O que posso fazer se eu notar uma atividade não autorizada na minha conta da AWS?
Notei recursos da AWS que não reconheço no Console de gerenciamento da AWS ou recebi uma notificação de que minha conta da AWS pode estar comprometida.
Resolução
Se você suspeitar que há atividade não autorizada em sua conta da AWS, primeiro conclua as etapas a seguir para verificar a atividade não autorizada. Em seguida, resolva a atividade não autorizada em sua conta da AWS. Por fim, proteja o usuário-raiz da sua conta da AWS com a autenticação multifator (MFA).
Observação: se não for possível fazer login na sua conta, consulte O que faço se eu não conseguir entrar na minha conta da AWS?
Verifique se houve atividade não autorizada em sua conta
Para identificar ações não autorizadas, gere relatórios de credenciais para sua conta da AWS para auditar as senhas ou chaves de acesso de cada identidade do AWS Identity and Access Management (AWS IAM) em sua conta. Em seguida, veja as últimas informações acessadas no IAM para os usuários, grupos de usuários, perfis e políticas que foram usadas recentemente.
Para identificar acessos não autorizados ou alterações em sua conta, é possível monitorar a atividade da conta de usuários, perfis e chaves de acesso da AWS específicos do IAM. Para obter mais informações, consulte Como soluciono problemas de atividades incomuns de recursos em minha conta da AWS?
Para identificar a criação de recursos ou usuários do IAM não autorizados, incluindo serviços inesperados e cobranças de conta, realize as seguintes ações:
- Crie um relatório de custo e uso da sua conta.
- Comece a usar as recomendações do Trusted Advisor
- Consulte suas práticas recomendadas de cobrança mensal.
Observação: Também é possível usar o Explorador de Custos da AWS para consultar as cobranças e o uso associados à sua conta.
Se você verificou que não há atividade não autorizada em sua conta, nenhuma outra ação será necessária.
Se você verificou que há atividade não autorizada, vá para a próxima seção para resolver atividades não autorizadas em sua conta da AWS.
Resolva atividades não autorizadas em sua conta
Se você recebeu uma notificação da AWS sobre atividades irregulares em sua conta, primeiro realize as instruções a seguir. Em seguida, responda à notificação no AWS Support Center com uma confirmação das ações que você concluiu.
Atualize as chaves de acesso expostas da conta
Verifique a notificação de atividade irregular enviada pelo AWS Support para ver as chaves de acesso à conta que estão expostas. Se você vir alguma chave listada, conclua as seguintes etapas:
- Atualize a chave de acesso da AWS.
- Desative a chave de acesso original.
Importante: não exclua a chave de acesso original durante essa etapa. - Verifique se não há problemas com sua aplicação. Se houver problemas, reative temporariamente a chave de acesso original para resolver o problema.
- Se sua aplicação estiver totalmente funcional após a desativação da chave de acesso original, exclua a chave de acesso original.
- Exclua as chaves de acesso do usuário-raiz da conta da AWS que você não precisa mais ou não criou.
Para obter mais informações, consulte Proteger chaves de acesso e Gerenciar chaves de acesso para usuários do IAM.
Para atualizar credenciais de usuário do IAM possivelmente não autorizadas
Conclua as etapas a seguir:
- Abra o console do IAM.
- No painel de navegação, clique em Usuários.
- Selecione o nome do primeiro usuário do IAM na lista.
- Na página Resumo do usuário do IAM, na guia Permissões, na seção Políticas de permissões, verifique se a política AWSCompromisedKeyQuarantineV2 está anexada ao usuário.
- Atualize as chaves de acesso para o usuário do IAM.
- Repita as etapas 2 a 5 para cada usuário do IAM em sua conta.
- Desative os usuários do IAM que você não criou.
- Altere as senhas dos usuários do IAM que você criou.
Se você usa credenciais de segurança temporárias, consulte Revogar as credenciais de segurança temporárias do perfil do IAM.
Verifique seu histórico de eventos do AWS CloudTrail em busca de atividades não autorizadas
Conclua as etapas a seguir:
- Abra o console do AWS CloudTrail.
- No painel de navegação, selecione Histórico de eventos.
- Consulte atividades não autorizadas, como a criação de chaves de acesso, políticas, perfis ou credenciais de segurança temporárias.
Importante: verifique a Hora do evento para confirmar se os recursos foram criados recentemente e correspondem à atividade irregular. - Exclua todas as chaves de acesso, políticas, perfis ou credenciais de segurança temporárias não autorizados.
Para obter mais informações, consulte Trabalhando com o histórico de eventos do CloudTrail.
Exclua recursos não reconhecidos ou não autorizados
Abra o Console de gerenciamento da AWS e verifique se todos os recursos em sua conta são recursos que você executou. Certifique-se de verificar e comparar o uso do mês anterior com o atual. Certifique-se de verificar todos os recursos em todas as regiões da AWS, mesmo nas regiões em que você não iniciou recursos.
Em seguida, para excluir recursos não reconhecidos ou não autorizados, consulte Como faço para remover recursos ativos que não são mais necessários em minha conta da AWS?
Importante: se você precisar manter os recursos disponíveis para investigação, é uma prática recomendada fazer backup desses recursos. Por exemplo, se você precisar reter uma instância do Amazon Elastic Cloud Compute (Amazon EC2) por motivos regulatórios, de conformidade ou legais, crie um snapshot do Amazon EBS antes de encerrar a instância.
Recupere recursos de backup
Se você configurou serviços para manter backups, recupere esses backups do último estado não comprometido conhecido.
Para restaurar tipos específicos de recursos da AWS, realize as seguintes ações:
- Restaure um volume do Amazon EBS ou uma instância do EC2
- Restaure para um snapshot de banco de dados em instâncias do Amazon Relational Database Service (Amazon RDS)
- Restaure versões anteriores para versões de objeto do Amazon Simple Storage Service (Amazon S3)
Verifique as informações da sua conta
Verifique se todas as informações a seguir estão corretas em sua conta.
Se você precisar atualizar as informações da sua conta, realize as seguintes ações:
- Atualize o nome da sua conta da AWS
- Atualize o endereço de e-mail do usuário-raiz
- Atualize o contato principal da sua conta da AWS
- Atualize os contatos alternativos em sua conta da AWS
Observação: para obter mais informações sobre práticas recomendadas de segurança de contas, consulte Quais são algumas das práticas recomendadas para proteger minha conta da AWS e seus recursos?
Proteja o usuário-raiz da sua conta com MFA
É uma prática recomendada ativar a autenticação multifator (MFA) porque o usuário-raiz da conta da AWS tem acesso privilegiado aos serviços e recursos da AWS. A MFA fornece um segundo fator de autenticação para suas credenciais de login e reduz o risco de uma senha comprometida. É possível ativar até oito dispositivos de MFA para cada usuário do IAM com acesso ao Console de gerenciamento da AWS.
Observação: a ativação da MFA para o usuário-raiz afeta somente as credenciais do usuário-raiz. Os usuários do IAM na conta são identidades distintas com suas próprias credenciais, e cada identidade tem sua própria configuração de MFA.
Para ativar a MFA, consulte Proteja o acesso do seu usuário-raiz com autenticação multifator (MFA) e Código da autenticação multifator no IAM da AWS.
Informações relacionadas
- Tópicos
- Management & Governance
- Idioma
- Português
Conteúdo relevante
- feita há 8 meses
- feita há um ano
- feita há 8 meses
