如何對 AWS 帳戶中不尋常的資源活動進行疑難排解？

簡短描述

如果您發現帳戶中存在未預期的資源活動，那麼您的憑證可能已遭入侵。具有您憑證的未經授權使用者，能執行任何您 IAM 政策允許的動作。如需如何處理潛在未經授權存取的指南，請參閱如果我發現 AWS 帳戶中有未經授權的活動，該怎麼辦？

解決方法

首先，識別遭入侵的 IAM 使用者和存取金鑰，並將其停用。然後，使用 AWS CloudTrail 搜尋與遭入侵的 IAM 使用者關聯的 API 事件歷史記錄。

在下列範例中，Amazon Elastic Compute Cloud (Amazon EC2) 執行個體意外啟動。

**注意：**下列解決方案適用於長期安全憑證，而不適用於臨時安全憑證。若要撤銷暫存憑證的權限，請參閱停用臨時安全憑證的權限。

識別 Amazon EC2 執行個體 ID

請完成下列步驟：

1. 開啟 Amazon EC2 console (Amazon EC2 主控台)，然後選擇 Instances (執行個體)。
2. 選取 EC2 執行個體，然後選擇 Instance Summary (執行個體摘要) 索引標籤。
3. 複製執行個體 ID。

尋找用於啟動執行個體的 IAM 存取金鑰 ID 和使用者名稱

請完成下列步驟：

1. 開啟 CloudTrail console (CloudTrail 主控台)，然後選擇 Event history (事件歷史記錄)。
2. 在 Lookup Attributes (尋找屬性)，選擇 Resource name (資源名稱)。
3. 在 Enter resource name (輸入資源名稱) 欄位中，輸入執行個體 ID，然後選擇 Enter (輸入)。
4. 展開 RunInstances 的事件名稱。
5. 複製 AWS 存取金鑰，然後記下使用者名稱。

刪除 IAM 使用者，建立備份 IAM 存取金鑰，然後停用遭入侵的存取金鑰

請完成下列步驟：

1. 開啟 IAM console (IAM 主控台)，然後在 Search IAM (搜尋 IAM) 列中輸入 IAM 存取金鑰 ID。
2. 選取使用者名稱，然後選擇 Security credentials (安全憑證) 索引標籤。
3. 在 Console sign-in (登入主控台) 中，選擇 Manage console access (管理主控台存取)。
   注意：如果 AWS 管理主控台密碼設定為停用，您可以跳過此步驟。
4. 在管理主控台存取中，選擇停用，然後選擇套用。
   **重要：**如果使用者具有作用中的存取金鑰，他們仍然可以使用 API 呼叫來存取 AWS 服務。
5. 更新存取金鑰。
6. 對於遭入侵的 IAM 存取金鑰，選擇 Actions (動作)，然後選取 Deactivate (停用)。
   注意： 如果您在遭入侵 IAM 存取金鑰使用中時將其停用，可能會影響生產環境的運作。

檢視 CloudTrail 事件歷史記錄，以查看遭入侵存取金鑰的活動

請完成下列步驟：

1. 開啟 CloudTrail 主控台。
2. 在導覽窗格中，選擇 Event history (事件歷史記錄)。
3. 在 Lookup Attributes (查詢屬性)，選擇 AWS access key (AWS 存取金鑰)。
4. 在 Enter AWS access key (輸入 AWS 存取金鑰) 欄位中，輸入遭入侵的 IAM 存取金鑰 ID。
5. 展開 RunInstances API 呼叫的事件名稱。
   **注意：**您可以檢視過去 90 天的事件歷史記錄。

您也可以搜尋 CloudTrail 事件歷史記錄，以確定安全群組或資源的變更方式。

如需詳細資訊，請參閱使用 CloudTrail 事件歷史記錄。

相關資訊

IAM 中的安全最佳做法

安全存取金鑰

管理 IAM 政策

AWS 安全稽核指導方針