Comment puis-je mettre fin à une activité inhabituelle non autorisée sur les ressources de mon compte AWS ?

Lecture de 3 minute(s)
0

Je souhaite identifier les utilisateurs d'AWS Identity and Access Management (IAM) qui ont créé une ressource et restreindre l'accès à cette ressource.

Brève description

Une activité non autorisée sur votre compte, telle que le lancement inattendu de nouveaux services, peut indiquer que vos informations d'identification AWS ont été compromises. Une personne mal intentionnée peut utiliser vos informations d'identification pour accéder à votre compte et effectuer des activités autorisées par les politiques. Pour plus d'informations, consultezQue faire si je constate une activité non autorisée sur mon compte AWS ?

Résolution

Identifiez l'utilisateur IAM et la clé d'accès compromis, puis désactivez-les. Utilisez ensuite AWS CloudTrail pour rechercher l'historique des événements d'API associés à l'utilisateur IAM compromis.

Dans l'exemple suivant, une instance Amazon Elastic Compute Cloud (Amazon EC2) a été démarrée de manière inattendue.

Remarque : La résolution suivante s'applique aux informations d'identification de sécurité à long terme, et non aux informations d'identification de sécurité temporaires. Pour désactiver les informations d'identification temporaires, voir Désactivation des autorisations pour les informations d'identification de sécurité temporaires.

Identifiez l'ID de l'instance Amazon EC2

Procédez comme suit :

  1. Ouvrez la console Amazon EC2, puis choisissez Instances.
  2. Choisissez l'instance EC2, puis choisissez l'onglet Description.
  3. Copiez l'ID de l'instance.

Localisez l'ID de clé d'accès IAM et le nom d'utilisateur utilisés pour lancer l'instance

Procédez comme suit :

  1. Ouvrez la console CloudTrail, puis choisissez Historique des événements.
  2. Sous Filtre, choisissez Nom de la ressource.
  3. Dans le champ Entrez le nom de la ressource, entrez l’ID de l’instance, puis choisissez Entrée.
  4. Développez le Nom de l'événement pour RunInstances.
  5. Copiez la clé d'accès AWS, puis notez le nom d'utilisateur.

Désactivez l'utilisateur IAM, créez une clé d'accès IAM de sauvegarde, puis désactivez la clé d'accès compromise

Procédez comme suit :

  1. Ouvrez la console IAM, puis saisissez l'ID de la clé d'accès IAM dans la barre de recherche Rechercher IAM.
  2. Choisissez le nom d'utilisateur, puis l'onglet Informations d’identification de sécurité.
  3. Dans Connexion à la console, choisissezGérer l’accès à la console.
    Remarque :Si le mot de passe d'AWS Management Console est défini surDésactivé, vous pouvez ignorer cette étape.
  4. Dans Gestion de l'accès à la console, choisissez Désactiver, puis cliquez sur Appliquer.
    **Attention :**Les utilisateurs dont les comptes sont désactivés ne peuvent pas accéder à la console de gestion AWS. Toutefois, si l'utilisateur dispose de clés d'accès actives, il peut toujours utiliser des appels d'API pour accéder aux services AWS.
  5. Mettez à jour les clés d'accès de l'utilisateur IAM.
  6. Pour la clé d'accès IAM compromise, choisissez Rendre inactive.

Consultez l'historique des événements sur CloudTrail pour identifier les activités liées à la clé d'accès compromise

Procédez comme suit :

  1. Ouvrez la console CloudTrail.
  2. Dans le volet de navigation, sélectionnez Historique des événements.
  3. SousFiltre, choisissez la clé d’accès AWS.
  4. Dans le champEntrez la clé d’accès AWS, saisissez l’ID de la clé d’accès IAM compromise.
  5. Développez le nom de l’événement pour l’appel d’API RunInstances.
    **Remarque :**Vous pouvez consulter l'historique des événements des 90 derniers jours.

Vous pouvez également fouiller l'historique des événements CloudTrail pour déterminer comment un groupe de sécurité ou une ressource a été modifié.

Pour en savoir plus, consultez la section Utilisation de l'historique des événements CloudTrail.

Informations connexes

Bonnes pratiques de sécurité dans IAM

Sécurisation des clés d'accès

Gestion des politiques IAM

Recommandations relatives aux audits de sécurité AWS

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 4 mois