Por que recebi alertas do tipo de descoberta UnauthorizedAccess:IAMUser/TorIPCaller ou Recon:IAMUser/TorIPCaller do GuardDuty para meu usuário ou função do IAM?
2 minuto de leitura
0
O Amazon GuardDuty detectou alertas para os tipos de busca UnauthorizedAccess:IAMUser/TorIPCaller ou Recon:IAMUser/TorIPCaller.
Breve descrição
Os tipos de descoberta UnauthorizedAccess:IAMUser/TorIPCaller e Recon:IAMUser/TorIPCaller indicam que suas credenciais de identidade ou chaves de acesso do AWS Identity and Access Management (IAM) foram usadas para fazer uma operação de API para a AWS a partir de um endereço IP de nó de saída do Tor. Por exemplo, você pode receber esse erro ao tentar criar uma instância do Amazon Elastic Compute Cloud (Amazon EC2), listar IDs de chave de acesso ou modificar as permissões do IAM. Esses tipos de descoberta também podem indicar que as credenciais de identidade ou chaves de acesso do IAM foram associadas a atividades não autorizadas. Para obter mais informações, consulte Tipos de descoberta.
Resolução
Use o GuardDuty para localizar a chave de acesso do IAM, e o AWS CloudTrail para identificar a atividade da API da AWS.
Se você confirmar que a atividade não é um uso legítimo das credenciais da AWS, é uma boa prática de segurança presumir que todas as credenciais da AWS estão comprometidas. Siga estas instruções para corrigir as credenciais comprometidas da AWS.