本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
修復可能遭到破壞 AWS 的認證
請依照下列建議步驟修復 AWS 環境中可能遭到入侵的認證:
-
識別可能遭到入侵的 IAM 實體和所使用的 API 呼叫。
使用的 API 呼叫會在調查結果詳細資訊中列為
API
。IAM 實體 (IAM 角色或使用者) 及其識別資訊將列在發現項目詳細資料的「資源」區段中。涉及的 IAM 實體類型可由使用者類型欄位決定,IAM 實體名稱將位於使用者名稱 欄位中。調查結果中涉及的 IAM 實體類型也可由使用的存取金鑰 ID 決定。- 對於以
AKIA
開頭的金鑰: -
此類金鑰是與 IAM 使用者或 AWS 帳戶根使用者相關聯的長期客戶自管憑證。如需有關管理 IAM 使用者存取金鑰的資訊,請參閱管理 IAM 使用者的存取金鑰。
- 對於以
ASIA
開頭的金鑰: -
此類金鑰是 AWS Security Token Service產生的短期臨時登入資料。這些金鑰只存在很短的時間,無法在 AWS 管理主控台中檢視或管理。IAM 角色一律會使用 AWS STS 登入資料,但也可以為 IAM 使用者產生登入資料,如需有關 IAM:臨時安全登入資料的 AWS STS 詳細資訊。
如果已使用角色,使用者名稱欄位將顯示所使用角色的名稱。您可以 AWS CloudTrail 透過檢查 CloudTrail 日誌項目的
sessionIssuer
元素來判斷金鑰的要求方式,如需詳細資訊,請參閱 IAM 和中的 AWS STS 資訊 CloudTrail。
- 對於以
-
檢閱 IAM 實體的許可。
開啟 IAM 主控台。根據所使用實體的類型,選擇 [使用者] 或 [角色] 索引標籤,然後在搜尋欄位中輸入識別的名稱來尋找受影響的實體。使用許可和存取顧問索引標籤,以檢閱該實體的有效許可。
-
判斷是否合法使用 IAM 實體登入資料。
請聯絡該登入資料的使用者,以判斷活動是否為刻意。
例如,查出使用者是否進行了以下動作:
-
叫用 GuardDuty 發現項目中列出的 API 作業
-
在 GuardDuty發現項目中列出的時間叫用 API 作業
-
從 GuardDuty 發現項目中列出的 IP 位址叫用 API 作業
-
如果此活動是 AWS 認證的合法用途,您可以忽略此 GuardDuty 發現項目。https://console.aws.amazon.com/guardduty/
如果您無法確認此活動是否為合法用途,則可能是因為對特定存取金鑰 (IAM 使用者的登入憑證,或可能是整個存取金鑰) 遭到入侵的結果 AWS 帳戶。如果您懷疑自己的認證已遭入侵,請檢閱「我的 AWS 帳戶 可能遭