Amazon GuardDuty에서 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS 검색 유형에 대한 알림을 감지했습니다.
GuardDuty 검색 유형 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS는 인스턴스 시작 역할을 통해 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 대해 단독으로 생성된 AWS 자격 증명이 외부 IP 주소에서 사용되고 있음을 나타냅니다.
지침에 따라 GuardDuty 검색을 보고 분석합니다. 그런 다음, 검색 세부 정보 창에서 외부 IP 주소와 IAM 사용자 이름을 기록해 둡니다.
외부 IP 주소를 본인 또는 신뢰할 수 있는 사람이 소유한 경우, 억제 규칙을 사용하여 검색을 자동 보관할 수 있습니다.
참고: 모든 EC2 인스턴스에 대해 IAM 사용자에 대한 권한이 거부됩니다.
참고: your-roleID 및 your-role-session-name을 보안 주체 ID로 바꾸십시오.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "*" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:userId": "your-roleId:your-role-session-name" } } } ] }
참고: 보안 모범 사례에 따라 기존 인스턴스에서 IMDSv2를 사용해야 합니다.