先日誤ってアクセスキーがコード中にベタ書き状態のコミットがあるのを忘れていて（修正したコミットが最新だったのよ。。） Githubにpushしたところ、すぐさまAWSとGithubから注意メールが届きまして。

で、 AWSのCloudTrailで不正な操作がないか調べていたところ、そのIAMユーザーにポリシーを付与するという身に覚えのない操作をしている履歴があり。

AWSから届いたメールを見ると、

To protect your account from excessive charges and unauthorized activity, we have attached the "AWSCompromisedKeyQuarantineV2" AWS Managed Policy ("Quarantine Policy") to the IAM User listed above. 
The Quarantine Policy attached to the User protects your account by limiting permissions for a narrow set of AWS services that are targeted by bad actors with publicly available IAM credentials.

不正な操作を防止するために AWSCompromisedKeyQuarantineV2 というロールを付与したとのこと。

このロールの中身を見てみると ec2:RunInstances や iam:ChangePassword、iam:CreateAccessKey 等が denyされているのでした。

何年か前に同じことをやらかしたときはこんな機能無かったので（そもそもAWSが検知していなかったと思う）びっくりでした。便利。

（もちろんこの後該当ユーザーのアクセスキーは無効化して新しいやつ発行しました）