為什麼我收到 Amazon EC2 執行個體的 GuardDuty 調查結果類型警示 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS?

1 分的閱讀內容
0

Amazon GuardDuty 偵測到 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS 調查結果類型警示。

簡短說明

GuardDuty 調查結果類型 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS 表示經由執行個體啟動角色為 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體專門建立的 AWS 憑證,正在從外部 IP 地址使用

解決方法

請遵循檢視並分析您的 GuardDuty 調查結果說明。然後在調查結果詳細資料窗格中,記下外部 IP 地址和 IAM 使用者名稱。

外部 IP 地址很安全

如果外部 IP 地址為您或您信任的某人擁有,您可以使用隱藏規則自動封存調查結果

外部 IP 地址存在惡意

  1. 如果外部 IP 地址存在惡意,您可以拒絕 IAM 使用者的所有權限

**注意:**所有 EC2 執行個體都會拒絕 IAM 使用者的權限。

  1. 建立具有明確拒絕的 IAM 政策,以封鎖 IAM 使用者對 EC2 執行個體的存取權限,類似內容如下所示:

**注意:**將 your-roleIDyour-role-session-name 取代為主體 ID。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:userId": "your-roleId:your-role-session-name"
        }
      }
    }
  ]
}
  1. 請遵循修復遭入侵的 EC2 執行個體說明。

**注意:**作為最佳安全實務,請務必要求在現有執行個體上使用 IMDSv2


AWS 官方
AWS 官方已更新 2 年前