Pourquoi ai-je reçu l'alerte de type résultat GuardDuty UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS pour mon instance Amazon EC2 ?

Lecture de 2 minute(s)
0

Amazon GuardDuty a détecté des alertes pour le type de résultat UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration trouver le type.

Brève description

Le type de résultat GuardDuty UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration indique que les informations d'identification AWS créées exclusivement pour une instance Amazon Elastic Compute Cloud (Amazon EC2) via un rôle de lancement d'instance sont utilisées à partir d'une adresse IP externe.

Résolution

Suivez les instructions pour afficher et analyser vos résultats GuardDuty. Ensuite, dans le volet de détails des résultats, notez l'adresse IP externe et le nom d'utilisateur IAM.

L'adresse IP externe est sûre

Si l'adresse IP externe vous appartient ou appartient à une personne de confiance, vous pouvez archiver automatiquement les résultats avec une règle de suppression.

L'adresse IP externe est malveillante

  1. Si l'adresse IP externe est malveillante, vous pouvez refuser toutes les autorisations à l'utilisateur IAM.

Remarque : les autorisations pour l'utilisateur IAM sont refusées pour toutes les instances EC2.

  1. Créez une stratégie IAM avec un refus explicite pour bloquer l'accès à l'instance EC2 pour l'utilisateur IAM, de la manière suivante :

Remarque : remplacez your-roleID et your-role-session-name par l'ID principal.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:userId": "your-roleId:your-role-session-name"
        }
      }
    }
  ]
}
  1. Suivez les instructions pour corriger une instance EC2 compromise.

Remarque : comme bonne pratique de sécurité, veillez à exiger l'utilisation d'IMDSv2 sur une instance existante.


AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 2 ans