Warum habe ich eine GuardDuty-Warnmeldung für Erkenntnistyp UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS für meine Amazon-EC2-Instance erhalten?

Kurzbeschreibung

Der GuardDuty-Erkenntnistyp UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS weist darauf hin, dass AWS-Anmeldeinformationen, die über eine Instance-Startrolle ausschließlich für eine Amazon Elastic Compute Cloud (Amazon EC2)-Instance erstellt wurden, von einer externen IP-Adresse verwendet werden.

Behebung

Folgen Sie den Anweisungen, um Ihre GuardDuty-Erkenntnisse einzusehen und zu analysieren. Prüfen Sie dann im Detailbereich der Erkenntnisse die externe IP-Adresse und den IAM-Benutzernamen.

Die externe IP-Adresse ist sicher

Wenn die externe IP-Adresse Ihnen oder einer vertrauenswürdigen Person gehört, können Sie die Erkenntnisse mithilfe einer Unterdrückungsregel automatisch archivieren.

Die externe IP-Adresse ist bösartig

1. Wenn die externe IP-Adresse bösartig ist, können Sie alle Berechtigungen des IAM-Benutzers widerrufen.

Hinweis: Die Berechtigungen des IAM-Benutzers werden in diesem Fall für alle EC2-Instances widerrufen.

2. Erstellen Sie eine IAM-Richtlinie mit einer ausdrücklichen Verweigerung, um den Zugriff auf die EC2-Instance für den IAM-Benutzer zu blockieren, ähnlich der folgenden:

Hinweis: Ersetzen Sie your-roleID und your-role-session-name durch die Prinzipal-ID.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:userId": "your-roleId:your-role-session-name"
        }
      }
    }
  ]
}

3. Folgen Sie den Anweisungen zum Sichern einer kompromittierten EC2-Instance.

Hinweis: Als bewährtes Vorgehen in der IT-Sicherheit sollten Sie unbedingt auf einer vorhandenen Instance die Verwendung von IMDSv2 vorschreiben.