Que faire si je remarque une activité non autorisée dans mon compte AWS ?

Dernière mise à jour : 25-08-2022

Je vois des ressources que je ne me souviens pas avoir créées dans la console de gestion AWS.

-ou-

J'ai reçu une notification m'informant que mes ressources ou mon compte AWS pourraient être corrompus.

Brève description

Si vous soupçonnez une activité non autorisée dans votre compte AWS, vérifiez tout d'abord si l'activité n'était pas autorisée en procédant comme suit :

  • Identifiez toutes les actions non autorisées effectuées par les identités AWS Identity and Access Management (IAM) dans votre compte.
  • Identifiez tout accès non autorisé ou toute modification de votre compte.
  • Identification de la création de ressources non autorisées.
  • Identifiez la création de toute ressource IAM non autorisée, telle que des rôles, des stratégies gérées ou des modifications de gestion telles que des comptes liés frauduleux créés dans votre organisation AWS.

Ensuite, si vous constatez une activité non autorisée, suivez les instructions de la section En cas d’activité non autorisée dans votre compte AWS de cet article.

Remarque : si vous ne pouvez pas vous connecter à votre compte, voir Que faire si je ne parviens pas à me connecter à ou à accéder à mon compte AWS ?

Résolution

Vérifiez s'il y a eu une activité non autorisée dans votre compte AWS

Identification de toutes les actions non autorisées effectuées par les identités IAM de votre compte

  1. Déterminez la dernière utilisation de chaque mot de passe ou clé d'accès utilisateur IAM. Pour obtenir des instructions, voir Obtention de rapports d'informations d’identification pour votre compte AWS.
  2. Déterminez quels utilisateurs, groupes d'utilisateurs, rôles et politiques IAM ont été utilisés récemment. Pour obtenir des instructions, voir Affichage des dernières informations consultées pour IAM.

Identification de tout accès non autorisé ou toute modification de votre compte

Pour connaître les instructions, voir Comment puis-je surveiller l'activité du compte d'utilisateurs et de rôles IAM ainsi que de clés d'accès AWS spécifiques ? Voir également Comment puis-je dépanner une activité des ressources inhabituelle sur mon compte AWS ?

Identification de la création de ressources ou d'utilisateurs IAM non autorisés

Pour identifier toute utilisation non autorisée de ressources, dont des services inattendus, des régions ou des frais imputés à votre compte, consultez les points suivants :

Remarque : vous pouvez également utiliser AWS Cost Explorer pour vérifier les frais et l'utilisation associés à votre compte AWS. Pour en savoir plus, reportez-vous à Comment utiliser Cost Explorer pour analyser mes dépenses et mon utilisation ?

En cas d’activité non autorisée dans votre compte AWS

Important : si vous avez reçu une notification d'AWS concernant une activité irrégulière sur votre compte, suivez d'abord les instructions suivantes. Puis, répondez à la notification dans le centre de support AWS en confirmant les actions que vous avez effectuées.

Rotation et suppression des clés d'accès de compte exposés

Vérifiez la notification d'activité irrégulière envoyée par AWS Support pour les clés d'accès de compte exposés. Si des clés sont répertoriées, procédez comme suit :

  1. Créez une nouvelle clé d'accès AWS.
  2. Modifiez votre application afin d’utiliser la nouvelle clé d’accès.
  3. Désactivez la clé d'accès d'origine.
    Important : ne supprimez pas encore la clé d'accès d'origine. Désactivez uniquement la clé d'accès d'origine.
  4. Vérifiez qu'il n'existe aucun problème concernant votre application. En cas de problème, réactivez temporairement la clé d'accès d'origine pour le résoudre.
  5. Si votre application est entièrement fonctionnelle après la désactivation de la clé d'accès d'origine, supprimez la clé d'accès d'origine.
  6. Supprimez les clés d'accès utilisateur racine du compte AWS dont vous n'avez plus besoin ou que vous n'avez pas créées.

Pour plus d'informations, consultez les Bonnes pratiques pour la gestion des clés d'accès AWS et Gestion des clés d'accès pour les utilisateurs IAM.

Rotation de toutes informations d’identification d'utilisateur IAM potentiellement non autorisé

  1. Ouvrez la console IAM.
  2. Dans le panneau de navigation de gauche, choisissez Users (Utilisateurs). La liste des utilisateurs IAM de votre compte AWS s’affiche.
  3. Choisissez le nom du premier utilisateur IAM de la liste. La page Summary (résumé) de l'utilisateur IAM s'ouvre.
  4. Dans l'onglet Permissions (autorisations), sous la section Permissions policies (politiques d’autorisation), recherchez une politique nommée AWSExposedCredentialPolicy_DO_NOT_REMOVE. Si cette politique est associée à l'utilisateur, effectuez une rotation des clés d'accès de l'utilisateur.
  5. Répétez les étapes 3 et 4 pour chaque utilisateur IAM de votre compte.
  6. Supprimez les utilisateurs IAM que vous n'avez pas créés.
  7. Modifiez le mot de passe pour tous les utilisateurs IAM que vous avez créés et que vous souhaitez conserver.

Si vous utilisez des informations d'identification de sécurité temporaires, alors consultez Révocation des informations d'identification de sécurité temporaires du rôle IAM.

Vérifiez vos journaux AWS CloudTrail pour détecter toute activité non autorisée

  1. Ouvrez la console AWS CloudTrail.
  2. Dans le panneau de navigation de gauche, cliquez sur Historique des événements.
  3. Vérifiez toute activité non autorisée, telle que la création de clés d'accès, de stratégies, de rôles ou d'informations d'identification de sécurité temporaires.
    Important : assurez-vous de vérifier l'heure de l'événement pour confirmer si les ressources ont été créées récemment et correspondent à l'activité irrégulière.
  4. Supprimez toutes les clés d'accès, stratégies, rôles ou informations d'identification de sécurité temporaires que vous avez identifiées comme non autorisées.

Pour plus d'informations, consultez Utilisation des CloudTrail.

Suppression des ressources non reconnues ou non autorisées

1.    Connectez-vous à la console de gestion AWS. Puis, vérifiez que toutes les ressources de votre compte sont des ressources que vous avez lancées. Assurez-vous de vérifier et de comparer l'utilisation du mois précédent à celle du mois en cours. Assurez-vous de rechercher des ressources dans toutes les régions AWS, même celles où vous n'avez jamais lancé de ressources. Prêtez également une attention particulière aux ressources suivantes :

2.    Supprimez les ressources non reconnues ou non autorisées. Pour connaître les instructions, reportez-vous à Comment puis-je résilier les ressources actives dont je n'ai plus besoin sur mon compte AWS ?

Important : si vous devez conserver des ressources pour l'investigation, pensez à les sauvegarder. Par exemple, si vous devez conserver une instance EC2 pour des raisons réglementaires, de conformité ou juridiques, créez un instantané Amazon EBS avant de mettre fin à l'instance.

Restauration de ressources sauvegardées

Si vous avez configuré des services pour conserver des sauvegardes, récupérez ces sauvegardes depuis leur dernier état non compromis connu.

Pour plus d'informations sur la restauration des types spécifiques de ressources AWS, consultez les rubriques suivantes :

Vérifier les informations de votre compte

Vérifiez que toutes les informations ci-après sont correctes dans votre compte AWS :

Remarque : pour plus d'informations sur les bonnes pratiques de sécurité de compte AWS, voir Quelles sont les bonnes pratiques pour sécuriser mon compte AWS et ses ressources ?