Riparazione di un'AMI potenzialmente EC2 compromessa

Quando GuardDuty genera un'esecuzione:/! EC2 MaliciousFile Tipo di rilevamento AMI, indica che è stato rilevato del malware in un'Amazon Machine Image (AMI). Esegui i seguenti passaggi per correggere l'AMI potenzialmente compromessa:

Identifica l'AMI potenzialmente compromessa
1. A GuardDuty finding for AMIs will list the affected AMI ID, its Amazon Resource Name (ARN), and associated malware scan details in the finding details.
2. Review AMI source image:
```
aws ec2 describe-images --image-ids ami-021345abcdef6789
```
Limita l'accesso alle risorse compromesse
1. Rivedi e modifica le politiche di accesso al backup vault per limitare l'accesso ai punti di ripristino e sospendere qualsiasi processo di ripristino automatico che potrebbe utilizzare questo punto di ripristino.
2. Rimuovi le autorizzazioni dalle autorizzazioni AMI di origine
  
  Prima visualizza le autorizzazioni esistenti:
```
aws ec2 describe-image-attribute --image-id ami-abcdef01234567890 --attribute launchPermission
```
  Quindi rimuovi le autorizzazioni individuali:
```
aws ec2 modify-image-attribute --image-id ami-abcdef01234567890 --launch-permission '{"Remove":[{"UserId":"111122223333"}]}'
```
  Per ulteriori opzioni CLI, consulta Condividere un'AMI con account specifici - Amazon Elastic Compute Cloud
3. Se l'origine è un' EC2 istanza, consulta: Riparazione di un'istanza Amazon EC2 potenzialmente compromessa.
Intraprendi azioni correttive
- Prima di procedere con l'eliminazione, assicurati di aver identificato tutte le dipendenze e di disporre di backup adeguati, se necessario.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Correzione di uno snapshot EBS potenzialmente compromesso

Riparazione di un punto di ripristino potenzialmente compromesso EC2