Como resolvo problemas de atividades incomuns de recursos com minha conta da AWS?

Resumo

Atividades não autorizadas da conta, como novos serviços lançados inesperadamente, podem indicar que suas credenciais da AWS estão comprometidas. Alguém com intenção maliciosa pode usar suas credenciais para acessar sua conta e realizar atividades permitidas pelas políticas. Para obter mais informações, consulte O que eu faço se notar uma atividade não autorizada em minha conta da AWS?

Resolução

Identifique o usuário e a chave de acesso do IAM comprometidos e, em seguida, desative-os. Em seguida, use o AWS CloudTrail para pesquisar o histórico de eventos da API associado ao usuário do IAM comprometido.

No exemplo a seguir, uma instância do Amazon Elastic Compute Cloud (Amazon EC2) foi iniciada inesperadamente.

Observação: a resolução a seguir se aplica às credenciais de segurança de longo prazo, não às credenciais de segurança temporárias. Para desativar as credenciais temporárias, consulte Desabilitar permissões para credenciais de segurança temporárias.

Identificar o ID da instância do Amazon EC2

Realize as etapas a seguir:

1. Abra o console do Amazon EC2 e escolha Instâncias.
2. Escolha a instância do EC2 e, em seguida, escolha a guia Descrição.
3. Copie o ID da instância.

Localizar o ID da chave de acesso do IAM e o nome de usuário usados para iniciar a instância

Realize as etapas a seguir:

1. Abra o console do CloudTrail e escolha Histórico de eventos.
2. Em Filtro, escolha Nome do recurso.
3. No campo Inserir nome do recurso, insira a ID da instância e escolha Inserir.
4. Expanda o nome do evento para RunInstances.
5. Copie a chave de acesso da AWS e anote o username.

Desativar o usuário do IAM, criar uma chave de acesso de backup do IAM e, em seguida, desativar a chave de acesso comprometida

Realize as etapas a seguir:

1. Abra o console do IAM e, em seguida, insira o ID da chave de acesso do IAM na barra de pesquisa do IAM.
2. Escolha o nome de usuário e, em seguida, escolha a guia Credenciais de segurança.
3. Em Login do console, escolha Gerenciar acesso ao console.
   Observação: se a senha do Console de Gerenciamento da AWS estiver definida como Desativada, você poderá pular esta etapa.
4. Em Gerenciar acesso ao console, escolha Desativar e, em seguida, escolha Aplicar.
   Importante: os usuários cujas contas estão desativadas não podem acessar o Console de Gerenciamento da AWS. No entanto, se o usuário tiver chaves de acesso ativas, ele ainda poderá usar chamadas de API para acessar os serviços da AWS.
5. Atualize as chaves de acesso para o usuário do IAM.
6. Para a chave de acesso do IAM comprometida, escolha Tornar inativa.

Analisar o histórico de eventos do CloudTrail para verificar as atividades da chave de acesso comprometida

Realize as etapas a seguir:

1. Abra o console do CloudTrail.
2. No painel de navegação, selecione Histórico de eventos.
3. Em Filtro, escolha a chave de acesso da AWS.
4. No campo Inserir chave de acesso da AWS, insira o ID da chave de acesso do IAM comprometida.
5. Expanda o Nome do evento para a chamada da API RunInstances.
   Observação: você pode ver o histórico de eventos dos últimos 90 dias.

Também é possível pesquisar o histórico de eventos do CloudTrail para determinar como um grupo de segurança ou recurso foi alterado.

Para obter mais informações, consulte Trabalhando com o histórico de eventos do CloudTrail.

Informações relacionadas

Práticas recomendadas de segurança no IAM

Protegendo as chaves de acesso

Gerenciando políticas do IAM

Diretrizes de auditoria de segurança da AWS