IAM 사용자 또는 역할에 대해 Amazon GuardDuty 결과 유형 UnauthorizedAccess:IAMUser/TorIPCaller 또는 Recon:IAMUser/TorIPCaller 알림을 받은 이유는 무엇입니까?

2분 분량
0

Amazon GuardDuty에서 UnauthorizedAccess:IAMUser/TorIPCaller 또는 Recon:IAMUser/TorIPCaller 결과 유형에 대한 알림을 감지했습니다.

간략한 설명

UnauthorizedAccess:IAMUser/TorIPCallerRecon:IAMUser/TorIPCaller 결과 유형은 Tor 출구 노드 IP 주소에서 AWS로 API 작업을 수행하는 데 AWS Identity and Access Management(IAM) 보안 인증 정보 또는 액세스 키가 사용되었음을 나타냅니다. 예를 들어 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 생성하거나, 액세스 키 ID를 나열하거나, IAM 권한을 수정하려고 할 때 이 오류가 발생할 수 있습니다. 이러한 결과 유형은 IAM 보안 인증 정보 또는 액세스 키가 승인되지 않은 활동과 관련이 있음을 나타낼 수도 있습니다. 자세한 내용은 유형 찾기를 참조하세요.

해결 방법

GuardDuty를 사용하여 IAM 액세스 키를 찾고 AWS CloudTrail을 사용하여 AWS API 활동을 식별합니다.

  1. GuardDuty 탐지 결과 찾기 및 분석에 대한 지침을 따릅니다.
  2. 결과 세부 정보 창에 있는 IAM 액세스 키 ID를 적어둡니다.
  3. 지침을 따라 CloudTrail을 사용하여 IAM 액세스 키 API 활동을 검색합니다.

AWS 보안 인증 정보를 합법적으로 사용한 활동임이 확인된 경우에는 다음과 같이 할 수 있습니다.

AWS 보안 인증 정보를 합법적으로 사용한 활동이 아닌 것으로 확인된 경우에는 보안 모범 사례로서 모든 AWS 보안 인증 정보가 침해되었다고 간주합니다. 다음 지침에 따라 침해된 AWS 보안 인증 정보 문제를 해결합니다.

자세한 내용은 AWS 계정에서 승인되지 않은 활동이 발견되면 어떻게 해야 합니까?를 참조하세요.


관련 정보

What to do if you inadvertently expose an AWS access key

AWS 공식
AWS 공식업데이트됨 일 년 전
댓글 없음

관련 콘텐츠