


 简短描述
-----



[UnauthorizedAccess:IAMUser/TorIPCaller](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#unauthorizedaccess-iam-toripcaller) 和[Recon:IAMUser/TorIPCaller](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#recon-iam-toripcaller) 结果类型表示，AWS Identity and Access Management (IAM) 身份凭证或访问密钥被用于从 Tor 退出节点 IP 地址对 AWS 进行 API 操作。例如，您可能会在尝试创建 Amazon Elastic Compute Cloud (Amazon EC2) 实例、列出访问密钥 ID 或修改 IAM 权限时收到此错误。这些结果类型还可能表示，IAM 身份凭证或访问密钥关联到未经授权的活动。有关更多信息，请参阅[结果类型](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html)。



 解决方法
-----



使用 GuardDuty 查找 IAM 访问密钥，并使用 AWS CloudTrail 识别 AWS API 活动。


1. 按照说明[查找并分析 GuardDuty 结果](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html#guardduty_working-with-findings)。
2. 在结果详细信息窗格中，记录 IAM 访问密钥 ID。
3. 按照说明[使用 CloudTrail 搜索 IAM 访问密钥 API 活动](https://repost.aws/zh-Hans/knowledge-center/view-iam-history)。


如果您确认该活动是对 AWS 凭证的合法使用，那么您可以：


* 忽略此结果类型。
* [将结果类型存档](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html#guardduty_working-with-findings)。
* [创建禁止规则](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html#findings_suppression-rules-console)，以自动存档新结果类型。


如果您确认该活动不是对 AWS 凭证的合法使用，则最佳安全做法是假设所有 AWS 凭证均遭到泄露。按照这些说明[修复泄露的 AWS 凭证](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_remediate.html#compromised-creds)。


有关更多信息，请参阅[如果我发现我的 AWS 账户中存在未经授权的活动，该怎么做？](https://repost.aws/zh-Hans/knowledge-center/potential-account-compromise)





---




 相关信息
-----



[如果您意外公开了 AWS 访问密钥，该怎么做](https://aws.amazon.com/blogs/security/what-to-do-if-you-inadvertently-expose-an-aws-access-key/)







Amazon GuardDuty 检测到 UnauthorizedAccess:IAMUser/TorIPCaller 或 Recon:IAMUser/TorIPCaller 结果类型的提醒。

解决 GuardDuty 结果类型 UnauthorizedAccess:IAMUser/TorIPCaller 或 Recon:IAMUser/TorIPCaller 提醒

我为什么会收到针对我的 IAM 用户或角色的 Amazon GuardDuty 结果类型 UnauthorizedAccess:IAMUser/TorIPCaller 或 Recon:IAMUser/TorIPCaller 提醒？

简短描述

解决方法

相关信息

相关内容