如果我发现我的 AWS 账户中存在未经授权的活动该怎么办？

解决方法

如果您怀疑自己的 AWS 账户中存在未经授权的活动，请首先完成以下步骤以验证未经授权的活动。然后，修复您的 AWS 账户中未经授权的活动。最后，使用多重身份验证（MFA）保护您的 AWS 账户根用户。

**注意：**如果您无法登录账户，请参阅登录或访问我的 AWS 账户时遇到问题该怎么办？

验证您的账户中是否存在未经授权的活动

确认您账户中的 IAM 身份是否执行了未经授权的操作

1. 确定每个 AWS Identity and Access Management（IAM）用户密码或访问密钥最近一次使用的时间。有关说明，请参阅为您的 AWS 账户生成凭证报告。
2. 确定最近使用了哪些 IAM 用户、用户组、角色和策略。有关说明，请参阅查看 IAM 的上次访问信息。

确认是否存在未经授权而访问或更改您账户的行为

有关说明，请参阅如何监控特定 IAM 用户、角色和 AWS 访问密钥的账户活动？另请参阅如何排查我 AWS 账户中的异常资源活动？

确认是否存在创建未经授权的资源或 IAM 用户的行为

要识别未经授权的资源使用情况，包括异常的服务和账户费用，请查看以下内容：

• 您的账户的成本和使用情况报告
• AWS Trusted Advisor 检查参考
• AWS 管理控制台上的账单和使用情况页面

**注意：**您还可以使用 AWS Cost Explorer 成本管理服务来查看与您的账户相关的费用和使用情况。有关更多信息，请参阅如何使用 AWS Cost Explorer 成本管理服务分析我的支出和使用情况？

如果您确认自己的账户中没有未经授权的活动，则无需采取进一步的行动。

如果您确认存在未经授权的活动，请转到下一节以修复您的 AWS 账户中未经授权的活动。

修复账户中未经授权的活动

如果您收到 AWS 关于账户中存在异常活动的通知，请先按照以下说明完成操作。然后，在 AWS Support 中心回复通知，确认您已完成的操作。

轮换和删除已泄露的账户访问密钥

查看 AWS Support 发送的异常活动通知，了解是否有泄露的账户访问密钥。如果您看到有任何密钥列出，请完成以下步骤：

1. 创建新的 AWS 访问密钥。
2. 修改您的应用程序以使用新的访问密钥。
3. 停用原始访问密钥。
   **重要事项：**暂时不要删除原始访问密钥。仅停用原始访问密钥。
4. 确认您的应用程序没有问题。如果出现问题，请暂时重新激活原始访问密钥以修复问题。
5. 如果在您停用原始访问密钥后，您的应用程序可以完全正常运行，则删除原始访问密钥。
6. 删除您不再需要或并非由您创建的 AWS 账户根用户访问密钥。

有关更多信息，请参阅保护访问密钥和管理 IAM 用户的访问密钥。

轮换可能未经授权的 IAM 用户证书

1. 打开 IAM 控制台，然后从导航窗格中选择用户。
2. 选择列表中第一个 IAM 用户的名称。此时将打开此 IAM 用户的摘要页面。
3. 在权限选项卡的权限策略部分下，查找策略 AWSCompromisedKeyQuarantineV2。如果用户附加了此策略，则轮换该用户的访问密钥。
4. 对账户中的每个 IAM 用户重复步骤 2 和 3。
5. 删除并非由您创建的 IAM 用户。
6. 为由您创建并想要保留的所有 IAM 用户更改密码。

如果您使用临时安全凭证，请参阅撤销 IAM 角色临时安全凭证。

查看您的 AWS CloudTrail 事件历史记录中是否存在未经批准的活动

1. 打开 AWS CloudTrail 控制台，然后在导航窗格中选择事件历史记录。
2. 审查是否存在任何未经批准的活动，例如创建访问密钥、策略、角色或临时安全凭证。
   重要事项：请务必查看活动时间，以确认资源是否为近期创建，是否与不定期活动相匹配。
3. 删除您确认未经批准的访问密钥、策略、角色或临时安全凭证。

有关详细信息，请参阅使用 CloudTrail 事件历史记录。

删除无法识别或未经授权的资源

1. 打开 AWS 管理控制台。
2. 确认您账户中的所有资源都是您启动的资源。请务必检查并比较上个月与当前月的使用情况。确保检查所有 AWS 区域（包括您从未启动资源的区域）中的所有资源。另外，请特别注意以下资源类型：
   • Amazon EC2 实例、竞价型实例和亚马逊机器映像（AMI），包括处于停止状态的实例
   • AWS Auto Scaling 组
   • Amazon Elastic Block Store (Amazon EBS) 卷和快照
   • Amazon Elastic Container Service (Amazon ECS) 集群
   • Amazon Elastic Container Registry (Amazon ECR) 存储库
   • AWS Lambda 函数和层
   • Amazon Lightsail 实例
   • Amazon Route 53 域
   • Amazon SageMaker Notebook 实例
3. 删除无法识别或未经授权的资源。有关说明，请参阅如何终止我的 AWS 账户中不再需要的活跃资源？

**重要事项：**如果必须保留资源可用以待调查，请考虑备份这些资源。例如，如果您出于监管、合规性或法律原因必须保留 EC2 实例，则请先创建 Amazon EBS 快照，然后再终止该实例。

恢复备份的资源

如果您将服务配置为保留备份，则请将这些备份从上一次的已知未受损状态中恢复。

要恢复特定类型的 AWS 资源，请参阅以下内容：

• Restoring an Amazon EBS volume or an EC2 instance
• 还原到数据库实例中的 Amazon Relational Database Service（Amazon RDS）数据库实例部分
• 还原早期版本中的 Amazon Simple Storage Service（Amazon S3）对象版本部分

验证您的账户信息

验证您的账户中的以下所有信息是否正确：

• 账户名和电子邮件地址
• 主要联系人
• 备用联系人

**注意：**有关账户安全最佳实践的更多信息，请参阅保护我的 AWS 账户及其资源的最佳实践有哪些？

使用 MFA 保护您的账户根用户

由于 AWS 账户根用户拥有访问 AWS 服务和资源的特权，因此最佳实践是激活多重身份验证（MFA）。MFA 为您的登录凭证提供了第二个身份验证因素，降低了密码泄露带来的风险。您可以为每位具有 AWS 管理控制台访问权限的 IAM 用户激活最多八个 MFA 设备。

**注意：**为根用户激活 MFA 只会影响根用户凭证。账户中的 IAM 用户具有不同的身份并拥有自己的凭证，而每个身份又都有自己的 MFA 配置。

要激活 MFA，请参阅使用多重身份验证（MFA）保护您的根用户登录安全和 IAM 中的 AWS 多重身份验证。

相关信息

AWS 安全事件响应指南

AWS 安全审核指南