access-keys-rotated

Comprueba si las claves de acceso de IAM activas rotan (se modifican) en el número de días especificados en maxAccessKeyAge. La regla es NON_COMPLIANT si las claves de acceso no se rotan dentro del período de tiempo especificado. El valor predeterminado es 90 días.

aviso

No proporcione sus claves de acceso a terceros no autorizados, ni siquiera para que le ayuden a buscar sus identificadores de cuenta. Si lo hace, podría conceder a otra persona acceso permanente a su cuenta. La práctica recomendada de seguridad es eliminar las contraseñas y claves de acceso cuando los usuarios ya no las necesiten.

nota

Tipo de recurso marcado como no compatible en la consola

Si esta regla determina que alguna de sus claves de acceso no es compatible, el tipo de AWS::IAM::User recurso también se marcará como no compatible en la consola. AWS

Reglas administradas y tipos de recursos de IAM globales

Los tipos de recursos de IAM globales incorporados antes de febrero de 2022 (AWS::IAM::Group, AWS::IAM::PolicyAWS::IAM::Role, yAWS::IAM::User) solo se pueden registrar AWS Config en AWS las regiones en las que AWS Config estaban disponibles antes de febrero de 2022. Estos tipos de recursos no se pueden registrar en las regiones admitidas AWS Config después de febrero de 2022. Para ver una lista de esas regiones, consulta AWS Recursos de grabación | Recursos globales.

Si registra un tipo de recurso de IAM global en al menos una región, las normas periódicas que informan del cumplimiento del tipo de recurso de IAM global realizarán evaluaciones en todas las regiones en las que se añada la regla periódica, incluso si no ha activado el registro del tipo de recurso de IAM global en la región en la que se agregó la regla periódica.

Para evitar evaluaciones innecesarias, solo debe implementar reglas periódicas que informen sobre el cumplimiento de un tipo de recurso de IAM global a una de las regiones compatibles. Para ver una lista de las reglas gestionadas que se admiten en cada región, consulte la lista de reglas AWS Config gestionadas por disponibilidad regional.

Limitaciones

Esta regla no se aplica a las claves de acceso de los usuarios raíz de la AWS cuenta. Para eliminar o cambiar las claves de acceso del usuario raíz, utilice sus credenciales de usuario raíz para iniciar sesión en la página Mis credenciales de seguridad, AWS Management Console en la dirección arrobahttps://aws.amazon.com/console/.

Identificador: ACCESS_KEYS_ROTATED

Tipos de recursos: AWS::IAM::User

Tipo de disparador: periódico

Región de AWS: Todas las AWS regiones compatibles

Parámetros:

AccessKeyEdad máxima
Tipo: int
Valor predeterminado: 90: Número máximo de días sin rotación. El valor predeterminado es 90.

AWS CloudFormation plantilla

Para crear reglas AWS Config administradas con AWS CloudFormation plantillas, consulteCreación de reglas administradas de AWS Config con plantillas de AWS CloudFormation.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Lista de las reglas administradas

account-part-of-organizations