为什么我会收到关于我的 Amazon EC2 实例的 GuardDuty 调查结果类型提醒 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration？

GuardDuty 调查结果类型 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration 表示通过实例启动角色专为 Amazon Elastic Compute Cloud (Amazon EC2) 实例创建的 AWS 凭证正在从外部 IP 地址使用。

此调查结果类型也会在以下情况下出现：

• 该 EC2 实例有使用 Amazon Virtual Private Cloud (Amazon VPC) 或本地路由表配置的代理。
• 该 EC2 实例路由表有 NAT 实例或 NAT 网关。
• 该 EC2 实例的 Amazon VPC 使用公有 IP 地址。
  

1.    按照说明查看并分析您的 GuardDuty 调查结果。

2.    在调查结果详细信息窗格中，记下外部 IP 地址和 IAM 用户名。

3.    如果外部 IP 地址归您或您信任的人所有，您可以使用禁止规则自动存档调查结果。

4.    如果外部 IP 地址具有恶意，您可以拒绝 IAM 用户的所有权限。

注意：拒绝 IAM 用户权限针对全部 EC2 实例。

5.    创建具有“显式拒绝”的 IAM 策略，以阻止与下列类似的 IAM 用户访问 EC2 实例：

注意：将 your-roleID 和 your-role-session-name 替换为 Principal ID。

6.    按照说明修复遭盗用的 EC2 实例。

注意：作为安全最佳做法，确保要求在现有实例上使用 IMDSv2。