Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Corriger les informations d'identification potentiellement compromises AWS
Suivez ces étapes recommandées pour corriger les informations d'identification potentiellement compromises dans votre AWS environnement :
-
Identifiez l'entité IAM potentiellement compromise et l'appel d'API utilisé.
L'appel d'API utilisé est répertorié en tant qu'
APIdans les détails d'un résultat. L'entité IAM (rôle ou utilisateur IAM) et ses informations d'identification seront répertoriées dans la section Ressources des détails de la recherche. Le type de l'entité IAM impliquée peut être déterminé par le champ User Type (Type d'utilisateur), le nom de l'entité IAM se trouvant dans le champ User name (Nom d'utilisateur). Le type de l'entité IAM impliquée dans le résultat peut également être déterminé par l'Access key ID (ID de clé d'accès) utilisé.- Pour les clés commençant par
AKIA: -
Ce type de clé est une information d'identification à long terme gérée par le client associée à un utilisateur IAM ou à un Utilisateur racine d'un compte AWS. Pour de plus amples informations sur la gestion des clés d'accès pour les utilisateurs IAM, veuillez consulter Gestion des clés d'accès pour les utilisateurs IAM.
- Pour les clés commençant par
ASIA: -
Ce type de clé est une information d'identification temporaire à court terme générée par AWS Security Token Service. Ces clés n'existent que pour une courte période et ne peuvent être ni affichées ni gérées dans la console AWS de gestion. Les rôles IAM utiliseront toujours des AWS STS informations d'identification, mais elles peuvent également être générées pour les utilisateurs IAM. Pour plus d'informations sur AWS STS IAM : informations d'identification de sécurité temporaires.
Si un rôle a été utilisé, le champ Nom d'utilisateur contient des informations sur le nom du rôle utilisé. Vous pouvez déterminer comment la clé a été demandée AWS CloudTrail en examinant l'
sessionIssuerélément de l'entrée du CloudTrail journal. Pour plus d'informations, voir IAM et les AWS STS informations dans CloudTrail.
- Pour les clés commençant par
-
Vérifiez les autorisations pour l'entité IAM.
Ouvrez la console IAM. Selon le type d'entité utilisé, choisissez l'onglet Utilisateurs ou Rôles, puis localisez l'entité affectée en saisissant le nom identifié dans le champ de recherche. Utilisez les onglets Permission et Access Advisor pour vérifier les autorisations effectives pour cette entité.
-
Déterminez si les informations d'identification de l'entité IAM ont été utilisées de manière légitime.
Contactez l'utilisateur des informations d'identification pour déterminer si l'activité était intentionnelle.
Recherchez par exemple si l'utilisateur a effectué les actions suivantes :
-
A invoqué l'opération d'API répertoriée dans le GuardDuty résultat
-
A invoqué l'opération d'API à l'heure indiquée dans le GuardDuty résultat
-
A appelé l'opération d'API à partir de l'adresse IP répertoriée dans le GuardDuty résultat
-
Si cette activité constitue une utilisation légitime des AWS informations d'identification, vous pouvez ignorer le GuardDuty résultat. La console https://console.aws.amazon.com/guardduty/
Si vous ne pouvez pas confirmer si cette activité constitue une utilisation légitime, elle peut être le résultat d'une compromission de la clé d'accès en question, à savoir les informations d'identification de connexion de l'utilisateur IAM, ou éventuellement de l'intégralité. Compte AWS Si vous pensez que vos informations d'identification ont été compromises, consultez les informations contenues dans l'article Mon compte Compte AWS peut être compromis
