Que dois-je faire si je remarque une activité non autorisée dans mon compte AWS ?

Dernière mise à jour : 03/08/2020

Je vois des ressources que je ne me rappelle pas avoir créées dans AWS Management Console.

-ou-

J'ai reçu une notification indiquant que mes ressources ou mon compte AWS sont peut-être compromis. Que dois-je faire ?

Brève description

Si vous constatez une activité non autorisée dans votre compte AWS ou si vous pensez qu'une partie non autorisée a accédé à votre compte, procédez comme suit :

Solution

Modification du mot de passe utilisateur racine du compte AWS et des mots de passe de tous les utilisateurs IAM

Une bonne pratique consiste à modifier vos mots de passe régulièrement afin d'éviter toute utilisation non autorisée de votre compte.

Pour modifier le mot de passe de l'utilisateur racine de votre compte AWS, consultez Modification du mot de passe d'utilisateur racine du compte AWS.

Pour modifier le mot de passe d'un utilisateur IAM, consultez Gestion des mots de passe des utilisateurs IAM.

Pour plus d'informations, consultez Bonnes pratiques en matière de sécurité, d'identité et de conformité. Pour obtenir de la documentation de sécurité spécifique à un service AWS, consultez la documentation de sécurité AWS.

Pour plus d'informations sur les bonnes pratiques à prendre en compte lors de la sécurisation de votre compte et de ses ressources, consultez Quelles sont les bonnes pratiques pour sécuriser mon compte AWS et ses ressources ?

Changement et suppression de toutes les clés d'accès AWS

Si vous trouvez des clés d'accès AWS dont vous n'avez plus besoin ou que vous n'avez pas créées, supprimez-les.

Si votre application utilise actuellement une clé d'accès, remplacez cette dernière par une nouvelle :

  1. Tout d'abord, créez une deuxième clé. Ensuite, modifiez votre application afin que la nouvelle clé soit utilisée.
  2. Désactivez (mais ne supprimez pas) la première clé.
  3. Si des problèmes se produisent avec votre application, réactivez la clé temporairement. Une fois que votre application est fonctionnelle et que la première clé est désactivée, supprimez cette dernière.
  4. Supprimez tous les utilisateurs IAM que vous n'avez pas créés.

Traitez les clés d'accès AWS de la même manière que les mots de passe d'un compte :

Pour savoir quel utilisateur IAM a créé une ressource et comment en restreindre l'accès, consultez la section Comment puis-je résoudre les problèmes relatifs à une activité inhabituelle des ressources avec mon compte AWS ?.

Supprimer tout utilisateur IAM potentiellement non autorisé

  1. Ouvrez la console IAM.
  2. Dans le volet de navigation, choisissez Users (Utilisateurs).
  3. Choisissez chaque utilisateur IAM dans la liste, puis recherchez, sous Permissions policies (Stratégies d'autorisation), la stratégie nommée AWSExposedCredentialPolicy_DO_NOT_REMOVE. Si l'utilisateur est associé à cette stratégie, vous devez le supprimer.
  4. Supprimez tous les utilisateurs IAM que vous n'avez pas créés.
  5. Modifiez le mot de passe des utilisateurs IAM que vous avez créés et que vous souhaitez conserver.

Suppression de toutes les ressources non reconnues ou non autorisées

Connectez-vous à votre compte AWS, puis assurez-vous que toutes les ressources de votre compte constituent des ressources que vous avez lancées. Assurez-vous de vérifier toutes les régions AWS, même celles dans lesquelles vous n'avez jamais lancé de ressources AWS. Prêtez une attention particulière aux éléments suivants :

Pour supprimer des fonctions et des couches Lambda, procédez comme suit :

  1. Ouvrez la console Lambda.
  2. Dans le volet de navigation, sélectionnez Fonctions.
  3. Sélectionnez les fonctions que vous souhaitez supprimer.
  4. Dans la section Actions, sélectionnez Supprimer.
  5. Dans le volet de navigation, sélectionnez Couches.
  6. Sélectionnez la couche que vous souhaitez supprimer.
  7. Sélectionnez Delete (Supprimer).

Pour plus d'informations sur la suppression d'une ressource associée à un service AWS en particulier, consultez Comment résilier toutes mes ressources avant de clôturer mon compte AWS ?

Contacter AWS Support

Si vous avez reçu une notification d'AWS concernant votre compte, connectez-vous au Centre AWS Support et répondez à la notification.

Si vous ne pouvez pas vous connecter à votre compte, utilisez le formulaire Contactez-nous pour demander de l'aide auprès d'AWS Support.

Si vous avez des questions ou des préoccupations, créez une nouvelle demande AWS Support dans le Centre AWS Support.

Remarque : n'incluez pas d'informations sensibles dans votre correspondance, telles que les clés d'accès AWS, les mots de passe ou les informations de carte de crédit.

Utilisation de projets AWS Git pour rechercher des preuves d'utilisation non autorisée

AWS propose des projets Git que vous pouvez installer et qui peuvent vous aider à protéger votre compte :

  • Git Secrets peut analyser les fusions et les validations et valider les messages pour obtenir des informations secrètes (c'est-à-dire, des clés d'accès). Si Git Secrets détecte des expressions régulières interdites, il peut refuser la publication de ces validations dans des référentiels publics.
  • Utilisez AWS Step Functions et AWS Lambda pour générer des événements Amazon CloudWatch Events à partir d'AWS Health ou d'AWS Trusted Advisor. Si vos clés d'accès semblent avoir été exposées, les projets peuvent vous aider à détecter, consigner et traiter automatiquement l'événement en question.