access-keys-rotated

Verifica se le chiavi di accesso IAM attive vengono ruotate (cambiate) entro il numero di giorni specificato in maxAccessKeyAge. La regola è NON_COMPLIANT se le chiavi di accesso non vengono ruotate entro il periodo di tempo specificato. Il valore predefinito è 90 giorni.

avvertimento

Non fornire le chiavi di accesso a parti non autorizzate, neppure per contribuire a trovare gli identificatori di account. Se lo facessi, daresti a qualcuno accesso permanente al tuo account. La sicurezza delle best practice consiste nel rimuovere le password e le chiavi di accesso quando gli utenti non ne hanno più bisogno.

Nota

Utilizzo delle risorse AWS

Se la regola rileva che una delle chiavi di accesso non è conforme, anche il tipo di risorsa AWS::IAM::User verrà contrassegnato come non conforme nella console AWS.

Il tipo di risorsa AWS::IAM::User può essere registrato da AWS Config solo nelle regioni in cui AWS Config era disponibile prima di febbraio 2022. AWS::IAM::User non può essere registrato nelle regioni supportate da AWS Config dopo febbraio 2022.

Inoltre, se hai scelto di registrare AWS::IAM::User in almeno una regione, le regole periodiche come questa che segnalano la conformità su AWS::IAM::User eseguiranno valutazioni su AWS::IAM::User in tutte le regioni in cui viene aggiunta la regola periodica, anche se non hai abilitato la registrazione di AWS::IAM::User nella regione in cui è stata aggiunta la regola periodica.

Occorre implementare questa regola solo in una delle regioni supportate per evitare valutazioni non necessarie e limitazioni delle API. La mancata abilitazione della registrazione dei tipi di risorse IAM globali non impedirà a questa regola di eseguire valutazioni, se hai abilitato la registrazione dei tipi di risorse IAM globali in un'altra regione. Per evitare valutazioni non necessarie, limita l'implementazione di questa regola solo a una regione.

Limitazioni

La regola non si applica alle chiavi di accesso dell'utente root dell'account AWS. Per eliminare o ruotare le chiavi di accesso dell'utente root, utilizza le credenziali dell'utente root per accedere alla pagina Le mie credenziali di sicurezza nella AWS Management Console all'indirizzo https://aws.amazon.com/console/.

Identifier (Identificatore): ACCESS_KEYS_ROTATED

Tipi di risorse: AWS::IAM::User

Tipo di trigger: Periodico

Regione AWS: tutte le regioni AWS supportate tranne le regioni Medio Oriente (Emirati Arabi Uniti), Asia Pacifico (Hyderabad), Asia Pacifico (Melbourne), Israele (Tel Aviv), Canada occidentale (Calgary), Europa (Spagna), Europa (Zurigo)

Parametri:

maxAccessKeyEtà
Tipo: int
Impostazione predefinita: 90: Numero massimo di giorni senza rotazione. Impostazione predefinita: 90.

Modello di AWS CloudFormation

Per creare regole gestite di AWS Config con i modelli AWS CloudFormation, vedere Creazione di regole gestite di AWS Config con modelli AWS CloudFormation.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Elenco delle regole gestite di

account-part-of-organizations