Amazon EC2 인스턴스에 대한 GuardDuty 검색 유형 알림 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS를 수신한 이유는 무엇인가요?

1분 분량
0

Amazon GuardDuty가 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS 검색 유형에 대한 알림을 감지했습니다.

간략한 설명

GuardDuty 검색 유형 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS는 외부 호스트가 임시 AWS 자격 증명을 사용하여 AWS API 작업을 실행하려고 시도했음을 나타냅니다. 임시 AWS 자격 증명은 AWS 환경의 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에서 생성되었습니다.

해결 방법

GuardDuty 조사 결과를 찾고 분석하세요. 조사 결과의 세부 정보 창에서 외부 IP 주소와 AWS Identity and Access Management(AWS IAM) 사용자 이름을 기록해 둡니다.

외부 IP 주소는 안전합니다

본인 또는 신뢰할 수 있는 누군가가 외부 IP 주소를 소유하고 있는 경우 금지 규칙을 사용하여 조사 결과를 자동으로 보관할 수 있습니다.

외부 IP 주소가 악의적입니다

이 문제를 해결하려면, 다음 단계를 완료하세요.

  1. IAM 사용자에 대한 모든 권한을 거부합니다.
    참고: 모든 EC2 인스턴스에서 IAM 사용자의 권한이 거부되었습니다.

  2. IAM 사용자의 인스턴스 액세스를 차단하는 명시적 거부를 사용하여 IAM 정책을 생성합니다.
    참고: 사용자 역할 ID(your-roleID)와 your-role-session-name을 해당 역할의 세션 이름으로 바꿉니다.

    
    {  "Version": "2012-10-17",  
      "Statement": \[  
        {  
          "Effect": "Deny",  
          "Action": \[  
            "\*"  
          \],  
          "Resource": \[  
            "\*"  
          \],  
          "Condition": {  
            "StringEquals": {  
              "aws:userId": "your-roleId:your-role-session-name"  
            }  
          }  
        }  
      \]  
    }
  3. AWS 환경에서 잠재적으로 손상된 EC2 인스턴스를 개선하세요.
    참고: 보안 모범 사례로 인스턴스에서 인스턴스 메타데이터 서비스(IMDS)를 사용해야 합니다.

AWS 공식
AWS 공식업데이트됨 10달 전