為什麼我會收到 Amazon EC2 執行個體的 GuardDuty 調查結果類型警示 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS?

1 分的閱讀內容
0

Amazon GuardDuty 偵測到 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS 調查結果類型警示。

簡短說明

GuardDuty 調查結果類型 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS 表示外部主機嘗試使用暫時 AWS 憑證來執行 AWS API 操作。在您的 AWS 環境中的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體上建立暫時 AWS 憑證。

解決方法

找到並分析您的 GuardDuty 調查結果。在調查結果的詳細資料窗格中,記下外部 IP 位址和 AWS Identity and Access Management (IAM) 使用者名稱。

外部 IP 地址很安全

如果您或您信任的人擁有外部 IP 位址,則您可以使用管制規則自動封存調查結果。

外部 IP 位址存在惡意

若要解決此問題,請完成下列步驟:

  1. 拒絕 IAM 使用者的所有許可
    **注意:**所有 EC2 執行個體都會拒絕 IAM 使用者的許可。

  2. 建立具有明確拒絕的 IAM 政策,以封鎖 IAM 使用者的執行個體存取權:
    **注意:**將 your-roleID 取代為角色的 ID,並將 your-role-session-name 取代為角色的工作階段名稱。

    
    {  "Version": "2012-10-17",  
      "Statement": \[  
        {  
          "Effect": "Deny",  
          "Action": \[  
            "\*"  
          \],  
          "Resource": \[  
            "\*"  
          \],  
          "Condition": {  
            "StringEquals": {  
              "aws:userId": "your-roleId:your-role-session-name"  
            }  
          }  
        }  
      \]  
    }
  3. 修復 AWS 環境中可能遭到破壞的 EC2 執行個體
    **注意:**作為安全性最佳實務,請確保您在執行個體上使用執行個體中繼資料服務 (IMDS)

AWS 官方
AWS 官方已更新 10 個月前