse vollständig zu unterdrücken, sodass sie nicht mehr angezeigt werden. Weitere Informationen finden Sie unter Unterdrückungsregeln.

Wenn Sie nicht bestätigen können, ob es sich bei dieser Aktivität um eine legitime Verwendung handelt, könnte dies das Ergebnis einer Kompromittierung des jeweiligen Zugriffsschlüssels sein — der Anmeldedaten des IAM-Benutzers oder möglicherweise der gesamten. AWS-Konto Wenn Sie vermuten, dass Ihre Anmeldeinformationen kompromittiert wurden, lesen Sie die Informationen im Artikel Meine Daten sind AWS-Konto möglicherweise kompromittiert, um dieses Problem zu beheben.