IAM 사용자 또는 역할에 대해 Amazon GuardDuty 결과 유형 UnauthorizedAccess:IAMUser/TorIPCaller 또는 Recon:IAMUser/TorIPCaller 알림을 받은 이유는 무엇입니까?

최종 업데이트 날짜: 2020년 2월 19일

Amazon GuardDuty에서 UnauthorizedAccess:IAMUser/TorIPCaller 또는 Recon:IAMUser/TorIPCaller 결과 유형에 대한 알림을 감지했습니다.

간략한 설명

UnauthorizedAccess:IAMUser/TorIPCallerRecon:IAMUser/TorIPCaller 결과 유형은 Tor 출구 노드 IP 주소에서 AWS로 API 작업을 수행하는 데 AWS Identity and Access Management(IAM) 자격 증명 또는 액세스 키가 사용되었음을 나타냅니다. 예를 들어 EC2 인스턴스를 생성하거나, 액세스 키 ID를 나열하거나, IAM 권한을 수정하려고 할 때 이 오류가 발생할 수 있습니다. 이러한 결과 유형은 IAM 자격 증명 또는 액세스 키가 손상되었음을 나타낼 수도 있습니다. 자세한 내용은 Tor 출구 노드(Tor exit node) IP 주소에서 API가 호출되었습니다를 참조하십시오.

​해결 방법

GuardDuty를 사용하여 IAM 액세스 키를 찾고 AWS CloudTrail을 사용하여 AWS API 활동을 식별합니다.

  1. 지침에 따라 GuardDuty 결과를 보고 분석합니다.
  2. 결과 세부 정보 창에 있는 IAM 액세스 키 ID를 적어 둡니다.
  3. 지침을 따라 CloudTrail을 사용하여 IAM 액세스 키 API 활동을 검색합니다.
  4. 지침을 따라 손상된 AWS 자격 증명 문제를 해결합니다.
  5. 활동이 AWS 자격 증명의 합법적인 사용이 아님을 확인한 경우 내 AWS 계정이 침해되었을 수 있음을 참조하십시오.

이 문서가 도움이 되었습니까?

AWS에서 개선해야 할 부분이 있습니까?


도움이 필요하십니까?