- 新しい順
- 投票が多い順
- コメントが多い順
Access Deniedが検出されているイベントのユーザー名に心当たりがありますか?一概にAccess Dinedが不正アクセスとは言い切れないので確認してみてください。
例えば、定期的にAWSサービスからIAMロールを使用して操作を行う際に、権限不足でAccess Deniedが発生して再試行がループしている場合も考えられます。
まずは、CloudTrail イベントの表示から操作履歴を追ってみてください。 https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html#displaying-cloudtrail-events
以後、コメントへの回答追記
パブリックアクセスがブロックされている設定のオブジェクトをURLから開こうとしたことでAccess Deniedが出ているものと思います。
こちら処理は仕様なので、定期的にご自身以外からGetObjectがないのであれば問題ないかともいます。
恐らく証跡を有効にしたことが大量のログの原因だとは思うのですが、サインアウトしている時間にも数分おきにログが生成されており、かつ、有効になっていないものも含め全てのリージョンにダイジェストが生成されていたという状況になります。 こちらに関してもCloudTrailの整合性検証を有効にしている場合の仕様になります。
以下、ブログを確認するとCloudTrailの整合性検証を利用した場合、無料枠を超えてしまうことがあるみたいです。 https://qiita.com/fkooo/items/df3b1b47a61f7826ffd4
もしかすると、AccessDined云々よりもCloudTrailの整合性検証を有効にしているから、メールが届いているのではないでしょうか。 ご参考になりましたら、回答の承認いただけると嬉しいです。
ありがとうございます。 分からなくて慌ててましたが落ち着いて確認してみたところ、AdministratorAccessを付与して作成したユーザーより、全リージョンで同じ時間に2回、lamdaからの履歴がありました。 lamdaの操作は行っておりません。 その後、サインアウトしている時間にもログ保存用のバケットの、CloudTrailフォルダのus-east-1とap-northeast-1にサインアウトしている時間にも生成されていまして また、CloudTrail-Digest以下に有効になっていないものを含め全てのリージョンに生成されておりました。 恐らくlamdaの履歴(ListFunctions20150331)が原因だとは思うのですが対処法を教えていただければ幸いです。 他に必要な情報があれば提供させていただきたいと思います。 長文すみませんがよろしくお願いいたします。
念のため、この部分確認させていただきたいのですが、イベントレコード内のerrorMessageまたはerrorCode内に「Access Denied」が記載されているのでしょうか?
すみません、最近学習し始めたばかりで私の理解が追い付いていなかったので恐らく勘違いで、パブリックアクセスがブロックされている設定のオブジェクトをURLから開こうとしたことでAccess Deniedが出ているものと思います。 ダウンロードしたところログが見れました。 恐らく証跡を有効にしたことが大量のログの原因だとは思うのですが、サインアウトしている時間にも数分おきにログが生成されており、かつ、有効になっていないものも含め全てのリージョンにダイジェストが生成されていたという状況になります。 理解が浅いせいで二転三転してしまい申し訳ありませんがご教授いただけると幸いです。 いくつか見たところほぼ同じでしたので一応ログも分割で載せておきます(ID等は一応消してます)