IAM 사용자 또는 역할에 대해 Amazon GuardDuty 결과 유형 UnauthorizedAccess:IAMUser/TorIPCaller 또는 Recon:IAMUser/TorIPCaller 알림을 받은 이유는 무엇입니까?

최종 업데이트 날짜: 2020년 12월 16일

Amazon GuardDuty에서 UnauthorizedAccess:IAMUser/TorIPCaller 또는 Recon:IAMUser/TorIPCaller 결과 유형에 대한 알림을 감지했습니다.

간략한 설명

UnauthorizedAccess:IAMUser/TorIPCallerRecon:IAMUser/TorIPCaller 결과 유형은 Tor 출구 노드 IP 주소에서 AWS로 API 작업을 수행하는 데 AWS Identity and Access Management(IAM) 자격 증명 또는 액세스 키가 사용되었음을 나타냅니다. 예를 들어 EC2 인스턴스를 생성하거나, 액세스 키 ID를 나열하거나, IAM 권한을 수정하려고 할 때 이 오류가 발생할 수 있습니다. 이러한 결과 유형은 IAM 자격 증명 또는 액세스 키에 승인되지 않은 활동이 있음을 나타낼 수도 있습니다. 자세한 내용은 AWS CloudTrail 기반 검색 결과를참조하세요.

해결 방법

GuardDuty를 사용하여 IAM 액세스 키를 찾고 AWS CloudTrail을 사용하여 AWS API 활동을 식별합니다.

  1. 지침에 따라 GuardDuty 검색을 보고 분석합니다.
  2. 결과 세부 정보 창에 있는 IAM 액세스 키 ID를 적어둡니다.
  3. 지침을 따라 CloudTrail을 사용하여 IAM 액세스 키 API 활동을 검색합니다.
  4. 지침에 따라 IAM 엔터티 자격 증명이 합법적으로 사용되었는지 확인합니다.

해당 활동이 AWS 자격 증명을 합법적으로 사용하지 않는지를 확인하는 경우 AWS 계정에서 승인되지 않은 활동이 발견되면 어떻게 해야 합니까?를 참조하세요.


이 문서가 도움이 되었나요?


결제 또는 기술 지원이 필요합니까?