如果我发现我的 AWS 账户中存在未经授权的活动该怎么办？

简短描述

如果您怀疑您的 AWS 账户中有未经授权的活动并希望验证该活动是否未经授权，请完成以下步骤：

• 确认您账户中的 AWS Identity and Access Management（AWS IAM）身份是否执行了未经授权的操作。
• 确认是否存在未经授权而访问或更改您账户的行为。
• 确认是否存在创建未经授权的资源的行为。
• 确认是否存在创建未经授权的 IAM 资源（例如角色、托管策略）或管理变更（例如，在您的 AWS Organizations 中创建的欺诈性关联账户等））的行为。

然后，如果您发现未经授权的活动，请按照本文如果您的 AWS 账户中存在未经授权的活动部分中的说明进行操作。

**注意：**如果您无法登录账户，请参阅登录或访问我的 AWS 账户时遇到问题该怎么办？

解决方法

验证您的 AWS 账户中是否存在未经授权的活动

确认您账户中的 IAM 身份是否执行了未经授权的操作

完成以下步骤：

1. 确定最后一次使用每个 IAM 用户密码或访问密钥的时间。有关说明，请参阅获取您的 AWS 账户的凭证报告。
2. 确定最近使用了哪些 IAM 用户、用户组、角色和策略。有关说明，请参阅查看 IAM 最后一次访问的信息。

确认是否存在未经授权而访问或更改您账户的行为

有关说明，请参阅如何监控特定 IAM 用户、角色和 AWS 访问密钥的账户活动？另请参阅如何解决我的 AWS 账户中存在异常资源活动问题？

确认是否存在创建未经授权的资源或 IAM 用户的行为

要确定未经授权的资源使用情况，包括意外服务、区域或向您的账户收取的费用，请查看以下内容：

• 您的账户的成本和使用情况报告
• AWS Trusted Advisor 检查参考
• AWS 管理控制台账单页面

**注意：**您还可以使用 AWS Cost Explorer 成本管理服务来查看与您的 AWS 账户相关的费用和使用情况。有关更多信息，请参阅如何使用 AWS Cost Explorer 成本管理服务分析我的支出和使用情况？

如果您的 AWS 账户中有未经授权的活动

**重要事项：**如果您收到 AWS 关于账户中存在异常活动的通知，请先按照以下说明进行操作。然后，在 AWS Support 中心回复通知，确认您已完成的操作。

轮换和删除已泄露的账户访问密钥

查看 AWS Support 发送的异常活动通知，了解是否有泄露的账户访问密钥。如果列出了密钥，则对这些密钥执行以下步骤：

1. 创建新的 AWS 访问密钥。
2. 修改您的应用程序以使用新的访问密钥。
3. 停用原始访问密钥。
   **重要事项：**暂时不要删除原始访问密钥。仅停用原始访问密钥。
4. 确认您的应用程序没有问题。如果出现问题，请暂时重新激活原始访问密钥以修复问题。
5. 如果停用原始访问密钥后您的应用程序可以完全正常运行，则删除原始访问密钥。
6. 删除您不再需要或并非由您创建的 AWS 账户根用户访问密钥。

有关更多信息，请参阅AWS 访问密钥的最佳管理实践和管理 IAM 用户的访问密钥。

轮换可能未经授权的 IAM 用户凭证

完成以下步骤：

1. 打开 IAM 控制台。
2. 在左侧导航窗格中，选择用户。此时将显示您的 AWS 账户中的 IAM 用户列表。
3. 选择列表中第一个 IAM 用户的名称。此时将打开此 IAM 用户的摘要页面。
4. 在权限选项卡的权限策略部分下，查找名为 AWSCompromisedKeyQuarantineV2 的策略。如果用户附加了此策略，则轮换该用户的访问密钥。
5. 对账户中的每个 IAM 用户重复步骤 3 和 4。
6. 删除并非由您创建的 IAM 用户。
7. 为由您创建并想要保留的所有 IAM 用户更改密码。

如果您使用临时安全凭证，请参阅撤销 IAM 角色临时安全凭证。

检查您的 AWS CloudTrail 日志中是否有未经批准的活动

完成以下步骤：

1. 打开 AWS CloudTrail 控制台。
2. 在左侧的导航窗格中，选择事件历史记录。
3. 审查是否存在任何未经批准的活动，例如创建访问密钥、策略、角色或临时安全凭证。
   重要事项：请务必查看活动时间，以确认资源是否为近期创建，是否与不定期活动相匹配。
4. 删除您确认未经批准的访问密钥、策略、角色或临时安全凭证。

有关更多信息，请参阅使用 CloudTrail。

删除无法识别或未经授权的资源

完成以下步骤：

1. 登录到 AWS 管理控制台。然后，确认您账户中的所有资源都是您启动的资源。请务必检查并比较上个月与当前月的使用情况。确保检查所有 AWS 区域（包括您从未启动资源的区域）中的所有资源。另外，请特别注意以下资源类型：

• Amazon EC2 实例、竞价型实例和亚马逊机器映像（AMI），包括处于停止状态的实例
• AWS Auto Scaling 组
• Amazon Elastic Block Store (Amazon EBS) 卷和快照
• Amazon Elastic Container Service (Amazon ECS) 集群
• Amazon Elastic Container Registry (Amazon ECR) 存储库
• AWS Lambda 函数和层
• Amazon Lightsail 实例
• Amazon Route 53 域
• Amazon SageMaker Notebook 实例

2. 删除无法识别或未经授权的资源。有关说明，请参阅如何终止我的 AWS 账户中不再需要的活跃资源？

**重要事项：**如果必须保留资源以待调查，请考虑备份这些资源。例如，如果您出于监管、合规性或法律原因必须保留 EC2 实例，则请先创建 Amazon EBS 快照，然后再终止该实例。

恢复备份的资源

如果您将服务配置为保留备份，则请将这些备份从上一次的已知未受损状态中恢复。

有关如何还原特定类型的 AWS 资源的更多信息，请参阅以下内容：

• 从 Amazon EBS 快照或 AMI 中恢复
• 从数据库快照中恢复（Amazon Relational Database Service (Amazon RDS) 数据库实例）
• 恢复以前的版本（Amazon Simple Storage Service (Amazon S3) 对象版本）

验证您的账户信息

验证您的 AWS 账户中的以下所有信息是否正确：

• 账户名和电子邮件地址
• 联系信息（确保您的电话号码正确无误）
• 备用联系人

**注意：**有关 AWS 账户安全最佳实践的更多信息，请参阅保护我的 AWS 账户及其资源的最佳实践有哪些？

相关信息

AWS 安全事件响应指南

AWS 安全凭证

AWS 安全审计指导原则

Amazon EC2 的最佳实践