Come posso risolvere i problemi relativi ad attività insolite delle risorse nel mio account AWS?

Breve descrizione

Se noti un'attività imprevista delle risorse nell'account, le tue credenziali potrebbero essere compromesse. Un utente non autorizzato con le tue credenziali può eseguire qualsiasi azione consentita dalle policy IAM. Per indicazioni sulla gestione di potenziali accessi non autorizzati, consulta What can I do if I notice unauthorized activity in my AWS account? (Cosa posso fare se noto attività non autorizzate nel mio account AWS?)

Risoluzione

In primo luogo identifica l'utente IAM e la chiave di accesso compromessi e disattivali. Quindi utilizza AWS CloudTrail per cercare la cronologia degli eventi API associata all'utente IAM compromesso.

Nell'esempio seguente, un'istanza Amazon Elastic Compute Cloud (Amazon EC2) è stata avviata in modo imprevisto.

Nota: la seguente risoluzione si applica alle credenziali di sicurezza a lungo termine, non alle credenziali di sicurezza temporanee. Per revocare le autorizzazioni alle credenziali temporanee, consulta Disabilitazione delle autorizzazioni per le credenziali di sicurezza temporanee.

Identifica l'ID dell'istanza Amazon EC2

Completa i seguenti passaggi:

1. Apri la console Amazon EC2, quindi scegli Istanze.
2. Seleziona l'istanza EC2, quindi scegli la scheda Riepilogo dell'istanza .
3. Copia l'ID istanza.

Individua l'ID della chiave di accesso IAM e il nome utente utilizzati per avviare l'istanza

Completa i seguenti passaggi:

1. Apri la console CloudTrail, quindi scegli Cronologia degli eventi.
2. Per Attributi di ricerca, scegli Nome risorsa.
3. Nel campo Inserisci un nome di risorsa, inserisci l'ID dell'istanza, quindi scegli Inserisci.
4. Espandi il Nome evento per RunInstances.
5. Copia la Chiave di accesso AWS, quindi annota il nome utente.

Elimina l'utente IAM, crea una chiave di accesso IAM di backup e disattiva la chiave di accesso compromessa

Completa i seguenti passaggi:

1. Apri la console IAM, quindi inserisci l'ID della chiave di accesso IAM nella barra Ricerca IAM.
2. Seleziona il nome utente, quindi scegli la scheda Credenziali di sicurezza.
3. In Accesso alla console, scegli Gestisci l'accesso alla console.
   Nota: se la password della Console di gestione AWS è impostata su Disabilitata, puoi saltare questo passaggio.
4. In Gestisci l'accesso alla console, scegli Disabilita, quindi scegli Applica.
   Importante: se l'utente dispone di chiavi di accesso attive, può comunque utilizzare le chiamate API per accedere ai servizi AWS.
5. Aggiorna le chiavi di accesso.
6. Per la chiave di accesso IAM compromessa, scegli Operazioni, quindi seleziona Disattiva.
   Nota: se disattivi la chiave di accesso IAM compromessa mentre è in uso, puoi influire sugli ambienti di produzione.

Controlla la cronologia degli eventi di CloudTrail per verificare l'attività relativa alla chiave di accesso compromessa

Completa i seguenti passaggi:

1. Apri la console CloudTrail.
2. Nel pannello di navigazione scegli Cronologia degli eventi.
3. Per Attributi di ricerca, scegli Chiave di accesso AWS.
4. Nel campo Inserisci una chiave di accesso AWS, inserisci l'ID della chiave di accesso IAM compromessa.
5. Espandi il Nome evento per la chiamata API RunInstances.
   Nota: puoi visualizzare la cronologia degli eventi degli ultimi 90 giorni.

Puoi anche effettuare una ricerca nella cronologia degli eventi di CloudTrail per determinare come è stato modificato un gruppo di sicurezza o una risorsa.

Per ulteriori informazioni, consulta la sezione Utilizzo della cronologia degli eventi di CloudTrail.

Informazioni correlate

Best practice per la sicurezza in IAM

Proteggere le chiavi di accesso

Gestire le policy IAM

Linee guida sugli audit di sicurezza AWS