为什么我的 Amazon EC2 实例会收到 GuardDuty 调查发现类型警报 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS?

1 分钟阅读
0

Amazon GuardDuty 检测到 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS 调查发现类型的警报。

简短描述

GuardDuty 调查结果类型 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS 表明外部主机试图使用临时 AWS 凭证来运行 AWS API 操作。临时 AWS 凭证是在您的 AWS 环境中的 Amazon Elastic Compute Cloud (Amazon EC2) 实例上创建的。

解决方法

找到并分析您的 GuardDuty 调查发现。在调查发现的详细信息窗格中,记下外部 IP 地址和 AWS Identity and Access Management(AWS IAM)用户名。

外部 IP 地址是安全的

如果您或您信任的人拥有外部 IP 地址,那么您可以使用抑制规则自动归档调查发现。

外部 IP 地址是恶意的

要解决此问题,请完成以下步骤:

  1. 拒绝 IAM 用户的所有权限
    **注意:**所有 EC2 实例的 IAM 用户权限均被拒绝。

  2. 创建有显式 拒绝语句的 IAM 策略,阻止 IAM 用户访问实例:
    **注意:**将您的角色的 ID your-roleIDyour-role-session-name 替换为您的角色的会话名称。

    
    {  "Version": "2012-10-17",  
      "Statement": \[  
        {  
          "Effect": "Deny",  
          "Action": \[  
            "\*"  
          \],  
          "Resource": \[  
            "\*"  
          \],  
          "Condition": {  
            "StringEquals": {  
              "aws:userId": "your-roleId:your-role-session-name"  
            }  
          }  
        }  
      \]  
    }
  3. 修复您的 AWS 环境中可能发生泄露的 EC2 实例
    **注意:**作为安全最佳实践,请确保在实例上使用实例元数据服务(IMDS)

AWS 官方
AWS 官方已更新 10 个月前