Amazon EC2 인스턴스에 대해 GuardDuty 검색 유형 알림 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS가 수신된 이유는 무엇입니까?

1분 분량
0

Amazon GuardDuty에서 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS 검색 유형에 대한 알림을 감지했습니다.

간략한 설명

GuardDuty 검색 유형 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS인스턴스 시작 역할을 통해 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 대해 단독으로 생성된 AWS 자격 증명이 외부 IP 주소에서 사용되고 있음을 나타냅니다.

해결 방법

지침에 따라 GuardDuty 검색을 보고 분석합니다. 그런 다음, 검색 세부 정보 창에서 외부 IP 주소와 IAM 사용자 이름을 기록해 둡니다.

외부 IP 주소가 안전합니다.

외부 IP 주소를 본인 또는 신뢰할 수 있는 사람이 소유한 경우, 억제 규칙을 사용하여 검색을 자동 보관할 수 있습니다.

외부 IP 주소가 악의적입니다.

  1. 외부 IP 주소가 악의적인 경우, IAM 사용자에 대한 모든 권한을 거부할 수 있습니다.

참고: 모든 EC2 인스턴스에 대해 IAM 사용자에 대한 권한이 거부됩니다.

  1. 명시적 거부로 IAM 정책을 생성하여 다음과 유사하게 IAM 사용자에 대해 EC2 인스턴스에 대한 액세스를 차단합니다.

참고: your-roleIDyour-role-session-name을 보안 주체 ID로 바꾸십시오.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:userId": "your-roleId:your-role-session-name"
        }
      }
    }
  ]
}
  1. 지침에 따라 침해된 EC2 인스턴스 복구를 하십시오.

참고: 보안 모범 사례에 따라 기존 인스턴스에서 IMDSv2를 사용해야 합니다.


AWS 공식
AWS 공식업데이트됨 2년 전