access-keys-rotated

Vérifie si les clés d'accès actives font l'objet d'une rotation (modification) dans le temps imparti spécifié dans maxAccessKeyAge. La règle est NON_COMPLIANT si les clés d'accès n'ont pas fait l'objet d'une rotation dans le délai indiqué. La valeur par défaut est 90 jours.

Avertissement

Ne communiquez pas vos clés d'accès à des tiers non autorisés, même pour vous aider à trouver les identifiants de votre compte. En effet, vous lui accorderiez ainsi un accès permanent à votre compte. En matière de sécurité, les bonnes pratiques consistent à supprimer les mots de passe et les clés d'accès dont les utilisateurs n'ont plus besoin.

Note

Type de ressource marqué comme non conforme dans la console

Si cette règle détecte que l'une de vos clés d'accès n'est pas conforme, le type de AWS::IAM::User ressource sera également marqué comme non conforme dans la AWS console.

Règles gérées et types de ressources IAM globaux

Les types de ressources IAM globaux intégrés avant février 2022 (AWS::IAM::Group, AWS::IAM::PolicyAWS::IAM::Role, etAWS::IAM::User) ne peuvent être enregistrés que AWS Config dans les AWS régions où ils AWS Config étaient disponibles avant février 2022. Ces types de ressources ne peuvent pas être enregistrés dans les régions prises en charge AWS Config après février 2022. Pour une liste de ces régions, voir AWS Ressources d'enregistrement | Ressources mondiales.

Si vous enregistrez un type de ressource IAM global dans au moins une région, les règles périodiques qui indiquent la conformité au type de ressource IAM global exécuteront des évaluations dans toutes les régions où la règle périodique est ajoutée, même si vous n'avez pas activé l'enregistrement du type de ressource IAM global dans la région où la règle périodique a été ajoutée.

Pour éviter des évaluations inutiles, vous devez uniquement déployer des règles périodiques qui signalent la conformité d'un type de ressource IAM global à l'une des régions prises en charge. Pour obtenir la liste des règles gérées prises en charge dans quelles régions, consultez la section Liste des règles AWS Config gérées par disponibilité des régions.

Limites

Cette règle ne s'applique pas aux clés d'accès de l'utilisateur root du AWS compte. Pour supprimer ou faire pivoter vos clés d'accès utilisateur root, utilisez vos informations d'identification d'utilisateur root pour vous connecter à la page Mes informations de sécurité dans le fichier AWS Management Console athttps://aws.amazon.com/console/.

Identificateur : ACCESS_KEYS_ROTATED

Types de ressources : AWS::IAM::User

Type de déclencheur : périodique

Région AWS: Toutes les AWS régions prises en charge

Paramètres :

AccessKeyâge maximum
Type : int
Valeur par défaut : 90: Nombre maximum de jours sans rotation. Valeur par défaut : 90.

AWS CloudFormation modèle

Pour créer des règles AWS Config gérées à l'aide AWS CloudFormation de modèles, voirCréation de règles gérées AWS Config avec des modèles AWS CloudFormation.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Liste des règles gérées

account-part-of-organizations