Amazon EC2 인스턴스에 대해 GuardDuty 검색 유형 알림 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS가 수신된 이유는 무엇입니까?

최종 업데이트 날짜: 2022년 6월 16일

Amazon GuardDuty에서 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS 검색 유형에 대한 알림을 감지했습니다.

간략한 설명

해결 방법

지침에 따라 GuardDuty 검색을 보고 분석합니다. 그런 다음, 검색 세부 정보 창에서 외부 IP 주소와 IAM 사용자 이름을 기록해 둡니다.

외부 IP 주소가 안전합니다.

외부 IP 주소를 본인 또는 신뢰할 수 있는 사람이 소유한 경우, 억제 규칙을 사용하여 검색을 자동 보관할 수 있습니다.

외부 IP 주소가 악의적입니다.

1. 외부 IP 주소가 악의적인 경우, IAM 사용자에 대한 모든 권한을 거부할 수 있습니다.

참고: 모든 EC2 인스턴스에 대해 IAM 사용자에 대한 권한이 거부됩니다.

2. 명시적 거부로 IAM 정책을 생성하여 다음과 유사하게 IAM 사용자에 대해 EC2 인스턴스에 대한 액세스를 차단합니다.

참고: your-roleIDyour-role-session-name을 보안 주체 ID로 바꾸십시오.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:userId": "your-roleId:your-role-session-name"
        }
      }
    }
  ]
}

3. 지침에 따라 침해된 EC2 인스턴스 복구를 하십시오.

참고: 보안 모범 사례에 따라 기존 인스턴스에서 IMDSv2를 사용해야 합니다.


이 문서가 도움이 되었나요?


결제 또는 기술 지원이 필요합니까?