Whether you're taking your first steps with Kubernetes or you're an experienced practitioner looking to sharpen your skills, our Amazon EKS workshop series delivers practical, real-world experience that moves you forward. Learn directly from AWS solutions architects and EKS specialists through hands-on sessions designed to build your confidence with Kubernetes. Register now and start building with Amazon EKS!
自分の IAM ユーザーまたはロールに対して、Amazon GuardDuty の結果タイプ「UnauthorizedAccess:IAMUser/TorIPCaller」または「Recon:IAMUser/TorIPCaller」のアラートが届くのはなぜですか?
Amazon GuardDuty が UnauthorizedAccess:IAMUser/TorIPCaller または Recon:IAMUser/TorIPCaller 結果タイプのアラートを検出しました。
簡単な説明
UnauthorizedAccess:IAMUser/TorIPCaller および Recon:IAMUser/TorIPCaller 結果タイプは、AWS Identity and Access Management (IAM) の ID 認証情報またはアクセスキーを使用して Tor 出口ノードの IP アドレスから AWS への API オペレーションが実行されたことを示します。例えば、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの作成、アクセスキー ID のリスト、または IAM アクセス許可の変更を試みると、このエラーが発生することがあります。これらの結果タイプは、IAM ID 認証情報またはアクセスキーが不正なアクティビティと関連付けられていることを示す場合もあります。詳細については、[タイプの検索] を参照してください。
解決方法
GuardDuty を使用して IAM アクセスキーを見つけ、AWS CloudTrail を使用して AWS API アクティビティを識別します。
- GuardDuty 結果の検索と分析の指示に従います。
- 結果の詳細ペインで、IAM アクセスキー ID を書き留めます。
- CloudTrail を使用して IAM アクセスキーの API アクティビティを検索する方法の手順に従います。
アクティビティが AWS 認証情報の正当な使用であることが確認できたら、次のことが可能になります。
- 結果タイプは無視します。
- 結果タイプをアーカイブします。
- 新しい検索タイプを自動的にアーカイブする抑制ルールを作成します。
アクティビティが AWS 認証情報の正当な使用ではないことを確認した場合は、すべての AWS 認証情報が侵害されていると見なすのがセキュリティのベストプラクティスです。以下の手順に従って、侵害された AWS 認証情報を修正します。
詳細については、「AWS アカウントで不正なアクティビティに気付いた場合はどうすればよいですか?」を参照してください。
関連情報
- 言語
- 日本語
