Por que recebi o alerta do tipo de descoberta do GuardDuty UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS para minha instância do Amazon EC2?

2 minuto de leitura
0

O Amazon GuardDuty detectou alertas para o tipo de descoberta UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS.

Breve descrição

O tipo de descoberta do GuardDuty UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS indica que um host externo tentou usar credenciais temporárias da AWS para executar operações de API da AWS. As credenciais temporárias da AWS foram criadas em uma instância do Amazon Elastic Compute Cloud (Amazon EC2) em seu ambiente da AWS.

Resolução

Localize e analise sua descoberta no GuardDuty. No painel Detalhes da descoberta, anote o endereço IP externo e o nome de usuário do AWS Identity and Access Management (IAM).

O endereço IP externo é seguro

Se você ou alguém em quem você confia possuir o endereço IP externo, você poderá arquivar automaticamente a descoberta com uma regra de supressão.

O endereço IP externo é malicioso

Para solucionar esse problema, realize as etapas a seguir:

  1. Negue todas as permissões ao usuário do IAM.
    **Observação:**As permissões para o usuário do IAM são negadas para todas as instâncias do EC2.

  2. Crie uma política do IAM com uma negação explícita que bloqueie o acesso à instância para o usuário do IAM:
    **Observação:**Substitua your-roleID, o ID da sua função e o your-role-session-name pelo nome da sessão do seu papel.

    
    {  "Version": "2012-10-17",  
      "Statement": \[  
        {  
          "Effect": "Deny",  
          "Action": \[  
            "\*"  
          \],  
          "Resource": \[  
            "\*"  
          \],  
          "Condition": {  
            "StringEquals": {  
              "aws:userId": "your-roleId:your-role-session-name"  
            }  
          }  
        }  
      \]  
    }
  3. Corrija uma instância EC2 potencialmente comprometida em seu ambiente da AWS.
    **Observação:**Como boa prática de segurança, certifique-se de usar o serviço de metadados de instância (IMDS) em suas instâncias.

AWS OFICIAL
AWS OFICIALAtualizada há 9 meses