修复可能被泄露的 Amazon 凭证 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

修复可能被泄露的 Amazon 凭证

当 GuardDuty 生成 IAM 调查发现类型 时,表示您的 Amazon 凭证已经泄露。可能失陷的资源类型是 AccessKey

要修复 Amazon 环境中可能泄露的凭证,请执行以下步骤:

  1. 识别可能泄露的 IAM 实体和使用的 API 调用。

    使用的 API 调用将在调查发现详细信息中作为 API 列出。IAM 实体(IAM 角色或用户)及其识别信息将在调查发现详细信息的资源部分列出。所涉及的 IAM 实体的类型可由 User Type (用户类型) 字段确定,IAM 实体的名称将位于 User name (用户名) 字段中。调查发现中涉及的 IAM 实体的类型也可以由使用的 Access key ID(访问密钥 ID)确定。

    对于以 AKIA 开头的密钥:

    此类密钥是与 IAM 用户或 Amazon Web Services 账户根用户 关联的长期客户管理凭证。有关管理 IAM 用户的访问密钥的信息,请参阅管理 IAM 用户的访问密钥

    对于以 ASIA 开头的密钥:

    此类型的密钥是由 Amazon Security Token Service 生成的短期临时凭证。这些密钥仅存在很短的时间,无法在 Amazon 管理控制台中查看或管理。IAM 角色始终使用 Amazon STS 凭证,但也可以为 IAM 用户生成这些凭证,有关 Amazon STS 的更多信息,请参阅 IAM:临时安全凭证

    如果使用了角色,用户名称字段将指示所用角色的名称。您可以通过检查 CloudTrail 日志条目的 sessionIssuer 元素来确定 Amazon CloudTrail 请求密钥的方式,有关更多信息,请参阅 CloudTrail 中的 IAM 和 Amazon STS 信息

  2. 查看 IAM 实体的权限。

    打开 IAM 控制台。根据所用的实体类型,选择用户角色选项卡,然后通过在搜索字段中键入已识别的名称来查找受影响的实体。使用 Permission (权限)Access Advisor (访问顾问) 选项卡可查看该实体的有效权限。

  3. 确定是否合法使用了 IAM 实体凭证。

    请与凭证用户联系以确定活动是否是有意进行的。

    例如,确定此用户是否执行了以下操作:

    • 调用了 GuardDuty 调查发现中列出的 API 操作

    • 在 GuardDuty 调查发现中列出的时间调用了 API 操作

    • 从 GuardDuty 调查发现中列出的 IP 地址调用了 API 操作

如果您确认活动合法使用了 Amazon 凭证,则可以忽略此 GuardDuty 调查发现。https://console.aws.amazon.com/guardduty/ 控制台允许您设置规则,以完全抑制单个调查发现,使其不再出现。有关更多信息,请参阅 GuardDuty 中的抑制规则

如果无法确认此活动是否为合法使用,则可能是由于特定访问密钥、IAM 用户的登录凭证或整个 Amazon Web Services 账户 已被泄露。如果您怀疑凭证已泄露,请查看我的 Amazon Web Services 账户可能已泄露中的信息来修复此问题。