AWS アカウントでの異常なリソースアクティビティをトラブルシューティングする方法を教えてください。

簡単な説明

アカウントで予期しないリソースアクティビティが見つかった場合、認証情報が漏洩している可能性があります。不正なユーザーが認証情報を取得した場合、IAM ポリシーで許可されているアクションをすべて実行できます。潜在的な不正アクセスの対処方法に関するガイダンスについては、「使用している AWS アカウントで不正なアクティビティが見つかった場合の対応策を教えてください」を参照してください。

解決策

まず、侵害された IAM ユーザーとアクセスキーを特定し、無効にします。次に、AWS CloudTrail を使用して、侵害された IAM ユーザーに関連付けられている API イベント履歴を検索します。

次の例では、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスが予期せず起動しました。

注: 次の解決策は一時的なセキュリティ認証情報ではなく、長期的なセキュリティ認証情報に適用されます。一時的な認証情報からアクセス許可を取り消す方法については、「一時的なセキュリティ認証情報のアクセス許可を無効にする」を参照してください。

Amazon EC2 インスタンス ID を特定する

次の手順を実行します。

1. Amazon EC2 コンソールを開き、[インスタンス] を選択します。
2. 該当する EC2 インスタンスを選択し、[インスタンスの概要] タブを選択します。
3. [インスタンス ID] をコピーします。

インスタンスの起動に使用された IAM アクセスキー ID とユーザー名を特定する

次の手順を実行します。

1. CloudTrail コンソールを開き、**[イベント履歴]**を選択します。
2. [ルックアップ属性] で [リソース名] を選択します。
3. [リソース名を入力] フィールドにインスタンス ID を入力し、Enter を押します。
4. [RunInstances] の [イベント名] を展開します。
5. [AWS アクセスキー] をコピーし、[ユーザー名] を書き留めます。

その IAM ユーザーを削除し、バックアップ IAM アクセスキーを作成してから、侵害されたアクセスキーを無効にします。

次の手順を実行します。

1. IAM コンソールを開き、[IAM の検索] バーに IAM アクセスキー ID を入力します。
2. ユーザー名を選択し、[セキュリティ認証情報] タブを選択します。
3. [コンソールサインイン] で [コンソールアクセスの管理] を選択します。
   注: AWS マネジメントコンソールのパスワードが [無効] に設定されている場合は、このステップをスキップできます。
4. [コンソールアクセスを管理] で [無効]、[適用] の順に選択します。
   重要: ユーザーがアクティブなアクセスキーを持っている場合は、引き続き API コールを使用して AWS サービスにアクセスできます。
5. アクセスキーを更新します。
6. 侵害された IAM アクセスキーに対して [アクション] を選択し、[無効化] を選択します。
   注: 侵害された IAM アクセスキーが使用されているときに非アクティブ化した場合、本番環境に影響する可能性があります。

CloudTrail イベント履歴に侵害されたアクセスキーのアクティビティがないか確認する

次の手順を実行します。

1. CloudTrail コンソールを開きます。
2. ナビゲーションペインで [イベント履歴] を選択します。
3. [ルックアップ属性] で、[AWS アクセスキー] を選択します。
4. [AWS アクセスキーを入力] フィールドに、侵害された IAM アクセスキー ID を入力します。
5. RunInstances API コールの [イベント名] を展開します。
   注: 過去 90 日間のイベント履歴を表示できます。

CloudTrail イベント履歴を検索して、セキュリティグループまたはリソースがどのように変更されたかを確認することもできます。

詳細については、「Working with CloudTrail event history」を参照してください。

関連情報

IAM でのセキュリティのベストプラクティス

アクセスキーを保護する

IAM ポリシーを管理する

AWS セキュリティ監査のガイドライン