Que faire si je remarque une activité non autorisée dans mon compte AWS ?

Dernière mise à jour : 19-01-2021

Je vois des ressources que je ne me souviens pas avoir créées dans l'AWS Management Console.

-ou-

J'ai reçu une notification m'informant que mes ressources ou mon compte AWS pourraient être corrompus. Que dois-je faire ?

Brève description

Si vous constatez une activité non autorisée dans votre compte AWS ou si vous pensez qu'une partie non autorisée a accédé à votre compte, procédez comme suit :

Résolution

Modifiez le mot de passe de l'utilisateur racine de votre compte AWS et les mots de passe de tous les utilisateurs IAM

Il est recommandé de modifier régulièrement vos mots de passe pour éviter toute utilisation non autorisée de votre compte.

Pour modifier le mot de passe de l'utilisateur racine de votre compte AWS, consultez Modification du mot de passe d'utilisateur racine du compte AWS.

Pour modifier le mot de passe d'un utilisateur IAM, consultez Gestion des mots de passe des utilisateurs IAM.

Pour plus d'informations, consultez Bonnes pratiques en matière de sécurité, d'identité et de conformité. Pour obtenir de la documentation de sécurité spécifique à un service AWS, consultez la documentation de sécurité AWS.

Modification et suppression de toutes les clés d'accès AWS

Utilisez AWS IAM Access Analyzer pour vérifier si votre application utilise actuellement les clés d'accès.

Si votre application utilise actuellement une clé d'accès, remplacez cette dernière par une nouvelle clé :

  1. Tout d'abord, créez une deuxième clé. Ensuite, modifiez votre application afin que la nouvelle clé soit utilisée.
  2. Désactivez (mais ne supprimez pas) la première clé.
  3. Si vous rencontrez des problèmes lors de l'utilisation de l'application, réactivez temporairement cette clé. Lorsque votre application est entièrement fonctionnelle et que la première clé est à l'état désactivé, supprimez la première clé.
  4. Supprimez les utilisateurs IAM que vous n'avez pas créés.

Vous pouvez supprimer les clés d'accès que votre application n'utilise plus :

Traitez les clés d'accès AWS de la même manière que les mots de passe d'un compte :

Pour savoir quel utilisateur IAM a créé une ressource et comment en restreindre l'accès, consultez la section Comment puis-je résoudre les problèmes relatifs à une activité inhabituelle des ressources avec mon compte AWS ?

Faites la rotation de tout identifiant d'utilisateur IAM potentiellement non autorisé

  1. Ouvrez la console IAM.
  2. Dans le panneau de navigation, choisissez Users (Utilisateurs).
  3. Sélectionnez chaque utilisateur IAM de la liste, puis recherchez sous Stratégies d'autorisation une stratégie nommée AWSExposedCredentialPolicy_DO_NOT_REMOVE. Si l'utilisateur a cette stratégie attachée, vous devez faire la rotation des clés d'accès de l'utilisateur.
  4. Supprimez les utilisateurs IAM que vous n'avez pas créés.
  5. Modifiez le mot de passe des utilisateurs IAM que vous avez créés et que vous souhaitez conserver.

Suppression de toutes les ressources non reconnues ou non autorisées

Connectez-vous à votre compte AWS, puis assurez-vous que toutes les ressources de votre compte constituent des ressources que vous avez lancées. Assurez-vous de vérifier toutes les régions AWS, même celles dans lesquelles vous n'avez jamais lancé de ressources AWS. Prêtez une attention particulière à ce qui suit :

Pour supprimer des fonctions et des couches Lambda, procédez comme suit :

  1. Ouvrez la console Lambda.
  2. Dans le volet de navigation, sélectionnez Fonctions.
  3. Sélectionnez les fonctions que vous souhaitez supprimer.
  4. Dans la section Actions, sélectionnez Supprimer.
  5. Dans le volet de navigation, sélectionnez Couches.
  6. Sélectionnez la couche que vous souhaitez supprimer.
  7. Sélectionnez Delete (Supprimer).

Pour plus d'informations sur la suppression d'une ressource associée à un service AWS en particulier, consultez Comment résilier toutes mes ressources avant de clôturer mon compte AWS ?

Activer l'authentification MFA

Pour une sécurité accrue, il est recommandé de configurer l’authentification MFA pour protéger vos ressources AWS. Vous pouvez activer l’authentification MFA pour les utilisateurs IAM ou l' utilisateur racine du compte AWS. Lorsque vous activez l’authentification MFA pour l'utilisateur racine, cela affecte uniquement les informations d'identification de l'utilisateur racine. Les utilisateurs IAM du compte sont des identités distinctes avec leurs propres informations d'identification, et chaque identité possède sa propre configuration d’authentification MFA.

Pour plus d'informations, consultez Activation d'un appareil virtuel (console)de Multi-Factor Authentication (MFA)(authentification multi-facteur).

Contactez AWS Support

Si vous avez reçu une notification d'AWS concernant votre compte, connectez-vous au Centre AWS Support et répondez à la notification.

Si vous ne pouvez pas accéder à votre compte, utilisez le formulaire de la section Contactez-nous pour demander de l'aide à AWS Support.

Si vous avez des questions ou des préoccupations, créez une nouvelle demande AWS Support dans le Centre AWS Support.

Remarque : n'incluez pas d'informations sensibles dans votre correspondance, telles que les clés d'accès AWS, les mots de passe ou les informations de carte de crédit.

Utilisation de projets AWS Git pour rechercher des preuves d'utilisation non autorisée

AWS propose des projets Git que vous pouvez installer et qui peuvent vous aider à protéger votre compte :

  • Git Secrets peut analyser les fusions et les validations et valider les messages pour obtenir des informations secrètes (c'est-à-dire, des clés d'accès). Si Git Secrets détecte des expressions régulières interdites, il peut empêcher la publication de ces validations sur des référentiels publics.
  • Utilisez AWS Step Functions et AWS Lambda pour générer Amazon CloudWatch Events à partir d’AWS Health ou par Trusted Advisor. Si vos clés d'accès semblent avoir été exposées, les projets peuvent vous aider à détecter, consigner et traiter automatiquement l'événement en question.

Évitez d'utiliser l'utilisateur racine pour les opérations quotidiennes

La clé d'accès de l'utilisateur racine de votre compte AWS donne un accès complet à toutes vos ressources AWS, y compris vos informations de facturation. Vous ne pouvez pas réduire les autorisations associées à la clé d'accès utilisateur racine de votre compte AWS. Il est recommandé de ne pas utiliser l'accès utilisateur racine à moins que cela ne soit absolument nécessaire.

Si vous ne disposez pas déjà d'une clé d'accès pour l'utilisateur racine de votre compte AWS, n'en créez pas, sauf si c'est absolument nécessaire. Au lieu de cela, créez un utilisateur IAM pour vous-même avec des autorisations administratives. Vous pouvez vous connecter à AWS Management Console avec l'adresse e-mail et le mot de passe de votre compte AWS pour créer un utilisateur IAM.

Pour plus d'informations, consultez Verrouillez les clés d'accès utilisateur racine de votre compte AWS.

Suivez les meilleures pratiques de sécurité AWS

Pour plus d'informations sur les bonnes pratiques à prendre en compte lors de la sécurisation de votre compte et de ses ressources, consultez Quelles sont les bonnes pratiques pour sécuriser mon compte AWS et ses ressources ? Cependant, certaines de ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement. Ces bonnes pratiques en matière de sécurité doivent être considérées comme des directives générales plutôt que comme une solution de sécurité complète.