為什麼我收到 IAM 使用者或角色的 Amazon GuardDuty 調查結果類型 UnauthorizedAccess:IAMUser/TorIPCaller 或 Recon:IAMUser/TorIPCaller 警示？

簡短說明

UnauthorizedAccess:IAMUser/TorIPCaller 和 Recon:IAMUser/TorIPCaller 調查結果類型表示您的 AWS Identity and Access Management (IAM) 身分憑證或存取金鑰已用於從出口節點 IP 地址進行 AWS 的 API 操作。例如，嘗試建立 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、列出存取金鑰 ID 或修改 IAM 權限時，您可能會收到此錯誤。這些調查結果類型可能也表示 IAM 身分憑證或存取金鑰與未經授權的活動相關聯。如需詳細資訊，請參閱調查結果類型。

解決方法

使用 GuardDuty 找出 IAM 存取金鑰，並且使用 AWS CloudTrail 識別 AWS API 活動。

1. 請遵循找出 GuardDuty 調查結果並加以分析的說明。
2. 在調查結果詳細資料窗格中，記下 IAM 存取金鑰 ID。
3. 請遵循使用 CloudTrail 搜尋 IAM 存取金鑰 API 活動的說明。

如果您確認該活動是 AWS 憑證的合法用途，即可：

• 忽略調查結果類型。
• 封存調查結果類型。
• 建立隱藏規則以自動封存新的調查結果類型。

如果您確認該活動並非 AWS 憑證的合法用途，最佳安全實務是假設所有 AWS 憑證均已洩漏。請遵循這些關於 修復下載 AWS 憑證 的說明。

如需詳細資訊，請參閱如果發現 AWS 帳戶中出現未經授權的活動，該怎麼辦？

---

相關資訊

如果您無意間公開 AWS 存取金鑰，該怎麼辦