Amazon EC2 インスタンスの GuardDuty 検出結果タイプアラート UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration を受け取ったのはなぜですか?

最終更新日: 2020 年 9 月 30 日

Amazon GuardDuty は、UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration 検出結果タイプのアラートを検出しました。

簡単な説明

GuardDuty の検出結果タイプ UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration は、インスタンス起動ロールを通じて Amazon Elastic Compute Cloud (Amazon EC2) インスタンス専用に作成された AWS 認証情報が外部 IP アドレスから使用されていることを示します。</p

解決方法

手順に従って、GuardDuty の検出結果を表示および分析します。その後、検出結果の詳細ペインで、外部 IP アドレスと IAM ユーザー名をメモします。

外部 IP アドレスは安全

外部 IP アドレスの所有者が自分または信頼する人である場合、サプレッションルールを使用して検出結果を自動アーカイブできます。

外部 IP アドレスは悪意がある

1.    外部 IP アドレスが悪意のある場合、IAM ユーザーへのすべてのアクセス許可を拒否できます。

注意: IAM ユーザーのアクセス許可は、すべての EC2 インスタンスで拒否されます。

2.    次のような IAM ユーザーの EC2 インスタンスへのアクセスをブロックする明示的な拒否を持つ IAM ポリシーを作成します。

注意: your-roleIDyour-role-session-name をプリンシパル ID に置き換えます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:userId": "your-roleId:your-role-session-name"
        }
      }
    }
  ]
}

3.    侵害された EC2 インスタンスの修正の手順に従います。

注意: セキュリティのベストプラクティスとして、必ず既存のインスタンスで IMDSv2 を使用することを求めてください。</p

この記事はお役に立ちましたか?

フィードバックを送信

請求に関するサポートまたは技術サポートが必要ですか?

AWS サポートにお問い合わせください