本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 修复可能遭到入侵的 EC2 AMI
<a name="compromised-ami"></a>

何时 GuardDuty 生成 Execution:EC2/MaliciousFile\! AMI 查找类型，它表示已在亚马逊系统映像 (AMI) 中检测到恶意软件。执行以下步骤来修复可能受损的 AMI：

1. **识别可能遭到入侵的 AMI**

   1. AMI 的调查结果将在 GuardDuty 发现详情中列出受影响的 AMI ID、其 Amazon 资源名称 (ARN) 以及相关的恶意软件扫描详情。

   1. 查看 AMI 源图片：

      ```
      aws ec2 describe-images --image-ids {{ami-021345abcdef6789}}
      ```

1. **限制对受感染资源的访问**

   1. 查看和修改备份库访问策略以限制恢复点访问权限并暂停任何可能使用此恢复点的自动还原作业。

   1. 从源 AMI 权限中移除权限

      首先查看现有权限：

      ```
      aws ec2 describe-image-attribute --image-id {{ami-abcdef01234567890}} --attribute launchPermission
      ```

      然后移除个人权限：

      ```
      aws ec2 modify-image-attribute --image-id {{ami-abcdef01234567890}} --launch-permission '{"Remove":[{"UserId":"{{111122223333}}"}]}'
      ```

      有关其他 CLI 选项，请参阅[与特定账户共享 AMI-亚马逊弹性计算云](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/sharingamis-explicit.html#unsharing-an-ami)

   1. 如果来源是 EC2 实例，请参阅：[修复可能遭到入侵的 Amazon EC2 实例](https://docs.amazonaws.cn/guardduty/latest/ug/compromised-ec2.html)。

1. **采取补救措施**
   + 在继续删除之前，请确保已确定所有依赖关系，并在需要时进行适当的备份。