Pourquoi ai-je reçu des alertes de type de résultat Amazon GuardDuty UnauthorizedAccess:IAMUser/TorIPCaller ou Recon:IAMUser/TorIPCaller pour mon utilisateur ou rôle IAM ?

Dernière mise à jour : 23/11/2022

Amazon GuardDuty a détecté des alertes pour les types de résultats UnauthorizedAccess:IAMUser/TorIPCaller ou Recon:IAMUser/TorIPCaller.

Brève description

Les types de résultats UnauthorizedAccess : IAMUser/TorIPCaller et Recon : IAMUser/TorIPCaller indiquent que vos informations d'identification ou clés d'accès AWS Identity and Access Management (IAM) ont été utilisées pour effectuer une opération d'API vers AWS à partir d'une adresse IP de nœud de sortie Tor. Par exemple, vous pouvez obtenir cette erreur lorsque vous essayez de créer une instance Amazon Elastic Compute Cloud (Amazon EC2), de répertorier les ID de clé d'accès ou de modifier les autorisations IAM. Ces types de résultats peuvent également indiquer que les informations d'identification ou les clés d'accès IAM ont été associées à une activité non autorisée. Pour plus d'informations, consultez la section Recherche de types.

Résolution

Utilisez GuardDuty pour localiser la clé d'accès IAM et AWS CloudTrail pour identifier l'activité de l'API AWS.

  1. Suivez les instructions pour localiser et analyser les résultats de GuardDuty.
  2. Dans le volet de détails des résultats, notez l'ID de clé d'accès IAM.
  3. Suivez les instructions pour rechercher l’activité API de clé d’accès IAM à l’aide de CloudTrail.

Si vous confirmez que l'activité constitue une utilisation légitime des informations d'identification AWS, vous pouvez :

Si vous confirmez que l'activité ne constitue pas une utilisation légitime des informations d'identification AWS, il est recommandé de partir du principe que toutes les informations d'identification AWS sont compromises. Suivez ces instructions pour corriger les informations d'identification AWS compromises.

Pour plus d'informations, consultez Que dois-je faire si je remarque une activité non autorisée dans mon compte AWS ?


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?