New user sign up using AWS Builder ID
New user sign up using AWS Builder ID is currently unavailable on re:Post. To sign up, please use the AWS Management Console instead.
Amazon GuardDuty 检测到 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS 调查发现类型的警报。
GuardDuty 调查结果类型 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS 表明外部主机试图使用临时 AWS 凭证来运行 AWS API 操作。临时 AWS 凭证是在您的 AWS 环境中的 Amazon Elastic Compute Cloud (Amazon EC2) 实例上创建的。
找到并分析您的 GuardDuty 调查发现。在调查发现的详细信息窗格中,记下外部 IP 地址和 AWS Identity and Access Management(AWS IAM)用户名。
如果您或您信任的人拥有外部 IP 地址,那么您可以使用抑制规则自动归档调查发现。
要解决此问题,请完成以下步骤:
拒绝 IAM 用户的所有权限。 **注意:**所有 EC2 实例的 IAM 用户权限均被拒绝。
创建有显式 拒绝语句的 IAM 策略,阻止 IAM 用户访问实例: **注意:**将您的角色的 ID your-roleID 和 your-role-session-name 替换为您的角色的会话名称。
{ "Version": "2012-10-17", "Statement": \[ { "Effect": "Deny", "Action": \[ "\*" \], "Resource": \[ "\*" \], "Condition": { "StringEquals": { "aws:userId": "your-roleId:your-role-session-name" } } } \] }
修复您的 AWS 环境中可能发生泄露的 EC2 实例。 **注意:**作为安全最佳实践,请确保在实例上使用实例元数据服务(IMDS)。