为什么我会收到关于我的 Amazon EC2 实例的 GuardDuty 调查结果类型提醒 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS?

上次更新日期:2021 年 11 月 26 日

Amazon GuardDuty 检测到 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS 调查结果类型的提醒。

简短描述

GuardDuty 调查结果类型 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS 表示通过实例启动角色专为 Amazon Elastic Compute Cloud (Amazon EC2) 实例创建的 AWS 凭证正在从外部 IP 地址使用

解决方法

按照说明查看并分析您的 GuardDuty 调查结果。然后,在调查结果详细信息窗格中,记下外部 IP 地址和 IAM 用户名。

外部 IP 地址是安全的

如果外部 IP 地址归您或您信任的人所有,则您可以使用禁止规则自动存档调查结果

外部 IP 地址具有恶意

1.FSP如果外部 IP 地址具有恶意,则您可以拒绝 IAM 用户的所有权限

注意:拒绝 IAM 用户权限针对全部 EC2 实例。

2.FSP创建具有“显式拒绝”的 IAM 策略,以阻止与下列类似的 IAM 用户访问 EC2 实例:

注意:your-roleIDyour-role-session-name 替换为委托人 ID。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:userId": "your-roleId:your-role-session-name"
        }
      }
    }
  ]
}

3.FSP请按照说明修复遭盗用的 EC2 实例进行操作。

注意:作为安全最佳做法,确保要求在现有实例上使用 IMDSv2


这篇文章对您有帮助吗?


您是否需要账单或技术支持?