Riparazione delle credenziali potenzialmente compromesse AWS - Amazon GuardDuty

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Riparazione delle credenziali potenzialmente compromesse AWS

Segui questi passaggi consigliati per correggere le credenziali potenzialmente compromesse nel tuo ambiente: AWS

  1. Identifica l'entità IAM potenzialmente compromessa e la chiamata API utilizzata.

    La chiamata API utilizzata verrà elencata come API nei dettagli del risultato. L'entità IAM (un ruolo o un utente IAM) e le relative informazioni identificative verranno elencate nella sezione Risorse dei dettagli del risultato. Il tipo di entità IAM coinvolta può essere determinato dal campo Tipo utente, il nome dell'entità IAM sarà nel campo Nome utente . Il tipo di entità IAM coinvolta nel risultato può anche essere determinato dall'ID chiave di accesso utilizzato.

    Per le chiavi che iniziano con AKIA:

    Questo tipo di chiave è una credenziale gestita dal cliente a lungo termine associata a un utente IAM o Utente root dell'account AWS. Per informazioni sulla gestione delle chiavi di accesso per gli utenti IAM, consulta Gestione delle chiavi di accesso per gli utenti IAM.

    Per le chiavi che iniziano con ASIA:

    Questo tipo di chiave è una credenziale temporanea a breve termine generata da AWS Security Token Service. Queste chiavi esistono solo per un breve periodo e non possono essere visualizzate o gestite nella console di AWS gestione. I ruoli IAM utilizzeranno sempre AWS STS le credenziali, ma possono anche essere generate per gli utenti IAM, per ulteriori informazioni, AWS STS consulta IAM: Temporary security credentials.

    Se è stato utilizzato un ruolo, il campo Nome utente indicherà il nome del ruolo utilizzato. Puoi determinare in che modo è stata richiesta la chiave AWS CloudTrail esaminando l'sessionIssuerelemento della voce di CloudTrail registro, per maggiori informazioni consulta IAM e AWS STS information in. CloudTrail

  2. Esaminare le autorizzazioni per l'entità IAM.

    Apri la console IAM. A seconda del tipo di entità utilizzata, scegli la scheda Utenti o Ruoli e individua l'entità interessata digitando il nome identificato nel campo di ricerca. Utilizzare le schede Autorizzazione e Access Advisor per esaminare le autorizzazioni effettive per tale entità.

  3. Stabilire se le credenziali dell'entità IAM sono state utilizzate legittimamente.

    Contattare l'utente delle credenziali per stabilire se l'attività era intenzionale.

    Ad esempio, determina se l'utente ha:

    • Ha richiamato l'operazione API elencata nel risultato GuardDuty

    • Ha richiamato l'operazione API nel momento indicato nel risultato GuardDuty

    • Ha richiamato l'operazione API dall'indirizzo IP elencato nel risultato GuardDuty

Se questa attività è un uso legittimo delle AWS credenziali, puoi ignorare il GuardDuty risultato. La console https://console.aws.amazon.com/guardduty/ consente di impostare regole per eliminare completamente i singoli esiti in modo che non vengano più visualizzati. Per ulteriori informazioni, consulta Regole di eliminazione.

Se non riesci a confermare se questa attività è un uso legittimo, potrebbe essere il risultato di una compromissione di una particolare chiave di accesso, ovvero le credenziali di accesso dell'utente IAM o forse l'intera. Account AWS Se sospetti che le tue credenziali siano state compromesse, consulta le informazioni contenute nell'articolo Le mie credenziali Account AWS potrebbero essere compromesse per risolvere il problema.