Pourquoi ai-je reçu l'alerte de type de résultat GuardDuty UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration pour mon instance Amazon EC2 ?

Dernière mise à jour : 30/09/2020

Amazon GuardDuty a détecté des alertes pour le type de résultat UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.

Brève description

Résolution

Suivez les instructions pour afficher et analyser vos résultats GuardDuty. Ensuite, dans le volet de détails des résultats, notez l'adresse IP externe et le nom d'utilisateur IAM.

L'adresse IP externe est sûre

Si l'adresse IP externe vous appartient ou appartient à une personne de confiance, vous pouvez archiver automatiquement les résultats avec une règle de suppression.

L'adresse IP externe est malveillante

1.    Si l'adresse IP externe est malveillante, vous pouvez refuser toutes les autorisations à l'utilisateur IAM.

Remarque : les autorisations pour l'utilisateur IAM sont refusées pour toutes les instances EC2.

2.    Créez une stratégie IAM avec un refus explicite pour bloquer l'accès à l'instance EC2 pour l'utilisateur IAM, de la manière suivante :

Remarque : remplacez your-roleID et your-role-session-name par l'ID principal.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:userId": "your-roleId:your-role-session-name"
        }
      }
    }
  ]
}

3.    Suivez les instructions pour corriger une instance EC2 compromise.

Remarque : comme bonne pratique de sécurité, veillez à exiger l'utilisation d'IMDSv2 sur une instance existante.</p


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?