修复可能被泄露的凭证 AWS - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

修复可能被泄露的凭证 AWS

请按照以下建议步骤修复 AWS 环境中可能被泄露的凭证:

  1. 确定可能遭到入侵的 IAM 实体和使用的 API 调用。

    使用的 API 调用将在调查发现详细信息中作为 API 列出。IAM 实体(IAM 角色或用户)及其识别信息将在调查结果详情的 “资源” 部分中列出。所涉及的 IAM 实体的类型可由 User Type (用户类型) 字段确定,IAM 实体的名称将位于 User name (用户名) 字段中。调查发现中涉及的 IAM 实体的类型也可以由使用的 Access key ID(访问密钥 ID)确定。

    对于以 AKIA 开头的密钥:

    此类密钥是与 IAM 用户或 AWS 账户根用户关联的长期客户管理凭证。有关管理 IAM 用户的访问密钥的信息,请参阅管理 IAM 用户的访问密钥

    对于以 ASIA 开头的密钥:

    此类型的密钥是由 AWS Security Token Service生成的短期临时凭证。这些密钥仅存在很短的时间,无法在 AWS 管理控制台中查看或管理。IAM 角色将始终使用 AWS STS 证书,但也可以为 IAM 用户生成证书,有关更多信息, AWS STS 请参阅 IAM:临时安全证书

    如果使用了角色,用户名称字段将指示所用角色的名称。您可以 AWS CloudTrail 通过检查 CloudTrail 日志条目的sessionIssuer元素来确定密钥是如何请求的,有关更多信息,请参阅 IAM 和中的 AWS STS 信息 CloudTrail

  2. 查看 IAM 实体的权限。

    打开 IAM 控制台。根据所用实体的类型,选择 “用户” 或 “角色” 选项卡,然后通过在搜索字段中键入已识别的名称来找到受影响的实体。使用 Permission (权限)Access Advisor (访问顾问) 选项卡可查看该实体的有效权限。

  3. 确定是否合法使用了 IAM 实体凭证。

    请与凭证用户联系以确定活动是否是有意进行的。

    例如,确定此用户是否执行了以下操作:

    • 调用了 GuardDuty 调查结果中列出的 API 操作

    • 在 GuardDuty调查结果中列出的时间调用了 API 操作

    • 从 GuardDuty 调查结果中列出的 IP 地址调用了 API 操作

如果此活动是对 AWS 凭证的合法使用,则可以忽略该 GuardDuty 发现。https://console.aws.amazon.com/guardduty/ 控制台允许您设置规则,以完全抑制单个调查发现,使其不再出现。有关更多信息,请参阅 抑制规则

如果您无法确认此活动是否为合法用途,则可能是由于特定访问密钥(IAM 用户的登录证书,或者可能是整个 AWS 账户访问密钥)遭到泄露所致。如果您怀疑自己的凭证已被泄露,请查看 “我的 AWS 账户 可能已被泄露” 文章中的信息以解决此问题。