Amazon GuardDuty は、UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS の検出結果タイプのアラートを検出しました。
GuardDuty の検出結果タイプである UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS は、インスタンス起動ロールを通じて Amazon Elastic Compute Cloud (Amazon EC2) インスタンス専用に作成された AWS 認証情報が外部 IP アドレスから使用されていることを示します。
手順に従って、GuardDuty の検出結果を表示および分析します。その後、検出結果の詳細ペインで、外部 IP アドレスと IAM ユーザー名をメモします。
外部 IP アドレスの所有者が自分または信頼する人である場合、サプレッションルールを使用して検出結果を自動アーカイブできます。
1.外部 IP アドレスが悪意があるものである場合、IAM ユーザーへのすべての許可を拒否できます。
注: IAM ユーザーの許可は、すべての EC2 インスタンスで拒否されます。
2.次のような IAM ユーザーの EC2 インスタンスへのアクセスをブロックする明示的な拒否を持つ IAM ポリシーを作成します。
注意: your-roleID と your-role-session-name をプリンシパル ID に置き換えます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "*" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:userId": "your-roleId:your-role-session-name" } } } ] }
3.侵害された EC2 インスタンスの修正の手順に従います。
注: セキュリティのベストプラクティスとして、必ず既存のインスタンスで IMDSv2 を使用することを必須化してください。