Pourquoi ai-je reçu des alertes de type de résultat Amazon GuardDuty UnauthorizedAccess:IAMUser/TorIPCaller ou Recon:IAMUser/TorIPCaller pour mon utilisateur ou rôle IAM ?

Date de la dernière mise à jour : 16/12/2020

Amazon GuardDuty a détecté des alertes pour les types de résultats UnauthorizedAccess:IAMUser/TorIPCaller ou Recon:IAMUser/TorIPCaller.

Brève description

Les types de résultats UnauthorizedAccess : IAMUser/TorIPCaller et Recon : IAMUser/TorIPCaller indiquent que vos informations d'identification ou clés d'accès AWS Identity and Access Management (IAM) ont été utilisées pour effectuer une opération d'API vers AWS à partir d'une adresse IP de nœud de sortie Tor. Par exemple, vous pouvez obtenir cette erreur lorsque vous essayez de créer une instance EC2, de répertorier les ID de clé d'accès ou de modifier les autorisations IAM. Ces types de résultats peuvent également indiquer que les informations d'identification ou les clés d'accès IAM ont une activité non autorisée. Pour plus d'informations, consultez les résultats basées sur AWS CloudTrail.

Résolution

Utilisez GuardDuty pour localiser la clé d'accès IAM et AWS CloudTrail pour identifier l'activité de l'API AWS.

  1. Suivez les instructions pour afficher et analyser vos résultats GuardDuty.
  2. Dans le volet de détails des résultats, notez l'ID de clé d'accès IAM.
  3. Suivez les instructions pour rechercher l’activité API de clé d’accès IAM à l’aide de CloudTrail.
  4. Suivez les instructions pour déterminer si les informations d'identification de l'entité IAM ont été utilisées légitimement.

Si vous confirmez que l'activité n'est pas une utilisation légitime des informations d'identification AWS, consultez Que dois-je faire si je remarque une activité non autorisée dans mon compte AWS ?


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?