修復可能遭到破壞 AWS 的認證 - Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

修復可能遭到破壞 AWS 的認證

請依照下列建議步驟修復 AWS 環境中可能遭到入侵的認證:

  1. 識別可能遭到入侵的 IAM 實體和所使用的 API 呼叫。

    使用的 API 呼叫會在調查結果詳細資訊中列為 API。IAM 實體 (IAM 角色或使用者) 及其識別資訊將列在發現項目詳細資料的「資源」區段中。涉及的 IAM 實體類型可由使用者類型欄位決定,IAM 實體名稱將位於使用者名稱 欄位中。調查結果中涉及的 IAM 實體類型也可由使用的存取金鑰 ID 決定。

    對於以 AKIA 開頭的金鑰:

    此類金鑰是與 IAM 使用者或 AWS 帳戶根使用者相關聯的長期客戶自管憑證。如需有關管理 IAM 使用者存取金鑰的資訊,請參閱管理 IAM 使用者的存取金鑰

    對於以 ASIA 開頭的金鑰:

    此類金鑰是 AWS Security Token Service產生的短期臨時登入資料。這些金鑰只存在很短的時間,無法在 AWS 管理主控台中檢視或管理。IAM 角色一律會使用 AWS STS 登入資料,但也可以為 IAM 使用者產生登入資料,如需有關 IAM:臨時安全登入資料的 AWS STS 詳細資訊。

    如果已使用角色,使用者名稱欄位將顯示所使用角色的名稱。您可以 AWS CloudTrail 透過檢查 CloudTrail 日誌項目的sessionIssuer元素來判斷金鑰的要求方式,如需詳細資訊,請參閱 IAM 和中的 AWS STS 資訊 CloudTrail

  2. 檢閱 IAM 實體的許可。

    開啟 IAM 主控台。根據所使用實體的類型,選擇 [使用] 或 [角色] 索引標籤,然後在搜尋欄位中輸入識別的名稱來尋找受影響的實體。使用許可存取顧問索引標籤,以檢閱該實體的有效許可。

  3. 判斷是否合法使用 IAM 實體登入資料。

    請聯絡該登入資料的使用者,以判斷活動是否為刻意。

    例如,查出使用者是否進行了以下動作:

    • 叫用 GuardDuty 發現項目中列出的 API 作業

    • 在 GuardDuty發現項目中列出的時間叫用 API 作業

    • 從 GuardDuty 發現項目中列出的 IP 位址叫用 API 作業

如果此活動是 AWS 認證的合法用途,您可以忽略此 GuardDuty 發現項目。https://console.aws.amazon.com/guardduty/ 控制台允許您設定規則以完全隱藏單個調查結果,使其不再顯示。如需詳細資訊,請參閱 隱藏規則

如果您無法確認此活動是否為合法用途,則可能是因為對特定存取金鑰 (IAM 使用者的登入憑證,或可能是整個存取金鑰) 遭到入侵的結果 AWS 帳戶。如果您懷疑自己的認證已遭入侵,請檢閱「我的 AWS 帳戶 可能遭到入侵」文章中的資訊,以修正此問題。