如何排查我 AWS 账户中的异常资源活动?

1 分钟阅读
0

我确定创建了相关资源的 AWS Identity and Access Management(IAM)用户并限制访问权限。

简短描述

如果出现未经授权的账户活动(如意外启动的新服务),则可能说明您的 AWS 凭证发生了泄漏。某些怀有恶意的人可能会使用您的凭证访问您的账户并执行策略允许的活动。有关更多信息,请参阅如果我发现我的 AWS 账户中存在未经授权的活动该怎么办?

解决方法

识别发生泄露的 IAM 用户和访问密钥,并禁用它们。然后,使用 AWS CloudTrail 搜索与发生泄露的 IAM 用户相关的 API 事件历史记录。

在下例中,有一个 Amazon Elastic Compute Cloud(Amazon EC2)实例意外启动。

**注意:**以下解决方法适用于长期性的安全凭证,而非临时安全凭证。要关闭临时凭证,请参阅禁用临时安全凭证的权限

识别 Amazon EC2 实例 ID

完成下面的步骤:

  1. 打开 Amazon EC2 控制台,然后选择实例
  2. 选择 EC2 实例,然后选择描述选项卡。
  3. 复制实例 ID

查找用于启动实例的 IAM 访问密钥 ID 和用户名

完成下面的步骤:

  1. 打开 CloudTrail 控制台,然后选择事件历史记录
  2. 对于筛选条件,选择资源名称
  3. 输入资源名称字段中,输入实例 ID,然后按下 Enter
  4. 展开事件名称,找到 RunInstances
  5. 复制 AWS 访问密钥,并记下用户名

停用 IAM 用户,创建一个备份 IAM 访问密钥,然后停用发生泄露的访问密钥

完成下面的步骤:

  1. 打开 IAM 控制台,然后在搜索 IAM 栏中输入 IAM 访问密钥 ID。
  2. 选择用户名,然后选择安全凭证选项卡。
  3. 控制台登录中,选择管理控制台访问权限
    注意:如果 AWS 管理控制台密码设置为已禁用,那么可以跳过此步骤。
  4. 管理控制台访问权限中,选择禁用,然后选择应用
    **重要提示:**账户被关闭的用户无法访问 AWS 管理控制台。但是,如果用户具有有效的访问密钥,那么他们仍然可以通过 API 调用访问 AWS 服务。
  5. 更新 IAM 用户的访问密钥
  6. 对于发生泄露的 IAM 访问密钥,请选择设为非活跃

查看 CloudTrail 事件历史记录,了解发生泄露的访问密钥的活动

完成下面的步骤:

  1. 打开 CloudTrail 控制台
  2. 在导航窗格中,选择事件历史记录
  3. 对于筛选条件,选择 AWS 访问密钥
  4. 输入 AWS 访问密钥字段中,输入发生泄露的 IAM 访问密钥 ID。
  5. 展开事件名称,找到 RunInstances API 调用。
    **注意:**您可以查看最近 90 天的事件历史记录。

您也可以搜索 CloudTrail 事件历史记录,以确定安全组或资源的更改方式

有关详细信息,请参阅 Working with CloudTrail event history

相关信息

IAM 中的安全最佳实践

保护访问密钥

管理 IAM 策略

AWS 安全审核指南

AWS 官方
AWS 官方已更新 4 个月前