A development team is creating an open source toolset to manage a company's software as a service (SaaS) application. The company stores the code in a public repository so that anyone can view and download the toolset's code. The company discovers that the code contains an IAM access key and secret key that provide access to internal resources in the company’s AWS environment. A security engineer must implement a solution to identify whether unauthorized usage of the exposed credentials has occurred. The solution also must prevent any additional usage of the exposed credentials.
Which combination of steps will meet these requirements? (Choose two.)
A. Use AWS Identity and Access Management Access Analyzer to determine which resources the exposed credentials accessed and who used them.
B. Deactivate the exposed IAM access key from the user’s IAM account.
C. Create a rule in Amazon GuardDuty to block the access key in the source code from being used.
D. Create a new IAM access key and secret key for the user whose credentials were exposed.
E. Generate an IAM credential report. Check the report to determine when the user that owns the access key last logged in.
AB
一个开发团队正在创建一个开源工具集,用于管理公司的软件即服务(SaaS)应用程序。公司将代码存储在公共存储库中,以便任何人都可以查看和下载该工具集的代码。公司发现代码中包含一个 IAM 访问密钥和秘密密钥,这些密钥可访问公司 AWS 环境中的内部资源。安全工程师必须实施一个解决方案,以确定是否发生了未经授权使用泄露凭证的情况。该解决方案还必须防止泄露凭证的任何进一步使用。
哪些步骤组合将满足这些要求?(选择两项。)
开发团队开源工具集代码存于公共库,代码泄露了可访问公司 AWS 内部资源的 IAM 访问密钥和秘密密钥,安全工程师要确定是否发生未经授权使用并防止进一步使用,需选满足要求的两个步骤组合。
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
A. 正确。使用 AWS Identity and Access Management Access Analyzer 确定泄露凭证访问了哪些资源以及谁使用了它们。Access Analyzer 能分析资源访问情况,帮助确定泄露凭证访问的资源和使用者,满足确定是否发生未经授权使用的要求。
B. 正确。从用户的 IAM 账户中停用泄露的 IAM 访问密钥。停用泄露的访问密钥可直接阻止该密钥的进一步使用,有效防止泄露凭证的任何额外使用,满足防止进一步使用的要求。
C. 不正确。在 Amazon GuardDuty 中创建规则以阻止源代码中的访问密钥被使用。GuardDuty 主要用于检测威胁,不能直接阻止特定访问密钥的使用,无法满足防止泄露凭证进一步使用的要求。
D. 不正确。为凭证泄露的用户创建新的 IAM 访问密钥和秘密密钥。创建新凭证后,但是不停用旧凭证无法防止泄露凭证的进一步使用。
E. 不正确。生成 IAM 凭证报告。检查报告以确定拥有访问密钥的用户最后一次登录的时间。凭证报告主要提供凭证的最后使用时间等信息,不能直接确定是否发生了未经授权使用泄露凭证的情况,也无法防止凭证进一步使用。
AWS IAM:用于管理对 AWS 服务和资源的访问,可创建用户、组和角色,并分配权限。IAM 访问密钥和秘密密钥用于身份验证,以访问 AWS 资源。
AWS IAM Access Analyzer:可分析 AWS 资源策略,识别可能允许外部实体访问资源的配置,还能帮助确定哪些资源被访问以及访问者身份。
Amazon GuardDuty:一种威胁检测服务,可持续监控 AWS 账户和网络活动,检测恶意活动和未经授权的行为,但本身不能直接阻止特定访问密钥的使用。
IAM 凭证管理:当凭证泄露时,可采取的措施包括停用泄露的访问密钥、为用户创建新凭证等,以防止进一步未经授权的访问。
IAM 凭证报告:生成包含账户中 IAM 用户凭证相关信息的报告,如访问密钥的最后使用时间等,可用于审计和安全分析。