Breve descrizione
-----------------

Il tipo di esito GuardDuty [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.outsideAWS](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws) indica che un host esterno ha tentato di utilizzare credenziali AWS temporanee per eseguire operazioni API AWS. Le credenziali AWS temporanee sono state create su un'istanza Amazon Elastic Compute Cloud (Amazon EC2) nel tuo ambiente AWS.

Risoluzione
----------

[Individua e analizza i tuoi esiti su GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html#guardduty_working-with-findings). Nel riquadro **Dettagli** dell'esito, annota l'indirizzo IP esterno e il nome utente AWS Identity and Access Management (IAM).

### L'indirizzo IP esterno è sicuro

Se tu o qualcuno di cui ti fidi possiede l'indirizzo IP esterno, è possibile archiviare automaticamente l'esito con una [regola di soppressione](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html).

### L'indirizzo IP esterno è dannoso

Per risolvere questo problema, completa i seguenti passaggi:

1. [Nega tutte le autorizzazioni all'utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_revoke-sessions.html#revoke-session).  
   **Nota:** le autorizzazioni per l'utente IAM sono negate per tutte le istanze EC2.
2. Crea una policy IAM con un **rifiuto** esplicito che blocchi l'accesso all'istanza per l'utente IAM:  
   **Nota:**Sostituisci l'ID del tuo ruolo **your-roleID** e il tuo **role-session-name** con il nome della sessione del tuo ruolo.
   ```plaintext

   {  "Version": "2012-10-17",  
     "Statement": \[  
       {  
         "Effect": "Deny",  
         "Action": \[  
           "\*"  
         \],  
         "Resource": \[  
           "\*"  
         \],  
         "Condition": {  
           "StringEquals": {  
             "aws:userId": "your-roleId:your-role-session-name"  
           }  
         }  
       }  
     \]  
   }
   ```

3. [Correggi un'istanza EC2 potenzialmente compromessa nel tuo ambiente AWS](https://docs.aws.amazon.com/guardduty/latest/ug/compromised-ec2.html).  
   **Nota:**Come best practice di sicurezza, assicurati di utilizzare il [servizio di metadati di istanza (IMDS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html) sulle tue istanze.

Amazon GuardDuty ha rilevato avvisi relativi al tipo di risultato UnauthorizedAccess:iamUser/InstanceCredentialexfiltration.outsideAWS.

Risoluzione dei problemi relativi al tipo di esito GuardDuty InstanceCredentialExfiltration

Perché ho ricevuto l'avviso del tipo di esito GuardDuty UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS per la mia istanza Amazon EC2?

Security, Identity, & Compliance

Perché ho ricevuto una criptovaluta Amazon GuardDuty: EC2/BitcoinTool.B! Tipo di ricerca DNS per la mia istanza Amazon EC2?

Perché ho ricevuto l'avviso del tipo di rilevamento GuardDuty "Recon:EC2/PortProbeUnprotectedPort" per la mia istanza Amazon EC2?

Perché Amazon GuardDuty ha rilevato un tipo di risultato Denial of Service (DoS) nell’istanza Amazon EC2?

Come posso configurare regole EventBridge per consentire a GuardDuty di inviare notifiche SNS personalizzate per specifici tipi di esito del servizio? 

Perché ho ricevuto l'avviso del tipo di esito GuardDuty UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS per la mia istanza Amazon EC2?

Breve descrizione

Risoluzione

L'indirizzo IP esterno è sicuro

L'indirizzo IP esterno è dannoso

Contenuto pertinente