¿Cómo puedo solucionar la actividad inusual en los recursos con mi cuenta de AWS?
Quiero saber qué usuarios de AWS Identity and Access Management (AWS IAM) han creado un recurso y restringir el acceso al recurso.
Breve descripción
La actividad no autorizada en la cuenta, por ejemplo, el lanzamiento inesperado de nuevos servicios, puede indicar que sus credenciales de AWS han dejado de ser seguras. Alguien con intenciones malintencionadas puede usar sus credenciales para acceder a la cuenta y realizar actividades permitidas por las políticas. Para obtener más información, consulte What do I do if I notice unauthorized activity in my AWS account?
Solución
Identifique el usuario de IAM y la clave de acceso comprometidos y, a continuación, desactívelos. A continuación, utilice AWS CloudTrail para buscar el historial de eventos de la API asociado al usuario de IAM comprometido.
En el siguiente ejemplo, se ha lanzado una instancia de Amazon Elastic Compute Cloud (Amazon EC2) inesperadamente.
Nota: La siguiente solución es aplicable a las credenciales de seguridad a largo plazo, no a las credenciales de seguridad temporales. Para desactivar las credenciales temporales, consulte Deshabilitar permisos para credenciales de seguridad temporales.
Identificación del ID de instancia de Amazon EC2
Siga estos pasos:
- Abra la consola de Amazon EC2 y, a continuación, seleccione Instancias.
- Elija la instancia de EC2 y, a continuación, seleccione la pestaña Descripción.
- Copie el ID de instancia.
Búsqueda de la clave de acceso, el ID y el nombre de usuario de IAM utilizados para lanzar la instancia
Siga estos pasos:
- Abra la consola de CloudTrail y, a continuación, seleccione Historial de eventos.
- En Filtro, elija Nombre del recurso.
- En el campo Escriba el nombre de recurso, introduzca el ID de la instancia y, a continuación, seleccione Intro.
- Expanda Nombre del evento para RunInstances.
- Copie el valor de Clave de acceso de AWS y anote el nombre de usuario.
Desactivación del usuario de IAM, creación de una clave de acceso de IAM de respaldo y posterior desactivación de la clave de acceso comprometida
Siga estos pasos:
- Abra la consola de IAM y, a continuación, introduzca el ID de la clave de acceso de IAM en la barra Buscar en IAM.
- Elija el nombre de usuario y, a continuación, seleccione la pestaña Credenciales de seguridad.
- En Inicio de sesión en la consola, seleccione Administrar el acceso a la consola.
Nota: Si la contraseña de la Consola de administración de AWS está configurada como Desactivada, puede omitir este paso. - En Administrar el acceso a la consola, seleccione Desactivar y, a continuación, Aplicar.
Importante: Los usuarios cuyas cuentas estén desactivadas no podrán acceder a la Consola de administración de AWS. Sin embargo, si el usuario tiene claves de acceso activas, puede seguir utilizando las llamadas a la API para acceder a los servicios de AWS. - Actualice las claves de acceso del usuario de IAM.
- Seleccione Desactivar para la clave de acceso de IAM comprometida.
Revisión del historial de eventos de CloudTrail para ver la actividad de la clave de acceso comprometida
Siga estos pasos:
- Abra la consola de CloudTrail.
- En el panel de navegación, elija Historial de eventos.
- En Filtro, elija Clave de acceso de AWS.
- En el campo Escriba la clave de acceso de AWS, introduzca el ID de la clave de acceso de IAM comprometida.
- Expanda Nombre del evento para la llamada a la API RunInstances.
Nota: Puede ver el historial de eventos de los últimos 90 días.
También puede buscar en el historial de eventos de CloudTrail para determinar cómo se modificó un recurso o grupo de seguridad.
Para obtener más información, consulte Working with CloudTrail Event history.
Información relacionada
Prácticas recomendadas de seguridad en IAM
Protección de las claves de acceso
Contenido relevante
- OFICIAL DE AWSActualizada hace 2 años
- OFICIAL DE AWSActualizada hace un año
- OFICIAL DE AWSActualizada hace 4 meses