¿Por qué he recibido alertas de tipo de resultado UnauthorizedAccess:IAMUser/TorIPCaller o Recon:IAMUser/TorIPCaller de Amazon GuardDuty para mi usuario o rol de IAM?
2 minutos de lectura
0
Amazon GuardDuty ha detectado alertas de tipo de resultado UnauthorizedAccess:IAMUser/TorIPCaller o Recon:IAMUser/TorIPCaller.
Breve descripción
Los tipos de resultado UnauthorizedAccess:IAMUser/TorIPCaller y Recon:IAMUser/TorIPCaller indican que sus credenciales de identidad o claves de acceso de AWS Identity and Access Management (IAM) se han utilizado para realizar una operación de API en AWS desde una dirección IP de nodo de salida de Tor. Por ejemplo, este error puede aparecer al intentar crear una instancia de Amazon Elastic Compute Cloud (Amazon EC2), mostrar los identificadores de las claves de acceso o modificar los permisos de IAM. Estos tipos de resultado también pueden indicar que las credenciales de identidad o las claves de acceso de IAM están asociadas a una actividad no autorizada. Para obtener más información, consulte Tipos de resultado.
Resolución
Utilice GuardDuty para localizar la clave de acceso de IAM, y AWS CloudTrail para identificar la actividad de la API de AWS.
Si confirma que la actividad no es un uso legítimo de las credenciales de AWS, una práctica recomendada de seguridad es suponer que todas las credenciales de AWS están comprometidas. Siga estas instrucciones para corregir las credenciales de AWS comprometidas.