¿Por qué he recibido alertas de tipo de resultado UnauthorizedAccess:IAMUser/TorIPCaller o Recon:IAMUser/TorIPCaller de Amazon GuardDuty para mi usuario o rol de IAM?

Breve descripción

Los tipos de resultado UnauthorizedAccess:IAMUser/TorIPCaller y Recon:IAMUser/TorIPCaller indican que sus credenciales de identidad o claves de acceso de AWS Identity and Access Management (IAM) se han utilizado para realizar una operación de API en AWS desde una dirección IP de nodo de salida de Tor. Por ejemplo, este error puede aparecer al intentar crear una instancia de Amazon Elastic Compute Cloud (Amazon EC2), mostrar los identificadores de las claves de acceso o modificar los permisos de IAM. Estos tipos de resultado también pueden indicar que las credenciales de identidad o las claves de acceso de IAM están asociadas a una actividad no autorizada. Para obtener más información, consulte Tipos de resultado.

Resolución

Utilice GuardDuty para localizar la clave de acceso de IAM, y AWS CloudTrail para identificar la actividad de la API de AWS.

1. Siga las instrucciones para localizar y analizar los resultados de GuardDuty.
2. En el panel de detalles de resultados, anote el ID de la clave de acceso de IAM.
3. Siga las instrucciones para buscar la actividad de la API de la clave de acceso de IAM mediante CloudTrail.

Si confirma que la actividad es un uso legítimo de las credenciales de AWS, puede:

• Ignorar el tipo de resultado.
• Archivar el tipo de resultado.
• Crear reglas de supresión para archivar automáticamente los nuevos tipos de resultado.

Si confirma que la actividad no es un uso legítimo de las credenciales de AWS, una práctica recomendada de seguridad es suponer que todas las credenciales de AWS están comprometidas. Siga estas instrucciones para corregir las credenciales de AWS comprometidas.

Para obtener más información, consulte ¿Qué hago si observo actividad no autorizada en mi cuenta de AWS?

Información relacionada

Qué hacer si expone inadvertidamente una clave de acceso de AWS