我为什么会收到针对我的 IAM 用户或角色的 Amazon GuardDuty 结果类型 UnauthorizedAccess:IAMUser/TorIPCaller 或 Recon:IAMUser/TorIPCaller 提醒?

上次更新时间:2020 年 2 月 19 日

Amazon GuardDuty 检测到 UnauthorizedAccess:IAMUser/TorIPCallerRecon:IAMUser/TorIPCaller 结果类型的提醒。

简短描述

UnauthorizedAccess:IAMUser/TorIPCallerRecon:IAMUser/TorIPCaller 结果类型表示,AWS Identity and Access Management (IAM) 身份凭证或访问密钥被用于从 Tor 退出节点 IP 地址对 AWS 进行 API 操作。例如,您可能会在尝试创建 EC2 实例、列出访问密钥 ID 或修改 IAM 权限时收到此错误。这些结果类型还可能表示,IAM 身份凭证或访问密钥被泄漏。有关更多信息,请参阅从 Tor 退出节点 IP 地址调用 API

解决方法

使用 GuardDuty 查找 IAM 访问密钥,并使用 AWS CloudTrail 识别 AWS API 活动。

  1. 按照说明查看并分析您的 GuardDuty 结果
  2. 在结果详细信息窗格中,记录 IAM 访问密钥 ID。
  3. 按照说明使用 CloudTrail 搜索 IAM 访问密钥 API 活动
  4. 按照说明修正泄漏的 AWS 凭证
  5. 如果您确认活动对 AWS 凭证进行了不合法的使用,请参阅我的 AWS 账户可能已泄漏

这篇文章对您有帮助吗?

我们可以改进什么?


需要更多帮助?