Pourquoi ai-je reçu des alertes de type de résultat Amazon GuardDuty UnauthorizedAccess:IAMUser/TorIPCaller ou Recon:IAMUser/TorIPCaller pour mon utilisateur ou rôle IAM ?

Lecture de 2 minute(s)

Amazon GuardDuty a détecté des alertes pour les types de résultats UnauthorizedAccess:IAMUser/TorIPCaller ou Recon:IAMUser/TorIPCaller.

Brève description

Les types de résultats UnauthorizedAccess : IAMUser/TorIPCaller et Recon : IAMUser/TorIPCaller indiquent que vos informations d'identification ou clés d'accès AWS Identity and Access Management (IAM) ont été utilisées pour effectuer une opération d'API vers AWS à partir d'une adresse IP de nœud de sortie Tor. Par exemple, vous pouvez obtenir cette erreur lorsque vous essayez de créer une instance Amazon Elastic Compute Cloud (Amazon EC2), de répertorier les ID de clé d'accès ou de modifier les autorisations IAM. Ces types de résultats peuvent également indiquer que les informations d'identification ou les clés d'accès IAM ont été associées à une activité non autorisée. Pour plus d'informations, consultez la section Recherche de types.

Résolution

Utilisez GuardDuty pour localiser la clé d'accès IAM et AWS CloudTrail pour identifier l'activité de l'API AWS.

Suivez les instructions pour localiser et analyser les résultats de GuardDuty.
Dans le volet de détails des résultats, notez l'ID de clé d'accès IAM.
Suivez les instructions pour rechercher l’activité API de clé d’accès IAM à l’aide de CloudTrail.

Si vous confirmez que l'activité constitue une utilisation légitime des informations d'identification AWS, vous pouvez :

Ignorez le type de découverte.
Archivez le type de découverte.
Créez des règles de suppression pour archiver automatiquement les nouveaux types de résultats.

Si vous confirmez que l'activité ne constitue pas une utilisation légitime des informations d'identification AWS, il est recommandé de partir du principe que toutes les informations d'identification AWS sont compromises. Suivez ces instructions pour corriger les informations d'identification AWS compromises.

Pour plus d'informations, consultez Que dois-je faire si je remarque une activité non autorisée dans mon compte AWS ?

Informations connexes

Que faire si vous exposez par inadvertance une clé d'accès AWS

Sujets

Sécurité, identité et conformité

Balises

Amazon GuardDuty

Langue

Français

AWS OFFICIELA mis à jour il y a un an

Aucun commentaire

Contenus pertinents

Où trouver l'état des SMS envoyés pour le MFA ?
Réponse acceptée
Nicolas
demandé il y a 9 mois
Comment changer l'émetteur utilisé pour envoyer les SMS ?
Nicolas
demandé il y a 9 mois
Serais-je facturée pour des tâches d'étiquetage qui ont été stoppées ?
ldelb
demandé il y a un an
Impossible de stop mon instance SageMaker
rePost-User-9472894
demandé il y a un an
Problème de facturation au niveau des instances réservée
Kevin
demandé il y a 5 mois
Pourquoi ai-je reçu l'alerte de type de résultat Recon:EC2/PortProbeUnprotectedPort de GuardDuty pour mon instance Amazon EC2 ?
AWS OFFICIELA mis à jour il y a 2 ans
Pourquoi ai-je reçu un type de résultat CryptoCurrency d'Amazon GuardDuty pour mon instance Amazon EC2 ?
AWS OFFICIELA mis à jour il y a 2 ans
Pourquoi ai-je reçu l'alerte de type résultat GuardDuty UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS pour mon instance Amazon EC2 ?
AWS OFFICIELA mis à jour il y a 2 ans
Pourquoi ai-je reçu un type de résultat déni de service Amazon GuardDuty pour mon instance Amazon EC2 ?
AWS OFFICIELA mis à jour il y a un an