漏えいした可能性のある AWS 認証情報の修復 - Amazon GuardDuty

漏えいした可能性のある AWS 認証情報の修復

GuardDuty で IAM の検出結果タイプが生成された場合は、AWS 認証情報が既に侵害されています。侵害された可能性のある [リソース] のタイプは [AccessKey] です。

AWS 環境で侵害された可能性のある認証情報を修復するには、次の手順を実行します。

  1. 侵害された可能性のある IAM エンティティと使用された API コールを識別します。

    使用された API コールは、検出結果の詳細に API として表示されます。IAM エンティティ (IAM ロールまたはユーザー) とその識別情報は、検出結果の詳細の [リソース] セクションに表示されます。関連する IAM エンティティのタイプは、[User Type] (ユーザータイプ) フィールドで特定できます。IAM エンティティの名前は、[User name] (ユーザー名) フィールドに表示されます。検出結果に関連する IAM エンティティのタイプは、使用された [Access key ID] (アクセスキー ID) でも特定できます。

    AKIA で始まるキーの場合:

    このタイプのキーは、IAM ユーザーまたは AWS アカウントのルートユーザー に関連付けられているカスタマーマネージドの長期の認証情報です。IAM ユーザーのアクセスキーの管理については、「IAM ユーザーのアクセスキーの管理」を参照してください。

    ASIA で始まるキーの場合:

    このタイプのキーは、AWS Security Token Service によって生成される短期の一時的な認証情報です。これらのキーは短時間しか存在せず、AWS マネジメントコンソールで表示または管理することはできません。IAM ロールは常に AWS STS の認証情報を使用しますが、これらは IAM ユーザーに対して生成することもできます。AWS STS の詳細については、IAM の「一時的セキュリティ認証情報」を参照してください。

    ロールが使用された場合、[User name] (ユーザー名) フィールドには使用されたロールの名前が表示されます。AWS CloudTrail を使用して CloudTrail のログのエントリの sessionIssuer 要素を確認することにより、キーがどのようにリクエストされたかを特定できます。詳細については、「CloudTrail での IAM と AWS STS に関する情報」を参照してください。

  2. IAM エンティティの許可を確認します。

    IAM コンソールを開きます。使用されたエンティティのタイプに応じて [ユーザー] タブまたは [ロール] タブを選択し、検索フィールドに識別した名前を入力して影響を受けるエンティティを見つけます。[Permission] (許可) タブと [Access Advisor] (アクセスアドバイザー) タブを使用して、そのエンティティの有効な許可を確認します。

  3. IAM エンティティの認証情報が正当に使用されたかどうかを確認します。

    アクティビティが意図的なものであったかどうかを確認するには、認証情報のユーザーに問い合わせます。

    例えば、ユーザーが次のことを行ったかどうかを確認します。

    • GuardDuty の検出結果に表示された API オペレーションの呼び出し

    • GuardDuty の検出結果に表示された時刻における API オペレーションの呼び出し

    • GuardDuty の検出結果に表示された IP アドレスからの API オペレーションの呼び出し

アクティビティが AWS 認証情報の正当な使用を示している場合、 GuardDuty の検出結果は無視できます。https://console.aws.amazon.com/guardduty/ コンソールでは、個々の結果を表示しないように完全に抑制するルールを設定できます。詳細については、「GuardDuty の抑制ルール」を参照してください。

正当に使用されたことが確認できない場合、このアクティビティはその特定のアクセスキー、IAM ユーザーのサインイン認証情報、または AWS アカウント全体に対する侵害の結果である可能性があります。認証情報が侵害された疑いがある場合は、「AWS アカウント が侵害を受けた場合」の情報を確認して問題を修復します。