Que faire si je remarque une activité non autorisée dans mon compte AWS ?

Lecture de 7 minute(s)

Je vois des ressources que je ne me souviens pas avoir créées dans la console de gestion AWS. -ou- J'ai reçu une notification m'informant que mes ressources ou mon compte AWS pourraient être corrompus.

Brève description

Si vous soupçonnez une activité non autorisée dans votre compte AWS, vérifiez tout d'abord si l'activité n'était pas autorisée en procédant comme suit :

Identifiez toutes les actions non autorisées effectuées par les identités AWS Identity and Access Management (IAM) dans votre compte.
Identifiez tout accès non autorisé ou toute modification de votre compte.
Identification de la création de ressources non autorisées.
Identifiez la création de toute ressource IAM non autorisée, telle que des rôles, des stratégies gérées ou des modifications de gestion telles que des comptes liés frauduleux créés dans votre organisation AWS.

Ensuite, si vous constatez une activité non autorisée, suivez les instructions de la section En cas d’activité non autorisée dans votre compte AWS de cet article.

Remarque : si vous ne pouvez pas vous connecter à votre compte, voir Que faire si je ne parviens pas à me connecter à ou à accéder à mon compte AWS ?

Résolution

Vérifiez s'il y a eu une activité non autorisée dans votre compte AWS

Identification de toutes les actions non autorisées effectuées par les identités IAM de votre compte

Déterminez la dernière utilisation de chaque mot de passe ou clé d'accès utilisateur IAM. Pour obtenir des instructions, voir Obtention de rapports d'informations d’identification pour votre compte AWS.
Déterminez quels utilisateurs, groupes d'utilisateurs, rôles et politiques IAM ont été utilisés récemment. Pour obtenir des instructions, voir Affichage des dernières informations consultées pour IAM.

Identification de tout accès non autorisé ou toute modification de votre compte

Pour connaître les instructions, voir Comment puis-je surveiller l'activité du compte d'utilisateurs et de rôles IAM ainsi que de clés d'accès AWS spécifiques ? Voir également Comment puis-je dépanner une activité des ressources inhabituelle sur mon compte AWS ?

Identification de la création de ressources ou d'utilisateurs IAM non autorisés

Pour identifier toute utilisation non autorisée de ressources, dont des services inattendus, des régions ou des frais imputés à votre compte, consultez les points suivants :

Rapports d’utilisation et sur les coûts pour votre compte
La référence de vérification AWS Trusted Advisor
La page Factures de la console de gestion AWS

Remarque : vous pouvez également utiliser AWS Cost Explorer pour vérifier les frais et l'utilisation associés à votre compte AWS. Pour en savoir plus, reportez-vous à Comment utiliser Cost Explorer pour analyser mes dépenses et mon utilisation ?

En cas d’activité non autorisée dans votre compte AWS

Important : si vous avez reçu une notification d'AWS concernant une activité irrégulière sur votre compte, suivez d'abord les instructions suivantes. Puis, répondez à la notification dans le centre de support AWS en confirmant les actions que vous avez effectuées.

Rotation et suppression des clés d'accès de compte exposés

Vérifiez la notification d'activité irrégulière envoyée par AWS Support pour les clés d'accès de compte exposés. Si des clés sont répertoriées, procédez comme suit :

Créez une nouvelle clé d'accès AWS.
Modifiez votre application afin d’utiliser la nouvelle clé d’accès.
Désactivez la clé d'accès d'origine.
Important : ne supprimez pas encore la clé d'accès d'origine. Désactivez uniquement la clé d'accès d'origine.
Vérifiez qu'il n'existe aucun problème concernant votre application. En cas de problème, réactivez temporairement la clé d'accès d'origine pour le résoudre.
Si votre application est entièrement fonctionnelle après la désactivation de la clé d'accès d'origine, supprimez la clé d'accès d'origine.
Supprimez les clés d'accès utilisateur racine du compte AWS dont vous n'avez plus besoin ou que vous n'avez pas créées.

Pour plus d'informations, consultez les Bonnes pratiques pour la gestion des clés d'accès AWS et Gestion des clés d'accès pour les utilisateurs IAM.

Rotation de toutes informations d’identification d'utilisateur IAM potentiellement non autorisé

Ouvrez la console IAM.
Dans le panneau de navigation de gauche, choisissez Users (Utilisateurs). La liste des utilisateurs IAM de votre compte AWS s’affiche.
Choisissez le nom du premier utilisateur IAM de la liste. La page Summary (résumé) de l'utilisateur IAM s'ouvre.
Dans l'onglet Permissions (autorisations), sous la section Permissions policies (politiques d’autorisation), recherchez une politique nommée AWSExposedCredentialPolicy_DO_NOT_REMOVE. Si cette politique est associée à l'utilisateur, effectuez une rotation des clés d'accès de l'utilisateur.
Répétez les étapes 3 et 4 pour chaque utilisateur IAM de votre compte.
Supprimez les utilisateurs IAM que vous n'avez pas créés.
Modifiez le mot de passe pour tous les utilisateurs IAM que vous avez créés et que vous souhaitez conserver.

Si vous utilisez des informations d'identification de sécurité temporaires, alors consultez Révocation des informations d'identification de sécurité temporaires du rôle IAM.

Vérifiez vos journaux AWS CloudTrail pour détecter toute activité non autorisée

Ouvrez la console AWS CloudTrail.
Dans le panneau de navigation de gauche, cliquez sur Historique des événements.
Vérifiez toute activité non autorisée, telle que la création de clés d'accès, de stratégies, de rôles ou d'informations d'identification de sécurité temporaires.
Important : assurez-vous de vérifier l'heure de l'événement pour confirmer si les ressources ont été créées récemment et correspondent à l'activité irrégulière.
Supprimez toutes les clés d'accès, stratégies, rôles ou informations d'identification de sécurité temporaires que vous avez identifiées comme non autorisées.

Pour plus d'informations, consultez Utilisation des CloudTrail.

Suppression des ressources non reconnues ou non autorisées

1. Connectez-vous à la console de gestion AWS. Puis, vérifiez que toutes les ressources de votre compte sont des ressources que vous avez lancées. Assurez-vous de vérifier et de comparer l'utilisation du mois précédent à celle du mois en cours. Assurez-vous de rechercher des ressources dans toutes les régions AWS, même celles où vous n'avez jamais lancé de ressources. Prêtez également une attention particulière aux ressources suivantes :

Instances Amazon EC2 et Spot Instances, et Amazon Machine Images (AMIs), y compris les instances à l’état arrêté
AWS Auto Scaling groups
Volumes Amazon Elastic Block Store (Amazon EBS) et instantanés
Clusters Amazon Elastic Container Service (Amazon ECS)
Référentiels Amazon Elastic Container Registry (Amazon ECR)
Fonctions AWS Lambda et couches
Instances Amazon Lightsail
Domaines Amazon Route 53
Instances Amazon SageMaker notebook

2. Supprimez les ressources non reconnues ou non autorisées. Pour connaître les instructions, reportez-vous à Comment puis-je résilier les ressources actives dont je n'ai plus besoin sur mon compte AWS ?

Important : si vous devez conserver des ressources pour l'investigation, pensez à les sauvegarder. Par exemple, si vous devez conserver une instance EC2 pour des raisons réglementaires, de conformité ou juridiques, créez un instantané Amazon EBS avant de mettre fin à l'instance.

Restauration de ressources sauvegardées

Si vous avez configuré des services pour conserver des sauvegardes, récupérez ces sauvegardes depuis leur dernier état non compromis connu.

Pour plus d'informations sur la restauration des types spécifiques de ressources AWS, consultez les rubriques suivantes :

Restauration depuis un instantané Amazon EBS ou une AMI
Restauration depuis un instantané de bases de données (instances de bases de données Amazon Relational Database Service (Amazon RDS))
Restauration de versions précédentes (versions d’objet Amazon Simple Storage Service (Amazon S3))

Vérifier les informations de votre compte

Vérifiez que toutes les informations ci-après sont correctes dans votre compte AWS :

Nom du compte et adresse e-mail
Coordonnées (Assurez-vous de l’exactitude de votre numéro de téléphone)
Autres coordonnées

Remarque : pour plus d'informations sur les bonnes pratiques de sécurité de compte AWS, voir Quelles sont les bonnes pratiques pour sécuriser mon compte AWS et ses ressources ?

Informations connexes

Guide des réponses aux incidents de sécurité AWS

Informations d'identification de sécurité AWS

Directives d'audit de sécurité AWS

Bonnes pratiques pour Amazon EC2

Sujets

Gestion et gouvernance

Balises

AWS Account Management

Langue

Français

Vidéos associées

Regardez la vidéo de Giovanni pour en savoir plus (3:02)

Watch Aliva's video to learn more (5:40)

AWS Supports You: Securing Your Identity and Access Management Access Keys (42:44)

AWS OFFICIELA mis à jour il y a un an

Aucun commentaire

Contenus pertinents

Compte piraté - Facturation
roym
demandé il y a 3 mois
comment creer une compte console AWS sans carte du credit?
daddy
demandé il y a 5 mois
y aura-t'il un surcout pour moi si je sélectionne un autre GPU ?
GPU demand
demandé il y a 8 mois
Comment s'assurer que toutes les ressources sont désactivées ?
rePost-User-2282818
demandé il y a 6 mois
Reprise gestion AWS
Réponse acceptée
biotops
demandé il y a 5 mois
Comment résoudre les problèmes d'activité inhabituelle des ressources avec mon compte AWS ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment puis-je autoriser tous les comptes d'une organisation AWS à utiliser une clé AWS KMS dans mon compte ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment remplacer un journal d’activité CloudTrail par un journal d’activité AWS Organizations ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment résoudre les erreurs « non autorisées » lors de l'exécution de requêtes GraphQL dans AWS AppSync ?
AWS OFFICIELA mis à jour il y a un an