我为什么会收到针对我的 IAM 用户或角色的 Amazon GuardDuty 结果类型 UnauthorizedAccess:IAMUser/TorIPCaller 或 Recon:IAMUser/TorIPCaller 提醒?

上次更新日期:2020 年 12 月 16 日

Amazon GuardDuty 检测到 UnauthorizedAccess:IAMUser/TorIPCallerRecon:IAMUser/TorIPCaller 结果类型的提醒。

简短描述

UnauthorizedAccess:IAMUser/TorIPCallerRecon:IAMUser/TorIPCaller 结果类型表示,AWS Identity and Access Management (IAM) 身份凭证或访问密钥被用于从 Tor 退出节点 IP 地址对 AWS 进行 API 操作。例如,您可能会在尝试创建 EC2 实例、列出访问密钥 ID 或修改 IAM 权限时收到此错误。这些结果类型还可能表示,IAM 身份凭证或访问密钥有未经授权的活动。有关更多信息,请参阅基于 AWS CloudTrail 的结果

解决方法

使用 GuardDuty 查找 IAM 访问密钥,并使用 AWS CloudTrail 识别 AWS API 活动。

  1. 按照说明查看并分析您的 GuardDuty 调查结果
  2. 在结果详细信息窗格中,记录 IAM 访问密钥 ID。
  3. 按照说明使用 CloudTrail 搜索 IAM 访问密钥 API 活动
  4. 按照说明确定 IAM 实体凭证是否被合法使用

如果您确认活动对 AWS 凭证进行了不合法的使用,请参阅如果我发现 AWS 账户中发生未经授权的活动,该怎么做?


这篇文章对您有帮助吗?


您是否需要账单或技术支持?