如何對 AWS 帳戶中不尋常的資源活動進行疑難排解？

簡短描述

未經授權的帳戶活動 (例如意外啟動的新服務) 可能表示您的 AWS 憑證已遭入侵。有惡意意圖的人可以使用您的憑證來存取您的帳戶，並執行政策允許的活動。如需詳細資訊，請參閱如果發現 AWS 帳戶中出現未經授權的活動，該怎麼辦？

解決方法

識別遭入侵的 IAM 使用者和存取金鑰，然後將其停用。然後，使用 AWS CloudTrail 搜尋與遭入侵的 IAM 使用者關聯的 API 事件歷史記錄。

在下列範例中，Amazon Elastic Compute Cloud (Amazon EC2) 執行個體意外啟動。

**注意：**下列解決方案適用於長期安全憑證，而不適用於暫時安全憑證。若要關閉暫時憑證，請參閱停用暫時安全憑證的許可。

識別 Amazon EC2 執行個體 ID

請完成下列步驟：

1. 開啟 Amazon EC2 主控台，然後選擇執行個體。
2. 選擇 EC2 執行個體，然後選擇描述標籤。
3. 複製**執行個體 ID **。

尋找用於啟動執行個體的 IAM 存取金鑰 ID 和使用者名稱

請完成下列步驟：

1. 開啟 CloudTrail 主控台，然後選擇事件歷史記錄。
2. 在篩選條件中，選擇資源名稱。
3. 在輸入資源名稱欄位中，輸入執行個體 ID，然後選擇輸入。
4. 展開 RunInstances 的事件名稱。
5. 複製 AWS 存取金鑰，然後記下使用者名稱。

停用 IAM 使用者、建立備份 IAM 存取金鑰，然後停用遭入侵的存取金鑰

請完成下列步驟：

1. 開啟 IAM 主控台，然後在搜尋 IAM 列中輸入 IAM 存取金鑰 ID。
2. 選擇使用者名稱，然後選擇安全憑證標籤。
3. 在登入主控台中，選擇管理主控台存取。
   注意：如果 AWS 管理主控台密碼設定為停用，您可以跳過此步驟。
4. 在管理主控台存取中，選擇停用，然後選擇套用。
   **重要：**已關閉帳戶的使用者無法存取 AWS 管理主控台。但是，如果使用者具有作用中的存取金鑰，他們仍然可以使用 API 呼叫來存取 AWS 服務。
5. 更新 IAM 使用者的存取金鑰。
6. 對於遭入侵的 IAM 存取金鑰，請選擇設為非作用中。

檢視 CloudTrail 事件歷史記錄以查看遭入侵的存取金鑰的活動

請完成下列步驟：

1. 開啟 CloudTrail 主控台。
2. 在導覽窗格中，選取事件歷史記錄。
3. 對於篩選條件，選擇 AWS 存取金鑰。
4. 在輸入 AWS 存取金鑰欄位中，輸入遭入侵的 IAM 存取金鑰 ID。
5. 展開 RunInstances API 呼叫的事件名稱。
   **注意：**您可以檢視過去 90 天的事件歷史記錄。

您也可以搜尋 CloudTrail 事件歷史記錄，以確定安全群組或資源的變更方式。

如需詳細資訊，請參閱使用 CloudTrail 事件歷史記錄。

相關資訊

IAM 中的安全最佳實務

保護存取金鑰

管理 IAM 政策

AWS 安全稽核指導方針