为什么我会收到关于我的 Amazon EC2 实例的 GuardDuty 调查结果类型提醒 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration?
上次更新时间:2020 年 9 月 30 日
Amazon GuardDuty 检测到 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration 调查结果类型的提醒。
简短描述
GuardDuty 调查结果类型 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration 表示通过实例启动角色专为 Amazon Elastic Compute Cloud (Amazon EC2) 实例创建的 AWS 凭证正在从外部 IP 地址使用。</p
解决方法
按照说明查看并分析您的 GuardDuty 调查结果。然后,在调查结果详细信息窗格中,记下外部 IP 地址和 IAM 用户名。
外部 IP 地址是安全的
如果外部 IP 地址归您或您信任的人所有,您可以使用禁止规则自动存档调查结果。
外部 IP 地址是恶意的
1. 如果外部 IP 地址具有恶意,您可以拒绝 IAM 用户的所有权限。
注意:拒绝 IAM 用户权限针对全部 EC2 实例。
2. 创建具有“显式拒绝”的 IAM 策略,以阻止与下列类似的 IAM 用户访问 EC2 实例:
注意:将 your-roleID 和 your-role-session-name 替换为委托人 ID。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"*"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:userId": "your-roleId:your-role-session-name"
}
}
}
]
}
3. 请按照说明修复遭盗用的 EC2 实例进行操作。
注意:作为安全最佳做法,确保要求在现有实例上使用 IMDSv2。</p