Que faire si je remarque une activité non autorisée dans mon compte AWS ?

Date de la dernière mise à jour : 27/04/2021

Je vois des ressources que je ne me souviens pas avoir créées dans la console de gestion AWS.

-ou-

J'ai reçu une notification m'informant que mes ressources ou mon compte AWS pourraient être corrompus. Que dois-je faire ?

Brève description

Remarque : si vous ne pouvez pas accéder à votre compte, utilisez le formulaire de la section Contactez-nous pour demander de l'aide à AWS Support. Le formulaire comprend également des instructions sur la façon de réinitialiser votre mot de passe.

Si vous constatez une activité non autorisée dans votre compte AWS ou si vous pensez qu'une partie non autorisée a accédé à votre compte, procédez comme suit :

Solution

Modification et suppression de toutes les clés d'accès AWS

Si votre application utilise actuellement une clé d'accès, remplacez cette dernière par une nouvelle clé :

  1. Tout d'abord, créez une deuxième clé. Ensuite, modifiez votre application afin que la nouvelle clé soit utilisée.
  2. Désactivez (mais ne supprimez pas) la première clé.
  3. Si vous rencontrez des problèmes lors de l'utilisation de l'application, réactivez temporairement cette clé. Lorsque votre application est entièrement fonctionnelle et que la première clé est à l'état désactivé, supprimez la première clé.
  4. Supprimez les utilisateurs IAM que vous n'avez pas créés.

Vous pouvez supprimer les clés d'accès que votre application n'utilise plus :

Traitez les clés d'accès AWS de la même manière que les mots de passe d'un compte :

Pour savoir quel utilisateur IAM a créé une ressource et comment en restreindre l'accès, consultez la section Comment puis-je résoudre les problèmes relatifs à une activité inhabituelle des ressources avec mon compte AWS ?

Faites la rotation de tout identifiant d'utilisateur IAM potentiellement non autorisé

  1. Ouvrez la console IAM.
  2. Dans le panneau de navigation, choisissez Utilisateurs.
  3. Sélectionnez chaque utilisateur IAM de la liste, puis recherchez sous Stratégies d'autorisation une stratégie nommée AWSExposedCredentialPolicy_DO_NOT_REMOVE. Si l'utilisateur a cette stratégie attachée, vous devez faire la rotation des clés d'accès de l'utilisateur.
  4. Supprimez les utilisateurs IAM que vous n'avez pas créés.
  5. Modifiez le mot de passe des utilisateurs IAM que vous avez créés et que vous souhaitez conserver.

Vérifier votre facture

La page Factures de la console de gestion AWS répertorie tous les frais pour toutes les ressources de votre compte. Vérifiez votre facture pour les éléments suivants :

  • Services AWS que vous n'utilisez pas normalement
  • Ressources dans des régions AWS que vous n'utilisez pas normalement
  • Un changement important dans la taille de votre facture

Vous pouvez utiliser ces informations pour vous aider à supprimer ou à mettre fin à toutes les ressources que vous ne souhaitez pas conserver.

Suppression des ressources non reconnues ou non autorisées

Connectez-vous à votre compte AWS, puis assurez-vous que toutes les ressources de votre compte constituent des ressources que vous avez lancées. Assurez-vous de vérifier toutes les régions AWS, même celles dans lesquelles vous n'avez jamais lancé de ressources AWS.

Important : si vous avez besoin de conserver des ressources pour l'enquête, envisagez de les sauvegarder. Par exemple, si vous êtes soumis à une obligation réglementaire, normalisée ou légale de conserver une instance EC2, prenez un instantané EBS avant de mettre fin à l'instance.

Prêtez une attention particulière aux ressources suivantes :

Pour supprimer des fonctions et des couches Lambda, procédez comme suit :

  1. Ouvrez la console Lambda.
  2. Dans le volet de navigation, sélectionnez Fonctions.
  3. Sélectionnez les fonctions que vous souhaitez supprimer.
  4. Dans la section Actions, sélectionnez Supprimer.
  5. Dans le volet de navigation, sélectionnez Couches.
  6. Sélectionnez la couche que vous souhaitez supprimer.
  7. Sélectionnez Delete (Supprimer).

Pour plus d'informations sur la suppression d'une ressource associée à un service AWS en particulier, consultez Comment résilier toutes mes ressources avant de clôturer mon compte AWS ?

Activer l'authentification MFA

Pour une sécurité accrue, il est recommandé de configurer l’authentification MFA pour protéger vos ressources AWS. Vous pouvez activer l'authentification MFA pour les utilisateurs IAM ou l'utilisateur racine du compte AWS. L'activation d'authentification MFA pour l'utilisateur racine affecte uniquement les informations d'identification de l'utilisateur racine. Les utilisateurs IAM du compte sont des identités distinctes avec leurs propres informations d'identification, et chaque identité possède sa propre configuration d'authentification MFA.

Pour plus d'informations, consultez Activation d'un appareil virtuel (console)de Multi-Factor Authentication (MFA)(authentification multi-facteur).

Vérifier les informations de votre compte

AWS a besoin d'informations précises sur votre compte afin de vous contacter et de vous aider à résoudre les problèmes de compte. Vérifiez que les informations figurant sur votre compte sont correctes.

  1. Le nom du compte et l'adresse e-mail.
  2. Vos coordonnées, en particulier votre numéro de téléphone.
  3. Les contacts alternatifs de votre compte.

Contactez AWS Support

Si vous avez reçu une notification d'AWS concernant votre compte, connectez-vous au Centre AWS Support et répondez à la notification.

Si vous ne pouvez pas accéder à votre compte, utilisez le formulaire de la section Contactez-nous pour demander de l'aide à AWS Support.

Si vous avez des questions ou des préoccupations, créez une nouvelle demande AWS Support dans le Centre AWS Support.

Remarque : n'incluez pas d'informations sensibles dans votre correspondance, telles que les clés d'accès AWS, les mots de passe ou les informations de carte de crédit.

Utilisation de projets AWS Git pour rechercher des preuves d'utilisation non autorisée

AWS propose des projets Git que vous pouvez installer et qui peuvent vous aider à protéger votre compte :

  • Git Secrets peut analyser les fusions et les validations et valider les messages pour obtenir des informations secrètes (c'est-à-dire, des clés d'accès). Si Git Secrets détecte des expressions régulières interdites, il peut empêcher la publication de ces validations sur des référentiels publics.
  • Utilisez AWS Step Functions et AWS Lambda pour générer Amazon CloudWatch Events à partir d'AWS Health ou par AWS Trusted Advisor. Si vos clés d'accès semblent avoir été exposées, les projets peuvent vous aider à détecter, consigner et traiter automatiquement l'événement en question.

Évitez d'utiliser l'utilisateur racine pour les opérations quotidiennes

La clé d'accès de l'utilisateur racine de votre compte AWS donne un accès complet à toutes vos ressources AWS, y compris vos informations de facturation. Vous ne pouvez pas réduire les autorisations associées à la clé d'accès utilisateur racine de votre compte AWS. Il est recommandé de ne pas utiliser l'accès utilisateur racine à moins que cela ne soit absolument nécessaire.

Si vous ne disposez pas déjà d'une clé d'accès pour l'utilisateur racine de votre compte AWS, n'en créez pas, sauf si c'est absolument nécessaire. Au lieu de cela, créez un utilisateur IAM pour vous-même avec des autorisations administratives. Vous pouvez vous connecter à AWS Management Console avec l'adresse e-mail et le mot de passe de votre compte AWS pour créer un utilisateur IAM.

Pour plus d'informations, consultez Verrouillez les clés d'accès utilisateur racine de votre compte AWS.

Suivez les meilleures pratiques de sécurité AWS

Pour plus d'informations sur les bonnes pratiques à prendre en compte lors de la sécurisation de votre compte et de ses ressources, consultez Quelles sont les bonnes pratiques pour sécuriser mon compte AWS et ses ressources ? Cependant, certaines de ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement. Ces bonnes pratiques en matière de sécurité doivent être considérées comme des directives générales plutôt que comme une solution de sécurité complète.