如何排查我的 AWS 账户中异常的资源活动？

未经授权的账户活动，如意外启动的新服务，可能表示您的 AWS 凭证受损。某些怀有恶意的人可能会使用您的凭证访问您的账户并执行策略允许的活动。有关更多信息，请参阅我的 AWS 账户可能会受损和 AWS 客户协议。

识别受损的 IAM 用户和访问密钥。然后，禁用它们。使用 AWS CloudTrail 搜索与受损 IAM 用户相关的 API 事件历史记录。

在以下示例中，Amazon Elastic Compute Cloud (Amazon EC2) 实例意外启动。

注意：这些说明适用于长期安全凭证，而非临时安全凭证。要禁用临时凭证，请参阅禁用临时安全凭证的权限。

识别 Amazon EC2 实例 ID

1. 打开 Amazon EC2 控制台，然后选择实例。
2. 选择 EC2 实例，然后选择描述选项卡。
3. 复制实例 ID。

查找用于启动实例的 IAM 访问密钥 ID 和用户名

1. 打开 CloudTrail 控制台，然后选择事件历史记录。
2. 选择筛选条件下拉菜单，然后选择资源名称。
3. 在输入资源名称字段中，粘贴 EC2 实例 ID，然后选择在您的设备上输入。
4. 展开 RunInstances 的事件名称。
5. 复制 AWS 访问密钥并记下用户名。

禁用 IAM 用户、创建备份 IAM 访问密钥，然后禁用受损的访问密钥

1. 打开 IAM 控制台，然后将 IAM 访问密钥 ID 复制到搜索 IAM 栏中。
2. 选择用户名，然后选择安全凭证选项卡。
3. 在控制台密码中，选择管理。
   注意：如果 AWS 管理控制台密码被设置为已禁用，您可以跳过此步骤。
4. 在控制台访问中，选择禁用，然后选择应用。
   重要提示：账户被禁用的用户无法访问 AWS 管理控制台。但是，如果用户具有有效的访问密钥，他们仍然可以使用 API 调用访问 AWS 服务。
5. 请按照说明轮换 IAM 用户的访问密钥，无需中断您的应用程序（控制台）。
6. 对于受损的 IAM 访问密钥，请选择使其处于非活动状态。

通过受损的访问密钥查看活动的 CloudTrail 事件历史记录

1. 打开 CloudTrail 控制台，然后从导航窗格中选择事件历史记录。
2. 选择筛选条件下拉菜单，然后选择 AWS 访问密钥筛选条件。
3. 在输入 AWS 访问密钥字段中，输入受损的 IAM 访问密钥 ID。
4. 展开 API 调用 RunInstances 的事件名称。
   注意：您可以查看最近 90 天的事件历史记录。

您也可以搜索 CloudTrail 事件历史记录以确定安全组或资源的更改方式及运行、停止、启动和终止 EC2 实例的 API 调用。

有关更多信息，请参阅使用 CloudTrail 事件历史记录查看事件。