Pourquoi ai-je reçu des alertes de type de résultat Amazon GuardDuty UnauthorizedAccess:IAMUser/TorIPCaller ou Recon:IAMUser/TorIPCaller pour mon utilisateur ou rôle IAM ?
Lecture de 2 minute(s)
0
Amazon GuardDuty a détecté des alertes pour les types de résultats UnauthorizedAccess:IAMUser/TorIPCaller ou Recon:IAMUser/TorIPCaller.
Brève description
Les types de résultats UnauthorizedAccess : IAMUser/TorIPCaller et Recon : IAMUser/TorIPCaller indiquent que vos informations d'identification ou clés d'accès AWS Identity and Access Management (IAM) ont été utilisées pour effectuer une opération d'API vers AWS à partir d'une adresse IP de nœud de sortie Tor. Par exemple, vous pouvez obtenir cette erreur lorsque vous essayez de créer une instance Amazon Elastic Compute Cloud (Amazon EC2), de répertorier les ID de clé d'accès ou de modifier les autorisations IAM. Ces types de résultats peuvent également indiquer que les informations d'identification ou les clés d'accès IAM ont été associées à une activité non autorisée. Pour plus d'informations, consultez la section Recherche de types.
Résolution
Utilisez GuardDuty pour localiser la clé d'accès IAM et AWS CloudTrail pour identifier l'activité de l'API AWS.
Si vous confirmez que l'activité ne constitue pas une utilisation légitime des informations d'identification AWS, il est recommandé de partir du principe que toutes les informations d'identification AWS sont compromises. Suivez ces instructions pour corriger les informations d'identification AWS compromises.