Perché ho ricevuto l'avviso del tipo di risultato GuardDuty UnauthorizedAccess:iamUser/InstanceCredentialexfiltration.outsideAWS per la mia istanza Amazon EC2?

2 minuti di lettura
0

Amazon GuardDuty ha rilevato avvisi relativi al tipo di risultato UnauthorizedAccess:iamUser/InstanceCredentialexfiltration.outsideAWS.

Breve descrizione

Il tipo di ricerca GuardDuty UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS indica che le credenziali AWS create esclusivamente per un'istanza Amazon Elastic Compute Cloud (Amazon EC2) tramite un ruolo di avvio dell'istanza vengono utilizzate da un indirizzo IP esterno.

Risoluzione

Segui le istruzioni per visualizzare e analizzare i risultati di GuardDuty. Quindi, nel riquadro dei dettagli dei risultati, annota l'indirizzo IP esterno e il nome utente IAM.

L'indirizzo IP esterno è sicuro

Se l'indirizzo IP esterno è di tua proprietà o di qualcuno di cui ti fidi, puoi archiviare automaticamente i risultati con una regola di soppressione.

L'indirizzo IP esterno è dannoso

  1. Se l'indirizzo IP esterno è dannoso, puoi negare tutte le autorizzazioni all'utente IAM.

Nota: Le autorizzazioni per l'utente IAM sono negate per tutte le istanze EC2.

  1. Crea una policy IAM con un rifiuto esplicito per bloccare l'accesso all'istanza EC2 per l'utente IAM simile alla seguente:

Nota: Sostituisci your-roleID e your-role-session-name con l'ID principale.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:userId": "your-roleId:your-role-session-name"
        }
      }
    }
  ]
}
  1. Segui le istruzioni per correggere un'istanza EC2 compromessa.

Nota: Come best practice di sicurezza, assicurati di richiedere l'uso di IMDSv2 su un'istanza esistente.


AWS UFFICIALE
AWS UFFICIALEAggiornata 2 anni fa