Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Corregir una AMI de EC2 potencialmente comprometida
<a name="compromised-ami"></a>

Cuando GuardDuty genera un\! Execution:EC2/MaliciousFile El tipo de búsqueda de AMI indica que se ha detectado malware en una Amazon Machine Image (AMI). Realice los siguientes pasos para corregir la AMI potencialmente comprometida:

1. **Identifique la AMI potencialmente comprometida**

   1. Si se GuardDuty busca una AMI, se mostrará el ID de la AMI afectada, su nombre de recurso de Amazon (ARN) y los detalles del análisis de malware asociado en los detalles de la búsqueda.

   1. Revise la imagen fuente de AMI:

      ```
      aws ec2 describe-images --image-ids {{ami-021345abcdef6789}}
      ```

1. **Restrinja el acceso a los recursos comprometidos**

   1. Revise y modifique las políticas de acceso al almacén de respaldo para restringir el acceso a los puntos de recuperación y suspender cualquier trabajo de restauración automática que pueda utilizar este punto de recuperación.

   1. Eliminar permisos de los permisos de la AMI de origen

      Primero vea los permisos existentes: 

      ```
      aws ec2 describe-image-attribute --image-id {{ami-abcdef01234567890}} --attribute launchPermission
      ```

      A continuación, elimine los permisos individuales: 

      ```
      aws ec2 modify-image-attribute --image-id {{ami-abcdef01234567890}} --launch-permission '{"Remove":[{"UserId":"{{111122223333}}"}]}'
      ```

      Para ver opciones de CLI adicionales, consulte [Compartir una AMI con cuentas específicas - Amazon Elastic Compute Cloud](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharingamis-explicit.html#unsharing-an-ami)

   1. Si la fuente es una instancia EC2, consulte: Cómo [corregir una instancia de Amazon EC2 potencialmente comprometida](https://docs.aws.amazon.com/guardduty/latest/ug/compromised-ec2.html).

1. **Tome medidas correctivas**
   + Antes de proceder a la eliminación, asegúrese de haber identificado todas las dependencias y de disponer de las copias de seguridad adecuadas, en caso necesario.