侵害された可能性のある EC2 AMI の修復 - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

侵害された可能性のある EC2 AMI の修復

GuardDuty が Execution:EC2/MaliciousFile!AMI 検出結果タイプを生成すると、マルウェアが Amazon マシンイメージ (AMI) で検出されたことを示します。侵害された可能性のある AMI を修復するには、次の手順を実行します。

  1. 侵害された可能性のある AMI を特定する

    1. A GuardDuty finding for AMIs will list the affected AMI ID, its Amazon Resource Name (ARN), and associated malware scan details in the finding details.
    2. Review AMI source image: 
      aws ec2 describe-images --image-ids ami-021345abcdef6789

  2. 侵害されたリソースへのアクセスを制限する

    1. バックアップボールトアクセスポリシーを確認して変更し、復旧ポイントへのアクセスを制限し、この復旧ポイントを使用する可能性のある自動復元ジョブを停止します。

    2. ソース AMI アクセス許可からアクセス許可を削除する

      最初に既存のアクセス許可を表示します。

      aws ec2 describe-image-attribute --image-id ami-abcdef01234567890 --attribute launchPermission

      次に、個々のアクセス許可を削除します。

      aws ec2 modify-image-attribute --image-id ami-abcdef01234567890 --launch-permission '{"Remove":[{"UserId":"111122223333"}]}'

      その他の CLI オプションについては、「特定のアカウントと AMI を共有する - Amazon Elastic Compute Cloud」を参照してください。

    3. ソースが EC2 インスタンスの場合: 侵害された可能性のある Amazon EC2 インスタンスの修正を参照してください。

  3. 修復アクションを実行する

    • 削除に進む前に、すべての依存関係を特定し、必要に応じて適切なバックアップがあることを確認してください。