Por que recebi o alerta do tipo de descoberta do GuardDuty UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS para minha instância do Amazon EC2?
O Amazon GuardDuty detectou alertas para o tipo de descoberta UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS.
Breve descrição
O tipo de descoberta do GuardDuty UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS indica que as credenciais da AWS que foram criadas exclusivamente para uma instância do Amazon Elastic Compute Cloud (Amazon EC2) por meio de uma função de lançamento de instância estão sendo usadas de um endereço IP externo.
Resolução
Siga as instruções para visualizar e analisar suas descobertas do GuardDuty. Em seguida, no painel de detalhes das descobertas, anote o endereço IP externo e o nome de usuário do IAM.
O endereço IP externo é seguro
Se o endereço IP externo for de sua propriedade ou de alguém em quem você confia, você poderá arquivar automaticamente as descobertas com uma regra de supressão.
O endereço IP externo é malicioso
- Se o endereço IP externo for malicioso, você poderá negar todas as permissões ao usuário do IAM.
Observação: as permissões para o usuário do IAM são negadas para todas as instâncias do EC2.
- Crie uma política do IAM com uma negação explícita para bloquear o acesso à instância do EC2 para o usuário do IAM, semelhante à seguinte:
Observação: substitua your-roleID e your-role-session-name pelo ID principal.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "*" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:userId": "your-roleId:your-role-session-name" } } } ] }
- Siga as instruções para remediar uma instância do EC2 comprometida.
**Observação:**Como boa prática de segurança, certifique-se de exigir o uso do IMDSv2 em uma instância existente.
Conteúdo relevante
- AWS OFICIALAtualizada há 2 anos