access-keys-rotated
アクティブな IAM アクセスキーが、maxAccessKeyAge
で指定された日数内にローテーション (変更) されるかどうかを確認します。アクセスキーが指定した期間内にローテーションされていない場合、ルールは NON_COMPLIANT です。
警告
アカウント識別子を確認するためであっても、アクセスキーを不正な当事者に提供しないでください。提供すると、第三者がアカウントへの永続的なアクセスを取得する場合があります。セキュリティ保護のためのベストプラクティスは、ユーザーがパスワードやアクセスキーを使用しなくなったら、それらを削除することです。
注記
AWS リソースの使用
ルールによってアクセスキーのいずれかが非準拠であることが判明した場合、IAM ユーザーリソースタイプも、AWS コンソールで非準拠としてマークされます。詳細については、「AWS Config ルールでのリソースの評価」を参照してください。
AWS::IAM::User
リソースタイプは、2022 年 1 月以前に AWS Config が利用可能であった、サポートされるすべてのリージョンで、AWS Config によって記録されます。これは、このリソースのコンプライアンスを報告する定期的なルールが、サポートされているすべてのリージョンで評価を継続することを意味します。グローバルリソースの記録を有効にしていないリージョンでも同様です。詳細については、AWS Config が記録するリソースの選択を参照してください。
機能制限
このルールは、AWS アカウントのルートユーザーアクセスキーには適用されません。ルートユーザーのアクセスキーを削除またはローテーションするには、ルートユーザーの認証情報を使用して、http://aws.amazon.com/console/
識別子: ACCESS_KEYS_ROTATED
リソースタイプ: AWS::IAM::User
[トリガータイプ:] 定期的
AWS リージョン: 中東 (アラブ首長国連邦)、アジアパシフィック (ハイデラバード)、アジアパシフィック (メルボルン)、イスラエル (テルアビブ)、欧州 (スペイン)、欧州 (チューリッヒ) の各リージョンを除く、サポートされているすべての AWS リージョン
パラメータ:
- maxAccessKeyAge
- タイプ: int
- デフォルト: 90
-
ローテーションなしの最大日数。デフォルト: 90
AWS CloudFormation テンプレート
AWS Config テンプレートを使用して AWS CloudFormation マネージドルールを作成するには、「AWS CloudFormation テンプレートを使用した AWS Config マネージドルールの作成」を参照してください。