本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 修復可能遭到入侵的 AWS 登入資料 當 GuardDuty 產生 時[IAM 調查結果類型](guardduty_finding-types-iam.md),表示您的 AWS 登入資料已遭到入侵。可能遭到入侵**的資源**類型為 **AccessKey**。 若要修復 AWS 環境中可能遭到入侵的登入資料,請執行下列步驟: 1. **識別可能遭到入侵的 IAM 實體和使用的 API 呼叫。** 使用的 API 呼叫會在調查結果詳細資訊中列為 `API`。IAM 實體 (IAM 角色或使用者) 及其識別資訊將列在調查結果詳細資訊**的資源**區段中。涉及的 IAM 實體類型可由**使用者類型**欄位決定,IAM 實體名稱將位於**使用者名稱** 欄位中。調查結果中涉及的 IAM 實體類型也可由使用的**存取金鑰 ID** 決定。 對於以 `AKIA` 開頭的金鑰: 此類金鑰是與 IAM 使用者或 AWS 帳戶根使用者相關聯的長期客戶自管憑證。如需有關管理 IAM 使用者存取金鑰的資訊,請參閱[管理 IAM 使用者的存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)。 對於以 `ASIA` 開頭的金鑰: 此類金鑰是 AWS Security Token Service產生的短期臨時登入資料。這些金鑰僅存在一小段時間,無法在 AWS 管理主控台中檢視或管理。IAM 角色一律使用 AWS STS 登入資料,但也可以為 IAM 使用者產生登入資料,如需詳細資訊, AWS STS 請參閱 [IAM:臨時安全登入](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html#sts-introduction)資料。 如果已使用角色,**使用者名稱**欄位將顯示所使用角色的名稱。您可以透過檢查 CloudTrail 日誌項目的 `sessionIssuer`元素 AWS CloudTrail 來判斷如何使用 請求金鑰,如需詳細資訊,請參閱 [ CloudTrail 中的 IAM 和 AWS STS 資訊](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html#iam-info-in-cloudtrail)。 1. **檢閱 IAM 實體的許可。** 開啟 IAM 主控台。根據使用的實體類型,選擇**使用者**或**角色**索引標籤,然後在搜尋欄位中輸入識別的名稱來尋找受影響的實體。使用**許可**和**存取顧問**索引標籤,以檢閱該實體的有效許可。 1. **判斷是否合法使用 IAM 實體登入資料。** 請聯絡該登入資料的使用者,以判斷活動是否為刻意。 例如,查出使用者是否進行了以下動作: + 調用 GuardDuty 調查結果中所列的 API 操作 + 在 GuardDuty 調查結果中所列的時間點調用 API 操作 + 從 GuardDuty 調查結果中所列的 IP 地址調用 API 操作 如果此活動是 AWS 憑證的合法使用,您可以忽略 GuardDuty 調查結果。[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 控制台允許您設定規則以完全隱藏單個調查結果,使其不再顯示。如需詳細資訊,請參閱[GuardDuty 中的隱藏規則](findings_suppression-rule.md)。 如果您無法確認此活動是否為合法使用,可能是特定存取金鑰遭到入侵的結果 - IAM 使用者的登入憑證,或可能是整個 AWS 帳戶。如果您懷疑登入資料已洩露,請檢閱 [My 中的資訊 AWS 帳戶 ,](https://repost.aws/knowledge-center/potential-account-compromise)以修復此問題。