AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

¿Por qué he recibido la alerta de tipo de resultado de GuardDuty UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS para mi instancia de Amazon EC2?

2 minutos de lectura

Amazon GuardDuty ha detectado alertas sobre el tipo de resultado UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS.

Breve descripción

El tipo de resultado de GuardDuty UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS indica que las credenciales temporales de AWS se están utilizando desde un host externo para ejecutar operaciones de una API de AWS. Las credenciales temporales de AWS se crearon en una instancia de Amazon Elastic Compute Cloud (Amazon EC2) en su entorno de AWS.

Resolución

Localice y analice su resultado en GuardDuty. En el panel Detalles del resultado, anote la dirección IP externa y el nombre de usuario de AWS Identity and Access Management (IAM).

La dirección IP externa es segura

Si la dirección IP externa es suya o de alguien en quien confíe, puede archivar automáticamente los resultados con una regla de supresión.

La dirección IP externa es malintencionada

Para resolver este problema, siga estos pasos:

Si la dirección IP externa es malintencionada, puede denegar todos los permisos al usuario de IAM.
Nota: Los permisos para el usuario de IAM se deniegan para todas las instancias de EC2.

Cree una política de IAM con una denegación explícita para bloquear el acceso a la instancia para el usuario de IAM.
Nota: Sustituya su ID de rol your-roleID y your-role-session-name por el nombre de sesión de su rol.


{  "Version": "2012-10-17",  
  "Statement": \[  
    {  
      "Effect": "Deny",  
      "Action": \[  
        "\*"  
      \],  
      "Resource": \[  
        "\*"  
      \],  
      "Condition": {  
        "StringEquals": {  
          "aws:userId": "your-roleId:your-role-session-name"  
        }  
      }  
    }  
  \]  
}

Corrija una instancia EC2 que pueda estar comprometida en su entorno de AWS.
**Nota:**Como práctica recomendada de seguridad, defina como obligatorio el uso del servicio de metadatos de instancias (IMDS) en sus instancias.

Temas: Security, Identity, & Compliance
Etiquetas: Amazon GuardDuty
Idioma: Español

OFICIAL DE AWSActualizada hace 2 años

Sin comentarios

Contenido relevante

Como validar que servicios protege AWS Guarduty si no tengo Findings.
Respuesta aceptada
David
preguntada hace un año
Problema con la edicion de una instancia EC2 en la region Mexico Central
Alberto
preguntada hace 2 meses
Se me ha hecho un cobro estando en el plan gratuito
rePost-User-0869608
preguntada hace un año
Problema de acceso a instancia
Jmortega
preguntada hace 9 meses
¿Porque el grupo destino en una instancia EC2 se desvincula?
LuisRodriguez
preguntada hace 6 meses
¿Por qué he recibido la alerta de tipo de resultado «Recon:EC2/PortProbeUnprotectedPort» de GuardDuty para mi instancia de Amazon EC2?
OFICIAL DE AWSActualizada hace un año
He recibido alertas de GuardDuty sobre resultados de fuerza bruta del tipo «UnauthorizedAccess» con relación a mi instancia de Amazon EC2. ¿Qué debo hacer?
OFICIAL DE AWSActualizada hace 2 años
¿Por qué he recibido un tipo de resultado CryptoCurrency:EC2/BitcoinTool.B!DNS de Amazon GuardDuty para mi instancia de Amazon EC2?
OFICIAL DE AWSActualizada hace 3 años
¿Por qué he recibido alertas de tipo de resultado UnauthorizedAccess:IAMUser/TorIPCaller o Recon:IAMUser/TorIPCaller de Amazon GuardDuty para mi usuario o rol de IAM?
OFICIAL DE AWSActualizada hace 3 años