Remediando uma AMI do EC2 potencialmente comprometida

Quando GuardDuty gera uma MaliciousFile execução:EC2/! Tipo de descoberta da AMI, indica que o malware foi detectado em uma Amazon Machine Image (AMI). Execute as etapas a seguir para corrigir a AMI potencialmente comprometida:

Identifique a AMI potencialmente comprometida
1. Uma GuardDuty descoberta para AMIs listará o ID da AMI afetado, seu Amazon Resource Name (ARN) e os detalhes da verificação de malware associada nos detalhes da descoberta.
2. Analise a imagem de origem da AMI:
```
aws ec2 describe-images --image-ids ami-021345abcdef6789
```
Restrinja o acesso aos recursos comprometidos
1. Revise e modifique as políticas de acesso ao cofre de backup para restringir o acesso ao ponto de recuperação e suspender quaisquer trabalhos de restauração automatizados que possam usar esse ponto de recuperação.
2. Remover permissões das permissões da AMI de origem
  
  Primeiro, visualize as permissões existentes:
```
aws ec2 describe-image-attribute --image-id ami-abcdef01234567890 --attribute launchPermission
```
  Em seguida, remova as permissões individuais:
```
aws ec2 modify-image-attribute --image-id ami-abcdef01234567890 --launch-permission '{"Remove":[{"UserId":"111122223333"}]}'
```
  Para opções adicionais de CLI, consulte Compartilhar uma AMI com contas específicas - Amazon Elastic Compute Cloud
3. Se a origem for uma instância do EC2, consulte: Remediando uma instância potencialmente comprometida do Amazon EC2.
Tome medidas de remediação
- Antes de prosseguir com a exclusão, certifique-se de ter identificado todas as dependências e de ter backups adequados, se necessário.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Corrigindo um snapshot do EBS potencialmente comprometido

Corrigindo um ponto de recuperação EC2 potencialmente comprometido