Comment mettre fin à une activité inhabituelle non autorisée sur les ressources de mon compte AWS ?

Brève description

Si vous remarquez une activité inattendue sur les ressources de votre compte, il est possible que vos informations d'identification soient compromises. Un utilisateur non autorisé disposant de vos informations d'identification peut effectuer toutes les actions autorisées par vos politiques IAM. Pour des recommandations sur la procédure de gestion d’un accès non autorisé potentiel, consultez la section Que puis-je faire si je constate une activité non autorisée sur mon compte AWS ?

Résolution

Tout d’abord, identifiez l'utilisateur IAM et la clé d'accès compromis, puis désactivez-les. Puis, utilisez AWS CloudTrail pour rechercher l'historique des événements d'API associés à l'utilisateur IAM compromis.

Dans l'exemple suivant, une instance Amazon Elastic Compute Cloud (Amazon EC2) a été démarrée de manière inattendue.

Remarque : La résolution suivante s'applique aux informations d'identification de sécurité à long terme, et non aux informations d'identification de sécurité temporaires. Pour révoquer les informations d'identification temporaires, consultez la section Désactivation des autorisations pour les informations d'identification de sécurité temporaires.

Identifier l'ID de l'instance Amazon EC2

Procédez comme suit :

1. Ouvrez la console Amazon EC2, puis choisissez Instances.
2. Sélectionnez l'instance EC2, puis choisissez l'onglet Résumé de l'instance.
3. Copiez l'ID de l'instance.

Localiser l'ID de clé d'accès IAM et le nom d'utilisateur utilisés pour lancer l'instance

Procédez comme suit :

1. Ouvrez la console CloudTrail, puis choisissez Historique des événements.
2. Dans Attributs de recherche, sélectionnez Nom de la ressource.
3. Dans le champ Saisir un nom de ressource, saisissez l’ID de l’instance, puis sélectionnez Entrée.
4. Développez le Nom de l'événement pour RunInstances.
5. Copiez la clé d'accès AWS, puis notez le nom d'utilisateur.

Supprimer l'utilisateur IAM, créer une clé d'accès IAM de sauvegarde, puis désactiver la clé d'accès compromise

Procédez comme suit :

1. Ouvrez la console IAM, puis saisissez l'ID de la clé d'accès IAM dans la barre de recherche Rechercher sur IAM.
2. Sélectionnez le nom d'utilisateur, puis choisissez l'onglet Informations d’identification de sécurité.
3. Dans Connexion à la console, sélectionnez Gérer l’accès à la console.
   Remarque :Si le mot de passe d'AWS Management Console est défini surDésactivé, vous pouvez ignorer cette étape.
4. Dans Gestion de l'accès à la console, choisissez Désactiver, puis cliquez sur Appliquer.
   Important : Si l'utilisateur dispose de clés d'accès actives, il peut toujours utiliser des appels d'API pour accéder aux services AWS.
5. Mettez à jour les clés d'accès.
6. Pour la clé d'accès IAM compromise, choisissez Actions, puis sélectionnez Désactiver.
   Remarque : Si vous désactivez la clé d'accès IAM compromise alors qu'elle est en cours d'utilisation, les environnements de production peuvent être impactés.

Consulter l'historique des événements sur CloudTrail pour identifier les activités liées à la clé d'accès compromise

Procédez comme suit :

1. Ouvrez la console CloudTrail.
2. Dans le volet de navigation, choisissez Historique des événements.
3. Dans Attributs de recherche, sélectionnez Clé d’accès AWS.
4. Dans le champ Saisir une clé d'accès AWS, saisissez l’ID de la clé d’accès IAM compromise.
5. Développez le nom de l’événement pour l’appel d’API RunInstances.
   **Remarque :**Vous pouvez consulter l'historique des événements des 90 derniers jours.

Vous pouvez également fouiller l'historique des événements CloudTrail pour déterminer comment un groupe de sécurité ou une ressource a été modifié.

Pour en savoir plus, consultez la section Utilisation de l'historique des événements CloudTrail.

Informations connexes

Bonnes pratiques de sécurité dans IAM

Clés d’accès sécurisées

Gestion des politiques IAM

Recommandations relatives aux audits de sécurité AWS