Corregir credenciales de AWS potencialmente comprometidas - Amazon GuardDuty

Corregir credenciales de AWS potencialmente comprometidas

Cuando GuardDuty genera Tipos de resultados de IAM, indica que las credenciales de AWS han sido atacadas. El tipo de recurso potencialmente comprometido es AccessKey.

Para corregir las credenciales potencialmente comprometidas en el entorno de AWS, siga estos pasos:

  1. Identifique la entidad de IAM potencialmente comprometida y la llamada a la API utilizada.

    La llamada a la API utilizada se mostrará como API en los detalles de resultado. La entidad de IAM (ya sea un usuario o rol de IAM) y su información de identificación se enumerarán en la sección Recurso de los detalles del resultado. El tipo de entidad de IAM implicada puede determinarse mediante el campo Tipo de usuario, el nombre de la entidad de IAM estará en el campo Nombre de usuario. El tipo de entidad de IAM implicada en el resultado también puede determinarse mediante el ID de clave de acceso utilizado.

    Para las claves que empiecen con AKIA:

    Este tipo de clave es una credencial administrada por el cliente a largo plazo asociada con un usuario de IAM o Usuario raíz de la cuenta de AWS. Para obtener información sobre la administración de claves de acceso para usuarios de IAM, consulte Administración de las claves de acceso de los usuarios de IAM.

    Para las claves que empiecen con ASIA:

    Este tipo de clave es una credencial temporal a corto plazo generada por AWS Security Token Service. Estas claves existen solo durante un periodo de tiempo breve y no se pueden consultar ni administrar en la consola de administración de AWS. Los roles de IAM siempre utilizarán credenciales de AWS STS, pero también se pueden generar para usuarios de IAM. Para más información sobre AWS STS, consulte IAM: Temporary security credentials.

    Si se utilizó un rol, el campo Nombre de usuario indicará el nombre del rol utilizado. Para determinar cómo se solicitó la clave con AWS CloudTrail, puede examinar el elemento sessionIssuer de la entrada de registro de CloudTrail. Para obtener más información, consulte IAM and AWS STS information in CloudTrail.

  2. Revise los permisos de la entidad de IAM.

    Abra la consola de IAM. Según el tipo de entidad utilizada, seleccione la pestaña Usuarios o Roles, y localice la entidad afectada. Para ello, escriba el nombre identificado en el campo de búsqueda. Utilice las pestañas Permisos y Acceso a Advisor para revisar los permisos efectivos para esa entidad.

  3. Determine si las credenciales de entidad de IAM se utilizaron legítimamente.

    Póngase en contacto con el usuario de las credenciales para determinar si la actividad fue intencionada.

    Por ejemplo, averigüe si el usuario hizo lo siguiente:

    • Invocó la operación de la API que se muestra en el resultado de GuardDuty

    • Invocó la operación de la API en el momento que se muestra en el resultado de GuardDuty

    • Invocó la operación de la API desde la dirección IP que se muestra en el resultado de GuardDuty

Si esta actividad es un uso legítimo de las credenciales de AWS, puede omitir este resultado de GuardDuty. La consola https://console.aws.amazon.com/guardduty/ le permite configurar reglas para suprimir por completo los resultados individuales y evitar que vuelvan a aparecer. Para obtener más información, consulte Reglas de supresión en GuardDuty.

Si no puede confirmar si esta actividad constituye un uso legítimo, podría ser consecuencia de que la clave de acceso concreta, las credenciales de inicio de sesión del usuario de IAM o, posiblemente, toda la Cuenta de AWS, se encuentren comprometidas. Si sospecha que sus credenciales se han visto afectadas, revise la información en My Cuenta de AWS may be compromised para corregir el problema.