为什么我会收到关于我的 Amazon EC2 实例的 GuardDuty 调查结果类型提醒 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration?

上次更新时间:2020 年 2 月 20 日

Amazon GuardDuty 检测到 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration 调查结果类型的提醒。

简短描述

GuardDuty 调查结果类型 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration 表示通过实例启动角色专为 Amazon Elastic Compute Cloud (Amazon EC2) 实例创建的 AWS 凭证正在从外部 IP 地址使用

此调查结果类型也会在以下情况下出现:

  • 该 EC2 实例有使用 Amazon Virtual Private Cloud (Amazon VPC) 或本地路由表配置的代理。
  • 该 EC2 实例路由表有 NAT 实例或 NAT 网关。
  • 该 EC2 实例的 Amazon VPC 使用公有 IP 地址。

解决方法

1.    按照说明查看并分析您的 GuardDuty 调查结果

2.    在调查结果详细信息窗格中,记下外部 IP 地址和 IAM 用户名。

3.    如果外部 IP 地址归您或您信任的人所有,您可以使用禁止规则自动存档调查结果

4.    如果外部 IP 地址具有恶意,您可以拒绝 IAM 用户的所有权限

注意:拒绝 IAM 用户权限针对全部 EC2 实例。

5.    创建具有“显式拒绝”的 IAM 策略,以阻止与下列类似的 IAM 用户访问 EC2 实例:

注意:your-roleIDyour-role-session-name 替换为 Principal ID。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:userId": "your-roleId:your-role-session-name"
        }
      }
    }
  ]
}

6.    按照说明修复遭盗用的 EC2 实例

注意:作为安全最佳做法,确保要求在现有实例上使用 IMDSv2


这篇文章对您有帮助吗?

我们可以改进什么?


需要更多帮助?