access-keys-rotated - AWS Config

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

access-keys-rotated

で指定された日数内にアクティブなIAMアクセスキーがローテーション (変更) されているかどうかを確認しますmaxAccessKeyAge。アクセスキーが指定された期間内にローテーションされない場合、ルールは NON_COMPLIANT です。デフォルト値は 90 日です。

警告

アカウント識別子を確認するためであっても、アクセスキーを認可されていない当事者に提供しないでください。提供すると、第三者がアカウントへの永続的なアクセスを取得する場合があります。セキュリティ保護のためのベストプラクティスは、ユーザーがパスワードやアクセスキーを使用しなくなったら、それらを削除することです。

注記

コンソールで非準拠としてマークされたリソースタイプ

このルールにより、いずれかのアクセスキーが非準拠であることが判明した場合、AWS::IAM::Userリソースタイプも AWS コンソールで非準拠としてマークされます。

マネージドルールとグローバルIAMリソースタイプ

2022 年 2 月より前にオンボーディングされたグローバルIAMリソースタイプ (AWS::IAM::GroupAWS::IAM::Role、、および AWS::IAM::PolicyAWS::IAM::User) は、2022 年 2 月より前に が利用可能 AWS Config であった AWS リージョンでのみ AWS Config によって記録できます。これらのリソースタイプは、2022 年 2 月 AWS Config 以降に でサポートされているリージョンでは記録できません。これらのリージョンのリストについては、AWS 「リソースの記録 | グローバルリソース」を参照してください。

少なくとも 1 つのリージョンにグローバルIAMリソースタイプを記録する場合、グローバルIAMリソースタイプのコンプライアンスを報告する定期的なルールは、定期的なルールが追加されたリージョンでグローバルIAMリソースタイプの記録を有効にしていない場合でも、定期的なルールが追加されたすべてのリージョンで評価を実行します。

不要な評価を回避するには、グローバルIAMリソースタイプのコンプライアンスを報告する定期的なルールのみを、サポートされているリージョンのいずれかにデプロイする必要があります。どのマネージドルールがどのリージョンでサポートされているかのリストについては、「リージョンの可用性別の AWS Config マネージドルールのリスト」を参照してください。

制約事項

このルールは、 AWS アカウントのルートユーザーアクセスキーには適用されません。ルートユーザーのアクセスキーを削除またはローテーションするには、ルートユーザーの認証情報を使用して、 の の「マイセキュリティ認証情報」ページにサインインします AWS Management Console https://aws.amazon.com/console/

識別子: ACCESS_KEYS_ROTATED

リソースタイプ: AWS::IAM::User

トリガータイプ: 定期的

AWS リージョン: 米国ISO西部、中東 (UAE)、アジアパシフィック (ハイデラバード)、アジアパシフィック (マレーシア)、アジアパシフィック (メルボルン)、イスラエル (テルアビブ)、カナダ西部 (カルガリー)、欧州 (スペイン)、欧州 (チューリッヒ) AWS の各リージョンを除く、サポートされているすべての リージョン

[パラメータ:]

maxAccessKey年齢
タイプ: int
デフォルト: 90

ローテーションなしの最大日数。デフォルト: 90

AWS CloudFormation テンプレート

AWS CloudFormation テンプレートを使用して AWS Config マネージドルールを作成するには、「」を参照してくださいAWS CloudFormation テンプレートを使用した AWS Config マネージドルールの作成