AWS アカウントで異常なリソースアクティビティをトラブルシューティングする方法を教えてください。

予期せずに開始された新しいサービスなどの不正なアカウントアクティビティは、AWS 認証情報が侵害されていることを示している可能性があります。悪意のあるユーザーは、認証情報を使用してアカウントにアクセスし、ポリシーで許可されているアクティビティを実行できます。詳細については、AWS アカウントが侵害された可能性がありますおよび AWS カスタマーアグリーメントをご覧ください。

侵害された IAM ユーザーとアクセスキーを特定します。次に、それらを無効にします。AWS CloudTrail を使用して、侵害された IAM ユーザーに関連付けられた API イベント履歴を検索します。

次の例では、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスが予期せず起動しました。

注意: これらの手順は、一時的なセキュリティ認証情報ではなく、長期的なセキュリティ認証情報に適用されます。一時的な認証情報を無効にするには、一時的なセキュリティ認証情報のアクセス許可を無効にするを参照してください。

Amazon EC2 インスタンス ID を特定する

1. Amazon EC2 コンソールを開き、[インスタンス] をクリックします。
2. EC2 インスタンスを選択し、[説明] タブを選択します。
3. インスタンス ID をコピーします。

インスタンスの起動に使用される IAM アクセスキー ID とユーザー名を見つける

1. CloudTrail コンソールを開き、[イベント履歴] を選択します。
2. [フィルター] ドロップダウンメニューを選択し、リソース名を選択します。
3. [リソース名の入力] フィールドに EC2 インスタンス ID を貼り付け、デバイスで Enter キーを押します。
4. RunInstances のイベント名を展開します。
5. AWS アクセスキーをコピーし、ユーザー名を書き留めます。

IAM ユーザーを無効にし、バックアップ IAM アクセスキーを作成してから、侵害されたアクセスキーを無効にする

1. IAM コンソールを開き、[検索 IAM] バーに IAM アクセスキー ID を貼り付けます。
2. ユーザー名を選択し、[セキュリティ認証情報] タブを選択します。
3. コンソールパスワードで、[管理] を選択します。
   注意: AWS マネジメントコンソールのパスワードが [無効] に設定されている場合は、このステップをスキップできます。
4. コンソールアクセスで、[無効]、[適用] を順に選択します。
   重要: アカウントが無効になっているユーザーは、AWS マネジメントコンソールにアクセスできません。ただし、ユーザーがアクティブなアクセスキーを持っている場合、API 呼び出しを使用して AWS サービスにアクセスできます。
5. 指示に従って、アプリケーション (コンソール) を中断せずに IAM ユーザーのアクセスキーを切り替えます。
6. 侵害された IAM アクセスキーについては、[非アクティブにする] を選択します。

侵害されたアクセスキーによるアクティビティの CloudTrail イベント履歴を確認する

1. CloudTrail コンソールを開き、ナビゲーションペインで [イベント履歴] を選択します。
2. [フィルター] ドロップダウンメニューを選択し、[AWS アクセスキー] フィルターを選択します。
3. [AWS アクセスキーを入力してください] フィールドに侵害を受けた IAM アクセスキー ID を入力します。
4. API 呼び出し RunInstances のイベント名を展開します。
   注意: 過去 90 日間のイベント履歴を表示できます。

CloudTrail イベント履歴を検索して、セキュリティグループまたはリソースがどのように変更されたか、および EC2 インスタンスを実行、停止、開始、終了する API 呼び出しを決定することもできます。

詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。