修复可能被泄露的凭证 Amazon - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

修复可能被泄露的凭证 Amazon

请按照以下建议步骤修复您的 Amazon 环境中可能被泄露的凭证:

  1. 确定可能遭到入侵的 IAM 实体和使用的 API 调用。

    使用的 API 调用将在调查发现详细信息中作为 API 列出。IAM 实体(IAM 角色或用户)及其识别信息将在调查结果详情的 “资源” 部分中列出。所涉及的 IAM 实体的类型可由 User Type (用户类型) 字段确定,IAM 实体的名称将位于 User name (用户名) 字段中。调查发现中涉及的 IAM 实体的类型也可以由使用的 Access key ID(访问密钥 ID)确定。

    对于以 AKIA 开头的密钥:

    此类密钥是与 IAM 用户或 Amazon Web Services 账户根用户关联的长期客户管理凭证。有关管理 IAM 用户的访问密钥的信息,请参阅管理 IAM 用户的访问密钥

    对于以 ASIA 开头的密钥:

    此类型的密钥是由 Amazon Security Token Service生成的短期临时凭证。这些密钥仅存在很短的时间,无法在 Amazon 管理控制台中查看或管理。IAM 角色将始终使用 Amazon STS 证书,但也可以为 IAM 用户生成证书,有关更多信息, Amazon STS 请参阅 IAM:临时安全证书

    如果使用了角色,用户名称字段将指示所用角色的名称。您可以 Amazon CloudTrail 通过检查 CloudTrail 日志条目的sessionIssuer元素来确定密钥是如何请求的,有关更多信息,请参阅 IAM 和中的 Amazon STS 信息 CloudTrail

  2. 查看 IAM 实体的权限。

    打开 IAM 控制台。根据所用实体的类型,选择 “用户” 或 “角色” 选项卡,然后通过在搜索字段中键入已识别的名称来找到受影响的实体。使用 Permission (权限)Access Advisor (访问顾问) 选项卡可查看该实体的有效权限。

  3. 确定是否合法使用了 IAM 实体凭证。

    请与凭证用户联系以确定活动是否是有意进行的。

    例如,确定此用户是否执行了以下操作:

    • 调用了 GuardDuty 调查结果中列出的 API 操作

    • 在 GuardDuty 调查结果中列出的时间调用了 API 操作

    • 从 GuardDuty 调查结果中列出的 IP 地址调用了 API 操作

如果此活动是对 Amazon 凭证的合法使用,则可以忽略该 GuardDuty 发现。https://console.aws.amazon.com/guardduty/ 控制台允许您设置规则,以完全抑制单个调查发现,使其不再出现。有关更多信息,请参阅抑制规则

如果您无法确认此活动是否为合法用途,则可能是由于特定访问密钥(IAM 用户的登录证书,或者可能是整个 Amazon Web Services 账户访问密钥)遭到泄露所致。如果您怀疑自己的凭证已被泄露,请查看 “我的 Amazon Web Services 账户 可能已被泄露” 文章中的信息以解决此问题。