¿Por qué he recibido la alerta de tipo de resultado de GuardDuty UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS para mi instancia de Amazon EC2?

Breve descripción

El tipo de resultado de GuardDuty UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS indica que las credenciales de AWS que se crearon exclusivamente para una instancia de Amazon Elastic Compute Cloud (Amazon EC2) mediante un rol de lanzamiento de instancias se están utilizando desde una dirección IP externa.

Solución

Siga las instrucciones para ver y analizar sus resultados de GuardDuty. A continuación, en el panel de detalles de los resultados, fíjese en la dirección IP externa y el nombre de usuario de IAM.

La dirección IP externa es segura

Si la dirección IP externa es suya o de alguien en quien confíe, puede archivar automáticamente los resultados con una regla de supresión.

La dirección IP externa es malintencionada

1. Si la dirección IP externa es malintencionada, puede denegar todos los permisos al usuario de IAM.

Nota: Los permisos para el usuario de IAM se deniegan para todas las instancias de EC2.

2. Cree una política de IAM con una denegación explícita para bloquear el acceso a la instancia de EC2 para el usuario de IAM como la siguiente:

Nota: Sustituya your-roleID y your-role-session-name por el ID de la entidad principal.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:userId": "your-roleId:your-role-session-name"
        }
      }
    }
  ]
}

3. Siga las instrucciones para corregir una instancia de EC2 comprometida.

Nota: Como práctica recomendada de seguridad, defina como obligatorio el uso de IMDSv2 en una instancia existente.