Correção de credenciais potencialmente comprometidas AWS - Amazon GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Correção de credenciais potencialmente comprometidas AWS

Siga estas etapas recomendadas para corrigir credenciais potencialmente comprometidas em seu ambiente: AWS

  1. Identifique a entidade IAM potencialmente comprometida e a chamada de API usada.

    A chamada de API usada será listada como API nos detalhes da descoberta. A entidade do IAM (uma função ou usuário do IAM) e suas informações de identificação serão listadas na seção Recursos dos detalhes da descoberta. O tipo de entidade do IAM envolvida pode ser determinado pelo campo Tipo de usuário o nome da entidade do IAM estará no campo Nome de usuário. O tipo de entidade do IAM envolvida na descoberta também pode ser determinado pelo ID de chave de acesso usado.

    Para chaves que começam com AKIA:

    Esse tipo de chave é uma credencial de longo prazo gerenciada pelo cliente associada a um usuário do IAM ou Usuário raiz da conta da AWS. Para obter informações sobre como gerenciar chaves de acesso para usuários do IAM, consulte Gerenciamento de chaves de acesso de usuários do IAM.

    Para chaves que começam com ASIA:

    Esse tipo de chave é uma credencial temporária de curto prazo gerada pelo AWS Security Token Service. Essas chaves existem por pouco tempo e não podem ser visualizadas nem gerenciadas no AWS Management Console. As funções do IAM sempre usarão AWS STS credenciais, mas elas também podem ser geradas para usuários do IAM. Para obter mais informações, AWS STS consulte IAM: Credenciais de segurança temporárias.

    Se um perfil tiver sido usado, o campo Nome de usuário conterá informações sobre o nome do perfil usado. Você pode determinar como a chave foi solicitada AWS CloudTrail examinando o sessionIssuer elemento da entrada de CloudTrail registro. Para obter mais informações, consulte IAM e AWS STS informações em CloudTrail.

  2. Revise as permissões para a entidade do IAM.

    Abra o console do IAM. Dependendo do tipo da entidade usada, escolha a guia Usuários ou Funções e localize a entidade afetada digitando o nome identificado no campo de pesquisa. Use as guias Permissão e Consultor de acesso para revisar permissões efetivas para essa entidade.

  3. Determine se as credenciais da entidade do IAM foram usadas legitimamente.

    Entre em contato com o usuário das credenciais para determinar se a atividade foi intencional.

    Por exemplo, descubra se o usuário fez o seguinte:

    • Invocou a operação de API que foi listada na descoberta GuardDuty

    • Invocou a operação da API no momento listado na descoberta GuardDuty

    • Invocou a operação da API a partir do endereço IP listado na descoberta GuardDuty

Se essa atividade for um uso legítimo das AWS credenciais, você poderá ignorar a GuardDuty descoberta. O console https://console.aws.amazon.com/guardduty/ permite configurar regras para suprimir totalmente as descobertas individuais e impedir sua exibição. Para ter mais informações, consulte Regras de supressão.

Se você não puder confirmar se essa atividade é um uso legítimo, isso pode ser o resultado de um comprometimento da chave de acesso específica: as credenciais de login do usuário do IAM ou possivelmente a totalidade. Conta da AWS Se você suspeitar que suas credenciais foram comprometidas, revise as informações no artigo Meu Conta da AWS pode estar comprometido para corrigir esse problema.