我看到了一些资源,但我不记得在 AWS 管理控制台中创建过这些资源。或者,我收到一个通知,说我的 AWS 资源或账户可能已被盗用。
如果您怀疑您的 AWS 账户中有未经授权的活动并希望验证该活动是否未经授权,请完成以下步骤:
然后,如果您发现未经授权的活动,请按照本文如果您的 AWS 账户中存在未经授权的活动部分中的说明进行操作。
**注意:**如果您无法登录账户,请参阅登录或访问我的 AWS 账户时遇到问题该怎么办?
确认您账户中的 IAM 身份是否执行了未经授权的操作
完成以下步骤:
确认是否存在未经授权而访问或更改您账户的行为
有关说明,请参阅如何监控特定 IAM 用户、角色和 AWS 访问密钥的账户活动?另请参阅如何解决我的 AWS 账户中存在异常资源活动问题?
确认是否存在创建未经授权的资源或 IAM 用户的行为
要确定未经授权的资源使用情况,包括意外服务、区域或向您的账户收取的费用,请查看以下内容:
**注意:**您还可以使用 AWS Cost Explorer 成本管理服务来查看与您的 AWS 账户相关的费用和使用情况。有关更多信息,请参阅如何使用 AWS Cost Explorer 成本管理服务分析我的支出和使用情况?
**重要事项:**如果您收到 AWS 关于账户中存在异常活动的通知,请先按照以下说明进行操作。然后,在 AWS Support 中心回复通知,确认您已完成的操作。
轮换和删除已泄露的账户访问密钥
查看 AWS Support 发送的异常活动通知,了解是否有泄露的账户访问密钥。如果列出了密钥,则对这些密钥执行以下步骤:
有关更多信息,请参阅AWS 访问密钥的最佳管理实践和管理 IAM 用户的访问密钥。
轮换可能未经授权的 IAM 用户凭证
如果您使用临时安全凭证,请参阅撤销 IAM 角色临时安全凭证。
检查您的 AWS CloudTrail 日志中是否有未经批准的活动
有关更多信息,请参阅使用 CloudTrail。
删除无法识别或未经授权的资源
**重要事项:**如果必须保留资源以待调查,请考虑备份这些资源。例如,如果您出于监管、合规性或法律原因必须保留 EC2 实例,则请先创建 Amazon EBS 快照,然后再终止该实例。
恢复备份的资源
如果您将服务配置为保留备份,则请将这些备份从上一次的已知未受损状态中恢复。
有关如何还原特定类型的 AWS 资源的更多信息,请参阅以下内容:
验证您的账户信息
验证您的 AWS 账户中的以下所有信息是否正确:
**注意:**有关 AWS 账户安全最佳实践的更多信息,请参阅保护我的 AWS 账户及其资源的最佳实践有哪些?
AWS 安全事件响应指南
AWS 安全凭证
AWS 安全审计指导原则
Amazon EC2 的最佳实践