Comment résoudre les problèmes d'activité inhabituelle des ressources avec mon compte AWS ?

Date de la dernière mise à jour : 10/09/2020

Je souhaite déterminer quel utilisateur AWS Identity and Access Management (IAM) a créé une ressource et en restreindre l'accès.

Brève description

Une activité de compte non autorisée, par exemple de nouveaux services lancés de manière inattendue, peut indiquer que vos informations d'identification AWS sont compromises. Une personne ayant des intentions malveillantes peut utiliser vos informations d'identification pour accéder à votre compte et effectuer les activités autorisées par les stratégies. Pour plus d'informations, consultez Que dois-je faire si je remarque une activité non autorisée dans mon compte AWS ? et le Contrat client AWS.  

Solution

Identifiez l'utilisateur IAM compromis et la clé d'accès. Ensuite, désactivez-les. Utilisez AWS CloudTrail pour rechercher l'historique des événements d'API associé à l'utilisateur IAM compromis.

Dans l'exemple suivant, une instance Amazon Elastic Compute Cloud (Amazon EC2) a été lancée de façon inattendue.

Remarque : ces instructions s'appliquent aux informations d'identification de sécurité à long terme, et non aux informations d'identification de sécurité temporaires. Pour désactiver les informations d'identification temporaires, consultez Désactivation des autorisations affectées aux informations d'identification de sécurité temporaires.

Identifier l'ID d'instance Amazon EC2

  1. Ouvrez la console Amazon EC2, puis sélectionnez Instances.
  2. Sélectionnez l'instance EC2, puis l'onglet Description.
  3. Copiez l'ID d'instance.

Rechercher l'ID de clé d'accès IAM et le nom d'utilisateur utilisés pour lancer l'instance

  1. Ouvrez la console CloudTrail, puis sélectionnez Historique des événements.
  2. Sélectionnez le menu déroulant Filter (Filtre), puis choisissez Resource name (Nom de la ressource).
  3. Dans le champ Enter resource name (Saisir le nom de la ressource), collez l'ID d'instance EC2, puis appuyez sur Entrée sur votre machine.
  4. Développez Nom de l'événement pour RunInstances.
  5. Copiez la clé d'accès AWS et notez le nom d'utilisateur.

Désactiver l'utilisateur IAM, créer une clé d'accès IAM de sauvegarde, puis désactiver la clé d'accès compromise

  1. Ouvrez la console IAM, puis collez l'ID de clé d'accès IAM dans la barre Rechercher IAM.
  2. Choisissez le nom d'utilisateur, puis choisissez l'onglet Security credentials (Informations d'identification de sécurité).
  3. Sous Console password (Mot de passe de la console), choisissez Manage (Gérer).
    Remarque : si le mot de passe AWS Management Console est défini sur Désactivé, vous pouvez ignorer cette étape.
  4. Dans Console access (Accès à la console), choisissez Disable (Désactiver), puis Apply (Appliquer).
    Important : les utilisateurs dont les comptes sont désactivés ne peuvent pas accéder à AWS Management Console. Toutefois, si l'utilisateur dispose de clés d'accès actives, il peut toujours accéder aux services AWS à l'aide d'appels d'API.
  5. Suivez les instructions pour effectuer une rotation des clés d'accès d'un utilisateur IAM sans interrompre vos applications (console).
  6. Pour la clé d'accès IAM compromise, sélectionnez Rendre inactif.

Vérifier l'historique des événements CloudTrail pour les activités liées à la clé d'accès compromise

  1. Ouvrez la console CloudTrail, puis sélectionnez Historique des événements dans le volet de navigation.
  2. Sélectionnez le menu déroulant Filtre, puis sélectionnez Filtre de clé d'accès AWS.
  3. Dans le champ Saisir une clé d'accès AWS, saisissez l'ID de clé d'accès IAM compromise.
  4. Développez Event name (Nom de l'événement) pour l'appel d'API RunInstances.
    Remarque : vous pouvez afficher l'historique des événements des 90 derniers jours.

Vous pouvez également effectuer une recherche dans l'historique des événements CloudTrail pour déterminer comment un groupe de sécurité ou une ressource a été modifié ainsi que les appels d'API qui exécutent, arrêtent, démarrent et résilient des instances EC2.

Pour plus d'informations, consultez Affichage des événements avec l'historique des événements CloudTrail.