修复可能受损的 EBS 快照 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

修复可能受损的 EBS 快照

何时 GuardDuty 生成处决:ec2/! MaliciousFile 快照查找类型,它表示已在 Amazon EBS 快照中检测到恶意软件。执行以下步骤来修复可能受损的快照:

  1. 识别可能受损的快照

    1. 识别可能受损的快照。EBS 快照的 GuardDuty 发现将在发现详情中列出受影响的快照 ID、其 Amazon 资源名称 (ARN) 和相关的恶意软件扫描详情。

    2. 使用以下命令查看恢复点详细信息:

      aws backup describe-recovery-point —backup-vault-name 021345abcdef6789 —recovery-point-arn "arn:aws:ec2:us-east-1::snapshot/snap-abcdef01234567890"

  2. 限制访问受感染的快照

    查看和修改备份库访问策略以限制恢复点访问权限并暂停任何可能使用此快照的自动还原作业。

    1. 查看当前的共享权限:

      aws ec2 describe-snapshot-attribute --snapshot-id snap-abcdef01234567890 --attribute createVolumePermission

    2. 删除特定的账户访问权限:

      aws ec2 modify-snapshot-attribute --snapshot-id snap-abcdef01234567890 --attribute createVolumePermission --operation-type remove --user-ids 111122223333

    3. 有关其他 CLI 选项,请参阅 modify-snapshot-attribute CLI 文档

  3. 采取补救措施

    • 在继续删除之前,请确保已确定所有依赖关系,并在需要时进行适当的备份。