Amazon GuardDuty 检测到 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS 调查结果类型的提醒。
GuardDuty 调查结果类型 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS 表示通过实例启动角色专为 Amazon Elastic Compute Cloud (Amazon EC2) 实例创建的 AWS 凭证正在从外部 IP 地址使用。
按照说明查看并分析您的 GuardDuty 调查结果。然后,在调查结果详细信息窗格中,记下外部 IP 地址和 IAM 用户名。
如果外部 IP 地址归您或您信任的人所有,则您可以使用禁止规则自动存档调查结果。
1.1.如果外部 IP 地址具有恶意,则您可以拒绝 IAM 用户的所有权限。
**注意:**拒绝 IAM 用户权限针对全部 EC2 实例。
2.创建具有“显式拒绝”的 IAM 策略,以阻止与下列类似的 IAM 用户访问 EC2 实例:
**注意:**将 your-roleID 和 your-role-session-name 替换为委托人 ID。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "*" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:userId": "your-roleId:your-role-session-name" } } } ] }
3.请按照说明修复遭盗用的 EC2 实例进行操作。
**注意:**作为安全最佳做法,确保要求在现有实例上使用 IMDSv2。