我为什么会收到针对我的 IAM 用户或角色的 Amazon GuardDuty 结果类型 UnauthorizedAccess:IAMUser/TorIPCaller 或 Recon:IAMUser/TorIPCaller 提醒?

上次更新日期:2022 年 11 月 23 日

Amazon GuardDuty 检测到 UnauthorizedAccess:IAMUser/TorIPCaller 或 Recon:IAMUser/TorIPCaller 结果类型的提醒。

简短描述

UnauthorizedAccess:IAMUser/TorIPCaller Recon:IAMUser/TorIPCaller 结果类型表示,AWS Identity and Access Management (IAM) 身份凭证或访问密钥被用于从 Tor 退出节点 IP 地址对 AWS 进行 API 操作。例如,您可能会在尝试创建 Amazon Elastic Compute Cloud (Amazon EC2) 实例、列出访问密钥 ID 或修改 IAM 权限时收到此错误。这些结果类型还可能表示,IAM 身份凭证或访问密钥关联到未经授权的活动。有关更多信息,请参阅结果类型

解决方法

使用 GuardDuty 查找 IAM 访问密钥,并使用 AWS CloudTrail 识别 AWS API 活动。

  1. 按照说明查找并分析 GuardDuty 结果
  2. 在结果详细信息窗格中,记录 IAM 访问密钥 ID。
  3. 按照说明使用 CloudTrail 搜索 IAM 访问密钥 API 活动

如果您确认该活动是对 AWS 凭证的合法使用,那么您可以:

如果您确认该活动不是对 AWS 凭证的合法使用,则最佳安全做法是假设所有 AWS 凭证均遭到泄露。按照这些说明修复泄露的 AWS 凭证

有关更多信息,请参阅如果我发现我的 AWS 账户中存在未经授权的活动,该怎么做?


这篇文章对您有帮助吗?


您是否需要账单或技术支持?