如果我發現 AWS 帳戶中出現未經授權的活動，該怎麼辦？

解決方法

如果您懷疑 AWS 帳戶中存在未經授權的活動，請先完成以下步驟，以驗證未經授權的活動。然後，修復 AWS 帳戶中未經授權的活動。最後，使用 MFA 多重要素驗證 (MFA) 保護 AWS 帳戶根使用者。

注意： 如果您無法登入帳戶，請參閱如果我無法登入 AWS 帳戶，該怎麼辦？

檢查您的帳戶中是否有未經授權的活動

若要識別未經授權的動作，請產生 AWS 帳戶的憑證報告，以稽核帳戶中每個 AWS Identity and Access Management (IAM) 身分的密碼或存取金鑰。然後，檢視 IAM 的上次存取資訊，以查看最近使用的使用者、使用者群組、角色和政策。

若要識別帳戶的未經授權存取或變更，您可以監控特定 IAM 使用者、角色和 AWS 存取金鑰的帳戶活動。如需更多資訊，請參閱如何疑難排解 AWS 帳戶中的異常資源活動？

若要識別未經授權的資源或 IAM 使用者建立作業，包括未預期的服務和帳戶費用，請採取以下動作：

• 為您的帳戶建立成本與用量報告。
• 開始使用 Trusted Advisor Recommendations
• 檢閱您的每月帳單最佳實務。
  注意： 您也可以使用 AWS Cost Explorer 檢閱與您帳戶相關聯的費用與用量。

如果您已確認帳戶中沒有未經授權的活動，則不需要採取進一步動作。

如果您確認存在未經授權的活動，請繼續前往下一節，以修復 AWS 帳戶中未經授權的活動。

修復您帳戶中未經授權的活動

如果您收到來自 AWS 關於帳戶中異常活動的通知，請先完成以下指示。然後，在 AWS Support Center 中回覆通知，確認您已完成的動作。

更新公開的帳戶存取金鑰

查看 AWS Support 傳送的異常活動通知，以了解公開的帳戶存取金鑰。如果您有看到任何列出的金鑰，請完成以下步驟：

1. 更新 AWS 存取金鑰。
2. 停用原始存取金鑰。
   重要： 在此步驟期間請勿刪除原始存取金鑰。
3. 驗證您的應用程式沒有問題。如果有問題，請暫時重新啟用原始存取金鑰，以修復問題。
4. 如果您停用原始存取金鑰後，應用程式可完整正常運作，則請刪除原始存取金鑰。
5. 刪除不再需要或不是您建立的 AWS 帳戶根使用者存取金鑰。

如需更多資訊，請參閱保護存取金鑰和管理 IAM 使用者的存取金鑰。

更新可能未經授權的 IAM 使用者憑證

請完成以下步驟：

1. 開啟 IAM console (IAM 主控台)。
2. 在導覽窗格中，選擇 Users (使用者)。
3. 選取清單中第一個 IAM 使用者的名稱。
4. 在 IAM 使用者的 Summary (摘要) 頁面上，於 Permissions (權限) 索引標籤的 Permissions policies (權限政策) 區段下，檢查 AWSCompromisedKeyQuarantineV2 政策是否已附加至使用者。
5. 更新使用者的存取金鑰。
6. 對您帳戶中的每個 IAM 使用者重複步驟 2-5。
7. 停用不是您建立的 IAM 使用者。
8. 變更您建立的 IAM 使用者密碼。

如果您使用暫時安全憑證，請參閱撤銷 IAM 角色暫時安全憑證。

檢查您的 AWS CloudTrail 事件歷史記錄是否有未經授權的活動

請完成以下步驟：

1. 開啟 AWS CloudTrail console (AWS CloudTrail 主控台)。
2. 在導覽窗格中，選擇 Event history (事件歷史記錄)。
3. 檢閱未經核准的活動，例如建立存取金鑰、政策、角色或暫時安全憑證。
   重要： 請務必檢閱 Event time (事件時間)，以確認資源是否為最近建立，且符合異常活動。
4. 刪除任何未經核准的存取金鑰、政策、角色或暫時安全憑證。

如需更多資訊，請參閱使用 CloudTrail 事件歷史記錄。

刪除無法辨識或未經授權的資源

開啟 AWS 管理主控台，並驗證您帳戶中的所有資源都是您啟動的資源。請務必檢查並比較上個月與本月的用量。請務必檢查所有 AWS 區域中的所有資源，即使是在您未啟動資源的區域中也一樣。

然後，若要刪除無法辨識或未經授權的資源，請參閱如何移除 AWS 帳戶中不再需要的作用中資源？

重要： 如果您必須保留資源供調查使用，則最佳實務是備份這些資源。例如，如果您基於法規、合規或法律原因，必須保留 Amazon Elastic Cloud Compute (Amazon EC2) 執行個體，請在終止執行個體之前建立 Amazon EBS 快照。

復原已備份的資源

如果您已設定服務來維護備份，請從最後已知未遭入侵的狀態復原這些備份。

若要還原特定類型的 AWS 資源，請採取以下動作：

• 還原 Amazon EBS 磁碟區或 EC2 執行個體
• 針對 Amazon Relational Database Service (Amazon RDS) 執行個體，還原至資料庫快照
• 針對 Amazon Simple Storage Service (Amazon S3) 物件版本，還原先前的版本

驗證您的帳戶資訊

驗證您帳戶中的以下所有資訊都正確。

如果您需要更新帳戶資訊，請採取以下動作：

• 更新您的 AWS 帳戶名稱
• 更新根使用者電子郵件地址
• 更新 AWS 帳戶的主要聯絡人
• 更新 AWS 帳戶的替代聯絡人

注意： 如需帳戶安全最佳實務的詳細資訊，請參閱保護我的 AWS 帳戶及其資源的最佳實務為何？

使用 MFA 保護您的帳戶根使用者

開啟多重要素驗證 (MFA) 是最佳實務，因為 AWS 帳戶根使用者具有 AWS 服務和資源的特殊權限存取權。MFA 為您的登入憑證提供第二個驗證因素，並降低密碼遭入侵的風險。您可以為每個具有 AWS 管理主控台存取權的 IAM 使用者啟用最多八個 MFA 裝置。

注意： 根使用者的 MFA 啟用只會影響根使用者憑證。帳戶中的 IAM 使用者是具有各自憑證的獨立身分，且每個身分都有自己的 MFA 組態。

若要啟用 MFA，請參閱使用 MFA 保護您的根使用者登入和 IAM 中的 AWS 多重要素驗證。

相關資訊

AWS 安全事件回應技術指南

AWS 安全稽核準則