Corregir las credenciales potencialmente comprometidas AWS

Siga estos pasos recomendados para corregir las credenciales potencialmente comprometidas en su AWS entorno:

Identifique la entidad de IAM potencialmente comprometida y la llamada a la API utilizada.

La llamada a la API utilizada se mostrará como API en los detalles de resultado. La entidad de IAM (ya sea un rol o un usuario de IAM) y su información de identificación aparecerán en la sección Recursos de la sección de detalles de la búsqueda. El tipo de entidad de IAM implicada puede determinarse mediante el campo Tipo de usuario, el nombre de la entidad de IAM estará en el campo Nombre de usuario. El tipo de entidad de IAM implicada en el resultado también puede determinarse mediante el ID de clave de acceso utilizado.

Para las claves que empiecen con AKIA:

Este tipo de clave es una credencial administrada por el cliente a largo plazo asociada con un usuario de IAM o Usuario raíz de la cuenta de AWS. Para obtener información sobre la administración de claves de acceso para usuarios de IAM, consulte Administración de las claves de acceso de los usuarios de IAM.

Para las claves que empiecen con ASIA:

Este tipo de clave es una credencial temporal a corto plazo generada por AWS Security Token Service. Estas claves solo existen durante un período breve y no se pueden ver ni administrar en la Consola AWS de administración. Los roles de IAM siempre utilizarán AWS STS credenciales, pero también se pueden generar para los usuarios de IAM. Para obtener más información, AWS STS consulte IAM: credenciales de seguridad temporales.

Si se utilizó un rol, el campo Nombre de usuario indicará el nombre del rol utilizado. Para determinar cómo se solicitó la clave, AWS CloudTrail examine el sessionIssuer elemento de la entrada del CloudTrail registro. Para obtener más información, consulte IAM e información en. AWS STS CloudTrail
Revise los permisos de la entidad de IAM.

Abra la consola de IAM. Según el tipo de entidad utilizada, seleccione la pestaña Usuarios o Funciones y localice la entidad afectada escribiendo el nombre identificado en el campo de búsqueda. Utilice las pestañas Permisos y Acceso a Advisor para revisar los permisos efectivos para esa entidad.
Determine si las credenciales de entidad de IAM se utilizaron legítimamente.

Póngase en contacto con el usuario de las credenciales para determinar si la actividad fue intencionada.

Por ejemplo, averigüe si el usuario hizo lo siguiente:
- Invocó la operación de API que aparecía en el GuardDuty hallazgo
- Se invocó la operación de API en el momento que aparece en el GuardDuty hallazgo
- Se invocó la operación de API desde la dirección IP que aparece en el GuardDuty hallazgo

Si esta actividad es un uso legítimo de las AWS credenciales, puede ignorar el GuardDuty hallazgo. La consola https://console.aws.amazon.com/guardduty/ le permite configurar reglas para suprimir por completo los resultados individuales y evitar que vuelvan a aparecer. Para obtener más información, consulte Reglas de supresión.

Si no puedes confirmar si esta actividad es un uso legítimo, podría deberse a que la clave de acceso concreta (las credenciales de inicio de sesión del usuario de IAM) o, posiblemente, la totalidad de esta clave. Cuenta de AWS Si sospechas que tus credenciales se han visto comprometidas, consulta la información del artículo Mi sistema Cuenta de AWS puede estar comprometido para solucionar este problema.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Corregir un clúster de ECS potencialmente comprometido

Corregir un contenedor independiente potencialmente comprometido