修复可能受损的 AMI EC2 - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

修复可能受损的 AMI EC2

GuardDuty 生成执行时:EC2/MaliciousFile! AMI 查找类型,它表示已在亚马逊系统映像 (AMI) 中检测到恶意软件。执行以下步骤来修复可能受损的 AMI:

  1. 识别可能遭到入侵的 AMI

    1. A GuardDuty finding for AMIs will list the affected AMI ID, its Amazon Resource Name (ARN), and associated malware scan details in the finding details.
    2. Review AMI source image: 
      aws ec2 describe-images --image-ids ami-021345abcdef6789

  2. 限制对受感染资源的访问

    1. 查看和修改备份库访问策略以限制恢复点访问权限并暂停任何可能使用此恢复点的自动还原作业。

    2. 从源 AMI 权限中移除权限

      首先查看现有权限:

      aws ec2 describe-image-attribute --image-id ami-abcdef01234567890 --attribute launchPermission

      然后移除个人权限:

      aws ec2 modify-image-attribute --image-id ami-abcdef01234567890 --launch-permission '{"Remove":[{"UserId":"111122223333"}]}'

      有关其他 CLI 选项,请参阅与特定账户共享 AMI-亚马逊弹性计算云

    3. 如果来源是 EC2 实例,请参阅:修复可能受损的 Amazon EC2 实例

  3. 采取补救措施

    • 在继续删除之前,请确保已确定所有依赖关系,并在需要时进行适当的备份。