为什么我会收到关于我的 Amazon EC2 实例的 GuardDuty 调查结果类型提醒 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration?

上次更新时间:2020 年 9 月 30 日

Amazon GuardDuty 检测到 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration 调查结果类型的提醒。

简短描述

GuardDuty 调查结果类型 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration 表示通过实例启动角色专为 Amazon Elastic Compute Cloud (Amazon EC2) 实例创建的 AWS 凭证正在从外部 IP 地址使用。</p

解决方法

按照说明查看并分析您的 GuardDuty 调查结果。然后,在调查结果详细信息窗格中,记下外部 IP 地址和 IAM 用户名。

外部 IP 地址是安全的

如果外部 IP 地址归您或您信任的人所有,您可以使用禁止规则自动存档调查结果

外部 IP 地址是恶意的

1.    如果外部 IP 地址具有恶意,您可以拒绝 IAM 用户的所有权限

注意:拒绝 IAM 用户权限针对全部 EC2 实例。

2.    创建具有“显式拒绝”的 IAM 策略,以阻止与下列类似的 IAM 用户访问 EC2 实例:

注意:your-roleIDyour-role-session-name 替换为委托人 ID。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:userId": "your-roleId:your-role-session-name"
        }
      }
    }
  ]
}

3.    请按照说明修复遭盗用的 EC2 实例进行操作。

注意:作为安全最佳做法,确保要求在现有实例上使用 IMDSv2。</p

这篇文章对您有帮助吗?

提交反馈

您是否需要账单或技术支持?

联系 AWS Support