Amazon EC2 インスタンスの GuardDuty 結果タイプアラート UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration を受け取ったのはなぜですか?
最終更新日: 2020 年 2 月 20 日
Amazon GuardDuty は、UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration 結果タイプのアラートを検出しました。
簡単な説明
GuardDuty の結果タイプ UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration は、インスタンス起動ロールを通じて Amazon Elastic Compute Cloud (Amazon EC2) インスタンス専用に作成された AWS 認証情報が外部 IP アドレスから使用されていることを示します。
この結果タイプは、次の場合にも発生する可能性があります。
- EC2 インスタンスに、Amazon Virtual Private Cloud (Amazon VPC) またはローカルルートテーブルが設定されたプロキシがある場合。
- EC2 インスタンスのルートテーブルに、NAT インスタンスまたは NAT ゲートウェイがある場合。
- EC2 インスタンスの Amazon VPC がパブリック IP アドレスを使用している場合。
解決方法
1. 手順に従って、GuardDuty の結果を表示および分析します。
2. 結果の詳細ペインで、外部 IP アドレスと IAM ユーザー名をメモします。
3. 外部 IP アドレスの所有者が自分または信頼する人である場合、サプレッションルールを使用して結果を自動アーカイブできます。
4. 外部 IP アドレスが悪意のある場合、IAM ユーザーへのすべてのアクセス許可を拒否できます。
注: IAM ユーザーのアクセス許可は、すべての EC2 インスタンスで拒否されます。
5. 次のような IAM ユーザーの EC2 インスタンスへのアクセスをブロックする明示的な Deny を持つ IAM ポリシーを作成します。
注: your-roleID と your-role-session-name をプリンシパル ID に置き換えます。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"*"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:userId": "your-roleId:your-role-session-name"
}
}
}
]
}6. 侵害された EC2 インスタンスの修正する手順に従います。
注: セキュリティのベストプラクティスとして、必ず既存のインスタンスで IMDSv2 を使用することを求めてください。