发现我的 AWS 账户中存在未经授权的活动时该怎么办?

上次更新日期:2022 年 6 月 24 日

我在 AWS 管理控制台中发现并非由我创建的资源。

-或者-

我收到一个通知,指示我的 AWS 资源或账户可能已被盗用。

简短描述

如果您怀疑自己的 AWS 账户中存在未经授权的活动,请首先通过执行以下操作来验证该活动是否未经授权:

  • 识别您账户中的 AWS Identity and Access Management(IAM)身份所执行的任何未经授权的操作。
  • 识别对您的账户进行的任何未经授权的访问或更改。
  • 识别任何未经授权的资源或 IAM 用户的创建。

然后,如果您看到未经授权的活动,请按照本文的如果您的 AWS 账户中存在未经授权的活动一节中的说明进行操作。

注意:如果您无法登录自己的账户,请参阅如果我无法访问我的 AWS 账户该怎么办?

解决方法

验证您的 AWS 账户中是否存在未经授权的活动

识别您账户中的 IAM 身份所执行的任何未经授权的操作

  1. 确定上次使用每个 IAM 用户密码或访问密钥的时间。有关说明,请参阅获取您的 AWS 账户的凭证报告
  2. 确定最近使用了哪些 IAM 用户、用户组、角色和策略。有关说明,请参阅查看 IAM 的上次访问信息

识别对您的账户进行的任何未经授权的访问或更改

有关说明,请参阅如何监控特定 IAM 用户、角色和 AWS 访问密钥的账户活动? 另请参阅如何使用我的 AWS 账户对异常资源活动进行问题排查?

识别任何未经授权的资源或 IAM 用户的创建

要识别任何未经授权的资源使用情况,包括意外服务、区域或账户费用,请查看以下内容:

注意:您还可以使用 AWS Cost Explorer 来查看与您的 AWS 账户相关的费用和使用情况。有关更多信息,请参阅如何使用 Cost Explorer 分析我的支出和使用情况?

您的 AWS 账户中是否存在未经授权的活动

重要提示:如果您收到 AWS 发送的关于您账户的通知,请先在 AWS Support Center 中回复通知。然后执行以下操作:

轮换和删除您的所有 AWS 访问密钥

  1. 创建新的 AWS 访问密钥
  2. 修改您的应用程序以使用新访问密钥。
  3. 停用原始访问密钥
    重要提示:暂时不要删除原始访问密钥。仅停用原始访问密钥。
  4. 确认您的应用程序没有任何问题。如果出现问题,请暂时重新激活原始访问密钥以修复问题。
  5. 如果您的应用程序在停用原始访问密钥后完全正常运行,请删除原始访问密钥
  6. 删除您不再需要或不是由您创建的 AWS 账户根用户访问密钥

有关更多信息,请参阅管理 AWS 访问密钥的最佳实践管理 IAM 用户的访问密钥

轮换任何可能未经授权的 IAM 用户凭证

  1. 打开 IAM 控制台
  2. 从左侧导航窗格中选择 Users(用户)。此时将显示您 AWS 账户中的 IAM 用户列表。
  3. 选择列表中第一个 IAM 用户的名称。IAM 用户的 Summary(摘要)页面随即打开。
  4. Permissions(权限)选项卡的 Permissions policies(权限策略)部分下,查找名为 AWSExposedCredentialPolicy_DO_NOT_REMOVE 的策略。如果用户附加了此策略,则轮换该用户的访问密钥
  5. 对账户中的每个 IAM 用户重复步骤 3 和步骤 4。
  6. 删除并非由您创建的所有 IAM 用户
  7. 更改您创建并想保留的所有 IAM 用户的密码

如果您使用临时安全凭证,请参阅撤销 IAM 角色临时安全凭证

删除所有无法识别或未经授权的资源

1.    登录 AWS 管理控制台。然后,验证账户中的所有资源是否都是您启动的资源。确保您在所有 AWS 区域中寻找资源,即使是从未启动过资源的区域。另外,请特别注意以下资源类型:

2.    删除所有无法识别或未经授权的资源。有关说明,请参阅如何终止我的 AWS 账户中不再需要的活动资源?

重要提示:如果您必须保留任何资源用于调查,请考虑备份这些资源。例如,如果您出于监管、合规性或法律原因必须保留 EC2 实例,则在终止实例之前创建 Amazon EBS 快照

恢复备份的资源

如果您将服务配置为维护备份,则将这些备份从上次已知的未受损状态恢复。

有关如何还原特定类型的 AWS 资源的更多信息,请参阅以下内容:

验证您的账户信息

验证您的 AWS 账户中的以下所有信息是否正确:

注意:有关 AWS 账户安全最佳实践的更多信息,请参阅保护我的 AWS 账户及其资源的最佳实践有哪些?


这篇文章对您有帮助吗?


您是否需要账单或技术支持?