¿Cómo puedo solucionar la actividad inusual en los recursos en mi cuenta de AWS?

Descripción breve

Si observas una actividad inesperada de recursos en tu cuenta, es posible que tus credenciales se vean comprometidas. Un usuario no autorizado con tus credenciales puede realizar cualquier acción permitida por tus políticas de IAM. Para obtener orientación sobre cómo gestionar un posible acceso no autorizado, consulta ¿Qué puedo hacer si observo actividad no autorizada en mi cuenta de AWS?

Resolución

Identifica el usuario de IAM y la clave de acceso comprometidos y desactívalos. A continuación, utiliza AWS CloudTrail para buscar el historial de eventos de la API asociado al usuario de IAM comprometido.

En el siguiente ejemplo, se ha iniciado una instancia de Amazon Elastic Compute Cloud (Amazon EC2) inesperadamente.

Nota: La siguiente solución es aplicable a las credenciales de seguridad a largo plazo, no a las credenciales de seguridad temporales. Para revocar los permisos de las credenciales temporales, consulta Deshabilitar permisos para credenciales de seguridad temporales.

Identificación del ID de instancia de Amazon EC2

Sigue estos pasos:

1. Abre la consola de Amazon EC2 y, a continuación, selecciona Instancias.
2. Selecciona la instancia de EC2 y, a continuación, elige la pestaña Resumen de la instancia.
3. Copia el ID de instancia.

Búsqueda de la clave de acceso, el ID y el nombre de usuario de IAM utilizados para iniciar la instancia

Sigue estos pasos:

1. Abre la consola de CloudTrail y, a continuación, selecciona Historial de eventos.
2. En Atributos de búsqueda, elige Nombre del recurso.
3. En el campo Escribe el nombre de recurso, introduce el ID de la instancia y, a continuación, selecciona Intro.
4. Expande Nombre del evento para RunInstances.
5. Copia el valor de Clave de acceso de AWS y anota el nombre de usuario.

Eliminación del usuario de IAM, creación de una clave de acceso de IAM de copia de seguridad y posterior desactivación de la clave de acceso comprometida

Sigue estos pasos:

1. Abre la consola de IAM y, a continuación, introduce el ID de la clave de acceso de IAM en la barra Buscar en IAM.
2. Elige el nombre de usuario y, a continuación, selecciona la pestaña Credenciales de seguridad.
3. En Inicio de sesión en la consola, selecciona Administrar el acceso a la consola.
   Nota: Si la contraseña de la Consola de administración de AWS está configurada como Desactivada, puedes omitir este paso.
4. En Administrar el acceso a la consola, selecciona Desactivar y, a continuación, Aplicar.
   Importante: Si el usuario tiene claves de acceso activas, puede seguir utilizando las llamadas a la API para acceder a los servicios de AWS.
5. Actualiza las claves de acceso.
6. Para la clave de acceso de IAM comprometida, elige Acciones y, a continuación, selecciona Desactivar.
   Nota: Si desactivas la clave de acceso de IAM comprometida mientras está en uso, puedes afectar a los entornos de producción.

Revisión del historial de eventos de CloudTrail para ver la actividad de la clave de acceso comprometida

Sigue estos pasos:

1. Abre la consola de CloudTrail.
2. En el panel de navegación, selecciona Historial de eventos.
3. En Atributos de búsqueda, elige la clave de acceso de AWS.
4. En el campo Escribe la clave de acceso de AWS, introduce el ID de la clave de acceso de IAM comprometida.
5. Expande Nombre del evento para la llamada a la API RunInstances.
   Nota: Puedes ver el historial de eventos de los últimos 90 días.

También puedes buscar en el historial de eventos de CloudTrail para determinar cómo se modificó un recurso o grupo de seguridad.

Para obtener más información, consulta Uso del historial de eventos de CloudTrail.

Información relacionada

Prácticas recomendadas de seguridad en IAM

Protección de las claves de acceso

Administración de políticas de IAM

Directivas de auditoría de seguridad de AWS