如果发现我的 AWS 账户中存在未经授权的活动该怎么办？

解决方法

如果您怀疑自己的 AWS 账户中存在未经授权的活动，请首先完成以下步骤以验证未经授权的活动。然后，修复您的 AWS 账户中未经授权的活动。最后，使用多重身份验证 (MFA) 保护您的 AWS 账户根用户。

注意： 如果您无法登录账户，请参阅如果我无法登录自己的 AWS 账户，该怎么办？

检查您的账户中是否存在未经授权的活动

要识别未经授权的操作，请为您的 AWS 账户生成凭证报告，以便审计账户中每个 AWS Identity and Access Management (IAM) 身份的密码或访问密钥。然后，查看 IAM 的上次访问信息，了解最近使用的用户、用户组、角色和策略。

要识别未经授权的账户访问或更改，您可以监控特定 IAM 用户、角色和 AWS 访问密钥的账户活动。有关更多信息，请参阅如何对我的 AWS 账户中的异常资源活动进行故障排除？

要识别未经授权的资源或 IAM 用户的创建情况，包括意外的服务和账户费用，请执行以下操作：

• 为您的账户创建成本和使用情况报告。
• 开始使用 Trusted Advisor 建议
• 查看您的月度账单最佳实践。
  注意： 您还可以使用 AWS Cost Explorer 成本管理服务来查看与您的账户相关的费用和使用情况。

如果您确认自己的账户中没有未经授权的活动，则无需采取进一步的操作。

如果您确认存在未经授权的活动，请继续进行下一部分以修复您的 AWS 账户中未经授权的活动。

修复账户中未经授权的活动

如果您收到 AWS 关于账户中存在异常活动的通知，请先按照以下说明完成操作。然后，在 AWS Support 中心回复通知，确认您已完成的操作。

更新已泄露的账户访问密钥

查看 AWS Support 发送的异常活动通知，了解是否有泄露的账户访问密钥。如果您看到有任何密钥列出，请完成以下步骤：

1. 更新 AWS 访问密钥。
2. 停用原始访问密钥。
   重要事项： 在此步骤中，请勿删除原始访问密钥。
3. 确认您的应用程序没有问题。如果出现问题，请暂时重新激活原始访问密钥以修复问题。
4. 如果在您停用原始访问密钥后，您的应用程序可以完全正常运行，则删除原始访问密钥。
5. 删除您不再需要或并非由您创建的 AWS 账户根用户访问密钥。

有关更多信息，请参阅保护访问密钥和管理 IAM 用户的访问密钥。

更新可能未经授权的 IAM 用户凭证

完成以下步骤：

1. 打开 IAM 控制台。
2. 在导航窗格中，选择 Users（用户）。
3. 选择列表中第一个 IAM 用户的名称。
4. 在 IAM 用户的 Summary（摘要）页面上，在 Permissions（权限）选项卡的 Permissions policies（权限策略）部分下，检查 AWSCompromisedKeyQuarantineV2 策略是否已附加到该用户。
5. 为该用户更新访问密钥。
6. 对账户中的每个 IAM 用户重复步骤 2-5。
7. 停用并非由您创建的 IAM 用户。
8. 为您创建的 IAM 用户更改密码。

如果您使用临时安全凭证，请参阅撤销 IAM 角色临时安全凭证。

检查您的 AWS CloudTrail 事件历史记录中是否存在未经授权的活动

完成以下步骤：

1. 打开 AWS CloudTrail 控制台。
2. 在导航窗格中，选择 Event history（事件历史记录）。
3. 审查是否存在任何未经批准的活动，例如创建访问密钥、策略、角色或临时安全凭证。
   重要事项： 请务必查看事件时间，确认资源是否为近期创建，以及是否与不定期活动相匹配。
4. 删除所有未经批准的访问密钥、策略、角色或临时安全凭证。

有关详细信息，请参阅使用 CloudTrail 事件历史记录。

删除无法识别或未经授权的资源

打开 AWS 管理控制台，确认您账户中的所有资源都是您启动的资源。请务必检查并比较上个月与当前月的使用情况。确保检查所有 AWS 区域中的所有资源，即使在未启动资源的区域也是如此。

然后，若要删除无法识别或未经授权的资源，请参阅如何移除我的 AWS 账户中不再需要的活动资源？

重要事项： 如果必须保留资源可用以待调查，那么最佳做法是备份这些资源。例如，如果您出于监管、合规性或法律原因必须保留 Amazon Elastic Cloud Compute (Amazon EC2) 实例，请先创建 Amazon EBS 快照，然后再终止该实例。

恢复备份的资源

如果您将服务配置为保留备份，请将这些备份从上一次的已知未受损状态中恢复。

要恢复特定类型的 AWS 资源，请执行以下操作：

• 恢复 Amazon EBS 卷或 EC2 实例
• 为 Amazon Relational Database Service (Amazon RDS) 实例恢复到数据库快照
• 为 Amazon Simple Storage Service (Amazon S3) 对象版本恢复以前的版本

验证您的账户信息

验证您的账户中的以下所有信息是否正确。

如果您需要更新账户信息，请执行以下操作：

• 更新您的 AWS 账户名称
• 更新根用户电子邮件地址
• 更新 AWS 账户的主要联系人
• 更新 AWS 账户的备用联系人

注意： 有关账户安全最佳实践的更多信息，请参阅保护我的 AWS 账户及其资源的最佳实践有哪些？

使用 MFA 保护您的账户根用户

最佳做法是启用多重身份验证 (MFA)，因为 AWS 账户根用户拥有访问 AWS 服务和资源的特权。MFA 为您的登录凭证提供了第二个身份验证因素，降低了密码泄露带来的风险。您可以为每位具有 AWS 管理控制台访问权限的 IAM 用户激活最多八个 MFA 设备。

注意： 为根用户激活 MFA 只会影响根用户凭证。账户中的 IAM 用户具有不同的身份并拥有自己的凭证，而每个身份又都有自己的 MFA 配置。

要激活 MFA，请参阅使用 MFA 保护您的根用户登录安全和 IAM 中的 AWS 多重身份验证。

相关信息

AWS 安全事件响应技术指南

AWS 安全审计指南