本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 修复可能被泄露的凭证 AWS GuardDuty 生成时[IAM 调查发现类型](guardduty_finding-types-iam.md),它表明您的 AWS 凭据已被泄露。可能受损的**资源**类型是**AccessKey**。 要修复 AWS 环境中可能被泄露的凭证,请执行以下步骤: 1. **识别可能泄露的 IAM 实体和使用的 API 调用。** 使用的 API 调用将在调查发现详细信息中作为 `API` 列出。IAM 实体(IAM 角色或用户)及其识别信息将在调查发现详细信息的**资源**部分列出。所涉及的 IAM 实体的类型可由 **User Type (用户类型)** 字段确定,IAM 实体的名称将位于 **User name (用户名)** 字段中。调查发现中涉及的 IAM 实体的类型也可以由使用的 **Access key ID(访问密钥 ID)**确定。 对于以 `AKIA` 开头的密钥: 此类密钥是与 IAM 用户或 AWS 账户根用户关联的长期客户管理凭证。有关管理 IAM 用户的访问密钥的信息,请参阅[管理 IAM 用户的访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)。 对于以 `ASIA` 开头的密钥: 此类型的密钥是由 AWS Security Token Service生成的短期临时凭证。这些密钥仅存在很短的时间,无法在 AWS 管理控制台中查看或管理。IAM 角色将始终使用 AWS STS 证书,但也可以为 IAM 用户生成证书,有关更多信息, AWS STS 请参阅 [IAM:临时安全证书](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html#sts-introduction)。 如果使用了角色,**用户名称**字段将指示所用角色的名称。您可以 AWS CloudTrail 通过检查 CloudTrail 日志条目的`sessionIssuer`元素来确定密钥是如何请求的,有关更多信息,请参阅 [IAM 和中的 AWS STS 信息 CloudTrail](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html#iam-info-in-cloudtrail)。 1. **查看 IAM 实体的权限。** 打开 IAM 控制台。根据所用的实体类型,选择**用户**或**角色**选项卡,然后通过在搜索字段中键入已识别的名称来查找受影响的实体。使用 **Permission (权限)** 和 **Access Advisor (访问顾问)** 选项卡可查看该实体的有效权限。 1. **确定是否合法使用了 IAM 实体凭证。** 请与凭证用户联系以确定活动是否是有意进行的。 例如,确定此用户是否执行了以下操作: + 调用了 GuardDuty 调查结果中列出的 API 操作 + 在 GuardDuty 调查结果中列出的时间调用了 API 操作 + 从 GuardDuty 调查结果中列出的 IP 地址调用了 API 操作 如果此活动是对 AWS 凭证的合法使用,则可以忽略该 GuardDuty 发现。[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台允许您设置规则来完全禁止单个发现,这样它们就不会再出现。有关更多信息,请参阅 [中的抑制规则 GuardDuty](findings_suppression-rule.md)。 如果无法确认此活动是否为合法使用,则可能是由于特定访问密钥、IAM 用户的登录凭证或整个 AWS 账户已被泄露。如果您怀疑自己的凭证已被泄露,请查看 “[我的 AWS 账户 可能已泄露](https://repost.aws/knowledge-center/potential-account-compromise)” 中的信息以解决此问题。