Pourquoi ai-je reçu l’alerte de type de résultat GuardDuty UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS pour mon instance Amazon EC2 ?

Lecture de 2 minute(s)
0

Amazon GuardDuty a détecté des alertes pour le type de résultat UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS.

Brève description

Le type de résultat GuardDuty UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS indique qu’un hôte externe a essayé d’utiliser des informations d’identification AWS temporaires pour exécuter les opérations d’API AWS. Les informations d’identification AWS temporaires ont été créées sur une instance Amazon Elastic Compute Cloud (Amazon EC2) de votre environnement AWS.

Résolution

Localisez et analysez votre résultat GuardDuty. Dans le volet Détails du résultat, notez l’adresse IP externe et le nom d’utilisateur AWS Identity and Access Management (IAM).

L’adresse IP externe est sécurisée

Si vous ou une personne de confiance êtes propriétaire de l’adresse IP externe, vous pouvez archiver automatiquement la découverte à l’aide d’une règle de suppression.

L’adresse IP externe est malveillante

Pour résoudre ce problème, procédez comme suit :

  1. Refusez toutes les autorisations à l’utilisateur IAM.
    Remarque : les autorisations accordées à l’utilisateur IAM sont refusées pour toutes les instances EC2.

  2. Créez une politique IAM avec un Refus explicite qui bloque l’accès à l’instance pour l’utilisateur IAM :
    Remarque : remplacez your-roleID, par l’ID de votre rôle et your-role-session-name par le nom de votre session.

    
    {  "Version": "2012-10-17",  
      "Statement": \[  
        {  
          "Effect": "Deny",  
          "Action": \[  
            "\*"  
          \],  
          "Resource": \[  
            "\*"  
          \],  
          "Condition": {  
            "StringEquals": {  
              "aws:userId": "your-roleId:your-role-session-name"  
            }  
          }  
        }  
      \]  
    }
  3. Corrigez une instance EC2 potentiellement compromise dans votre environnement AWS.
    Remarque : une bonne pratique en matière de sécurité consiste à vous assurer d’utiliser le service de métadonnées d’instance (IMDS) sur vos instances.

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 10 mois