Come posso risolvere i problemi relativi alle attività insolite delle risorse con il mio account AWS?
Desidero determinare gli utenti di AWS Identity and Access Management (IAM) che hanno creato una risorsa e limitare l'accesso alla risorsa.
Breve descrizione
Le attività non autorizzate degli account (ad esempio, i nuovi servizi avviati in modo imprevisto) possono indicare che le tue credenziali AWS sono compromesse. Qualche malintenzionato può utilizzare le tue credenziali per accedere al tuo account ed eseguire attività consentite dalle policy. Per ulteriori informazioni, consulta la sezione What do I do if I notice unauthorized activity in my AWS account?
Risoluzione
Identifica l'utente IAM e la chiave di accesso compromessi, quindi disattivali. Quindi, usa AWS CloudTrail per cercare la cronologia degli eventi API associata all'utente IAM compromesso.
Nell'esempio seguente, un'istanza Amazon Elastic Compute Cloud (Amazon EC2) è stata avviata in modo imprevisto.
Nota: la seguente risoluzione si applica alle credenziali di sicurezza a lungo termine, non alle credenziali di sicurezza temporanee. Per disattivare le credenziali temporanee, consulta la sezione Disabilitazione delle autorizzazioni per le credenziali di sicurezza temporanee.
Identifica l'ID dell'istanza Amazon EC2
Completa i passaggi seguenti:
- Apri la console Amazon EC2, quindi scegli Istanze.
- Scegli l'istanza EC2, quindi scegli la scheda Descrizione.
- Copia l'ID dell'istanza.
Individua l'ID della chiave di accesso IAM e il nome utente utilizzati per avviare l'istanza
Completa i passaggi seguenti:
- Apri la console CloudTrail, quindi scegli Cronologia eventi.
- In Filtro, scegli Nome risorsa.
- Nel campo Inserisci il nome della risorsa, inserisci l'ID dell'istanza, quindi scegli Inserisci.
- Espandi il Nome evento per RunInstances.
- Copia la chiave di accesso AWS, quindi annota il nome utente.
Disattiva l'utente IAM, crea una chiave di accesso IAM di backup e quindi disattiva la chiave di accesso compromessa
Completa i passaggi seguenti:
- Apri la console IAM, quindi inserisci l'ID della chiave di accesso IAM nella barra Ricerca IAM.
- Scegli il nome utente, quindi scegli la scheda Credenziali di sicurezza.
- In Accesso alla console, scegli Gestisci l'accesso alla console.
Nota: se la password della Console di gestione AWS è impostata su Disabilitata, puoi saltare questo passaggio. - In Gestisci l'accesso alla console, scegli Disabilita, quindi scegli Applica.
Importante: gli utenti i cui account sono disattivati non possono accedere alla Console di gestione AWS. Tuttavia, se l'utente dispone di chiavi di accesso attive, può comunque utilizzare le chiamate API per accedere ai servizi AWS. - Aggiorna le chiavi di accesso per l'utente IAM.
- Per la chiave di accesso IAM compromessa, scegli Rendi inattiva.
Controlla la cronologia degli eventi di CloudTrail per verificare l'attività relativa alla chiave di accesso compromessa
Completa i passaggi seguenti:
- Apri la console CloudTrail.
- Nel pannello di navigazione, scegli Cronologia eventi.
- In Filtro, scegli Chiave di accesso AWS.
- Nel campo Inserisci una chiave di accesso AWS, inserisci l'ID della chiave di accesso IAM compromessa.
- Espandi il Nome evento per la chiamata API RunInstances.
Nota: puoi visualizzare la cronologia degli eventi degli ultimi 90 giorni.
Puoi anche effettuare una ricerca nella cronologia degli eventi di CloudTrail per determinare come è stato modificato un gruppo di sicurezza o una risorsa.
Per ulteriori informazioni, consulta la sezione Utilizzo della cronologia degli eventi di CloudTrail.
Informazioni correlate
Best practice per la sicurezza in IAM
Contenuto pertinente
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata 4 mesi fa
- AWS UFFICIALEAggiornata un anno fa
- AWS UFFICIALEAggiornata un anno fa