Pourquoi ai-je reçu des alertes de type de résultat Amazon GuardDuty UnauthorizedAccess : IAMUser/TorIPCaller ou Recon : IAMUser/TorIPCaller pour mon utilisateur ou rôle IAM ?

Date de la dernière mise à jour : 19/02/2020

Amazon GuardDuty a détecté des alertes pour les types de résultats UnauthorizedAccess : IAMUser/TorIPCaller ou Recon : IAMUser/TorIPCaller .

Brève description

Les types de résultats UnauthorizedAccess : IAMUser/TorIPCaller et Recon : IAMUser/TorIPCaller indiquent que vos informations d'identification ou clés d'accès AWS Identity and Access Management (IAM) ont été utilisées pour effectuer une opération d'API vers AWS à partir d'une adresse IP de nœud de sortie Tor. Par exemple, vous pouvez obtenir cette erreur lorsque vous essayez de créer une instance EC2, de répertorier les ID de clé d'accès ou de modifier les autorisations IAM. Ces types de résultats peuvent également indiquer que les informations d'identification d'identité IAM ou les clés d'accès sont compromises. Pour plus d'informations, consultez Une API a été appelée à partir d'une adresse IP de nœud de sortie Tor.

Solution

Utilisez GuardDuty pour localiser la clé d'accès IAM et AWS CloudTrail pour identifier l'activité de l'API AWS.

  1. Suivez les instructions pour afficher et analyser vos résultats GuardDuty.
  2. Dans le volet de détails des résultats, notez l'ID de clé d'accès IAM.
  3. Suivez les instructions pour rechercher l’activité API de clé d’accès IAM à l’aide de CloudTrail.
  4. Suivez les instructions pour corriger les informations d'identification AWS compromises.
  5. Si vous confirmez que l'activité n'est pas une utilisation légitime des informations d'identificationAWS, consultez Mon compte AWS peut être compromis.

Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d’aide ?