使用 SCP 阻止资源浏览器服务

多个 ListX 和 DescribeY API 调用会生成可疑的 CloudTrail 事件和警报。如果威胁行为者运气不好，没有窃取根访问密钥（占 AWS 所有初始访问方法的 20% ）或高权限访问密钥，那么他们就有可能因为出现异常数量的“访问被拒绝”错误而被抓住。

AWS Resource Explorer 被描述为“资源搜索和发现服务。使用 Resource Explorer，您可以像互联网搜索引擎一样探索您的资源，例如 Amazon Elastic Compute Cloud 实例、Amazon Kinesis 流或 Amazon DynamoDB 表。”

从攻击角度来看，资源浏览器可以成为绝佳的信息来源。由于它使用与服务关联的角色来索引资源，攻击者可以避免直接进行 API 调用。相反，他们可以查询索引并通过服务进行枚举调用，从而将此类活动与自身活动分离。通过 AWS 服务代理枚举活动。这样，这些 API 调用就不会被追溯到威胁行为者所窃取的身份。

如果您的组织不使用资源浏览器，并且您想要降低对手可能利用它攻击您的风险，则可以使用服务控制策略 (SCP) 阻止该服务。

SCP 可让您在 AWS Organizations 中或整个组织内，拒绝组织内特定 AWS API 调用和命名空间。要阻止使用该服务，您可以使用以下 SCP 并将其附加到组织内的组织单位 (OU) 和账户。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1",
      "Effect": "Deny",
      "Action": [
        "resource-explorer-2:*"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}