Memulihkan kredensi yang berpotensi dikompromikan AWS - Amazon GuardDuty

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memulihkan kredensi yang berpotensi dikompromikan AWS

Ikuti langkah-langkah yang disarankan ini untuk memulihkan kredensyal yang berpotensi dikompromikan di lingkungan Anda: AWS

  1. Identifikasi entitas IAM yang berpotensi dikompromikan dan panggilan API yang digunakan.

    Panggilan API yang digunakan akan terdaftar sebagai API dalam detail temuan. Entitas IAM (baik peran IAM atau pengguna) dan informasi pengenalannya akan dicantumkan di bagian Sumber Daya dari rincian temuan. Tipe entitas IAM yang terlibat dapat ditentukan oleh bidang Tipe Pengguna, nama entitas IAM akan berada di bidang Nama pengguna. Tipe entitas IAM yang terlibat dalam temuan juga dapat ditentukan oleh Access key ID yang digunakan.

    Untuk kunci yang diawali dengan AKIA:

    Jenis kunci ini adalah kredensi jangka panjang yang dikelola pelanggan yang terkait dengan pengguna IAM atau. Pengguna root akun AWS Untuk informasi tentang mengelola kunci akses untuk pengguna IAM, lihat Mengelola kunci akses untuk pengguna IAM.

    Untuk kunci yang diawali dengan ASIA:

    Tipe kunci ini adalah kredensial sementara jangka pendek yang dihasilkan oleh AWS Security Token Service. Kunci ini hanya ada untuk waktu yang singkat dan tidak dapat dilihat atau dikelola di Konsol AWS Manajemen. Peran IAM akan selalu menggunakan AWS STS kredensyal, tetapi juga dapat dibuat untuk Pengguna IAM, untuk informasi lebih lanjut tentang AWS STS lihat IAM: Kredensyal keamanan sementara.

    Jika peran digunakan, bidang Nama pengguna akan menunjukkan nama dari peran yang digunakan. Anda dapat menentukan bagaimana kunci diminta AWS CloudTrail dengan memeriksa sessionIssuer elemen entri CloudTrail log, untuk informasi lebih lanjut lihat IAM dan AWS STS informasi di. CloudTrail

  2. Meninjau izin untuk entitas IAM.

    Buka konsol IAM. Bergantung pada jenis entitas yang digunakan, pilih tab Pengguna atau Peran, dan temukan entitas yang terpengaruh dengan mengetikkan nama yang diidentifikasi ke dalam bidang pencarian. Gunakan tab Izin dan Penasihat Akses untuk meninjau izin efektif untuk entitas tersebut.

  3. Tentukan apakah kredensil entitas IAM digunakan secara sah.

    Hubungi pengguna kredensial untuk menentukan apakah aktivitas tersebut disengaja.

    Misalnya, cari tahu apakah pengguna melakukan hal berikut:

    • Memanggil operasi API yang tercantum dalam temuan GuardDuty

    • Memanggil operasi API pada saat yang tercantum dalam temuan GuardDuty

    • Memanggil operasi API dari alamat IP yang tercantum dalam temuan GuardDuty

Jika aktivitas ini adalah penggunaan AWS kredensyal yang sah, Anda dapat mengabaikan temuan tersebut. GuardDuty Konsol https://console.aws.amazon.com/guardduty/ memungkinkan Anda mengatur aturan untuk sepenuhnya menekan temuan individu sehingga tidak lagi muncul. Untuk informasi selengkapnya, lihat Aturan penekanan.

Jika Anda tidak dapat mengonfirmasi apakah aktivitas ini adalah penggunaan yang sah, itu bisa menjadi hasil dari kompromi ke kunci akses tertentu - kredenal masuk pengguna IAM, atau mungkin keseluruhan. Akun AWS Jika Anda mencurigai kredensyal Anda telah disusupi, tinjau informasi di artikel Saya Akun AWS dapat dikompromikan untuk memperbaiki masalah ini.