Je souhaite identifier les utilisateurs d'AWS Identity and Access Management (IAM) qui ont créé une ressource et restreindre l'accès à cette ressource.
Brève description
Une activité non autorisée sur votre compte, telle que le lancement inattendu de nouveaux services, peut indiquer que vos informations d'identification AWS ont été compromises. Une personne mal intentionnée peut utiliser vos informations d'identification pour accéder à votre compte et effectuer des activités autorisées par les politiques. Pour plus d'informations, consultezQue faire si je constate une activité non autorisée sur mon compte AWS ?
Résolution
Identifiez l'utilisateur IAM et la clé d'accès compromis, puis désactivez-les. Utilisez ensuite AWS CloudTrail pour rechercher l'historique des événements d'API associés à l'utilisateur IAM compromis.
Dans l'exemple suivant, une instance Amazon Elastic Compute Cloud (Amazon EC2) a été démarrée de manière inattendue.
Remarque : La résolution suivante s'applique aux informations d'identification de sécurité à long terme, et non aux informations d'identification de sécurité temporaires. Pour désactiver les informations d'identification temporaires, voir Désactivation des autorisations pour les informations d'identification de sécurité temporaires.
Identifiez l'ID de l'instance Amazon EC2
Procédez comme suit :
- Ouvrez la console Amazon EC2, puis choisissez Instances.
- Choisissez l'instance EC2, puis choisissez l'onglet Description.
- Copiez l'ID de l'instance.
Localisez l'ID de clé d'accès IAM et le nom d'utilisateur utilisés pour lancer l'instance
Procédez comme suit :
- Ouvrez la console CloudTrail, puis choisissez Historique des événements.
- Sous Filtre, choisissez Nom de la ressource.
- Dans le champ Entrez le nom de la ressource, entrez l’ID de l’instance, puis choisissez Entrée.
- Développez le Nom de l'événement pour RunInstances.
- Copiez la clé d'accès AWS, puis notez le nom d'utilisateur.
Désactivez l'utilisateur IAM, créez une clé d'accès IAM de sauvegarde, puis désactivez la clé d'accès compromise
Procédez comme suit :
- Ouvrez la console IAM, puis saisissez l'ID de la clé d'accès IAM dans la barre de recherche Rechercher IAM.
- Choisissez le nom d'utilisateur, puis l'onglet Informations d’identification de sécurité.
- Dans Connexion à la console, choisissezGérer l’accès à la console.
Remarque :Si le mot de passe d'AWS Management Console est défini surDésactivé, vous pouvez ignorer cette étape.
- Dans Gestion de l'accès à la console, choisissez Désactiver, puis cliquez sur Appliquer.
**Attention :**Les utilisateurs dont les comptes sont désactivés ne peuvent pas accéder à la console de gestion AWS. Toutefois, si l'utilisateur dispose de clés d'accès actives, il peut toujours utiliser des appels d'API pour accéder aux services AWS.
- Mettez à jour les clés d'accès de l'utilisateur IAM.
- Pour la clé d'accès IAM compromise, choisissez Rendre inactive.
Consultez l'historique des événements sur CloudTrail pour identifier les activités liées à la clé d'accès compromise
Procédez comme suit :
- Ouvrez la console CloudTrail.
- Dans le volet de navigation, sélectionnez Historique des événements.
- SousFiltre, choisissez la clé d’accès AWS.
- Dans le champEntrez la clé d’accès AWS, saisissez l’ID de la clé d’accès IAM compromise.
- Développez le nom de l’événement pour l’appel d’API RunInstances.
**Remarque :**Vous pouvez consulter l'historique des événements des 90 derniers jours.
Vous pouvez également fouiller l'historique des événements CloudTrail pour déterminer comment un groupe de sécurité ou une ressource a été modifié.
Pour en savoir plus, consultez la section Utilisation de l'historique des événements CloudTrail.
Informations connexes
Bonnes pratiques de sécurité dans IAM
Sécurisation des clés d'accès
Gestion des politiques IAM
Recommandations relatives aux audits de sécurité AWS