Amazon GuardDuty 偵測到 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS 調查結果類型警示。
GuardDuty 調查結果類型 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS 表示經由執行個體啟動角色為 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體專門建立的 AWS 憑證,正在從外部 IP 地址使用。
請遵循檢視並分析您的 GuardDuty 調查結果說明。然後在調查結果詳細資料窗格中,記下外部 IP 地址和 IAM 使用者名稱。
如果外部 IP 地址為您或您信任的某人擁有,您可以使用隱藏規則自動封存調查結果。
**注意:**所有 EC2 執行個體都會拒絕 IAM 使用者的權限。
**注意:**將 your-roleID 和 your-role-session-name 取代為主體 ID。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "*" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:userId": "your-roleId:your-role-session-name" } } } ] }
**注意:**作為最佳安全實務,請務必要求在現有執行個體上使用 IMDSv2。