iam-user-unused-credentialsチェック

AWS Identity and Access Management （IAM) ユーザーに、指定した日数内に使用されていないパスワードまたはアクティブなアクセスキーがあるかどうかを確認します。最近使用されていない非アクティブなアカウントがある場合、ルールは NON_COMPLIANT です。

注記

再評価のタイムライン

最初の評価から 4 時間以内にこのルールを再評価しても結果には影響しません。

マネージドルールとグローバルIAMリソースタイプ

2022 年 2 月より前にオンボーディングされたグローバルIAMリソースタイプ (AWS::IAM::Group、AWS::IAM::Role、、および AWS::IAM::User) は、2022 年 AWS::IAM::Policy2 月より前に AWS Config が利用可能な AWS リージョンでのみ AWS Config によって記録できます。これらのリソースタイプは、2022 年 2 月 AWS Config 以降、 でサポートされているリージョンでは記録できません。これらのリージョンのリストについては、AWS 「リソースの記録 | グローバルリソース」を参照してください。

少なくとも 1 つのリージョンにグローバルIAMリソースタイプを記録する場合、グローバルIAMリソースタイプのコンプライアンスを報告する定期的なルールは、定期的なルールが追加されたリージョンでグローバルIAMリソースタイプの記録を有効にしていない場合でも、定期的なルールが追加されたすべてのリージョンで評価を実行します。

不要な評価を回避するには、グローバルIAMリソースタイプのコンプライアンスを報告する定期的なルールのみを、サポートされているリージョンのいずれかにデプロイする必要があります。どのリージョンでどのマネージドルールがサポートされているかのリストについては、「リージョンの可用性別の AWS Config マネージドルールのリスト」を参照してください。

識別子： IAM_USERUNUSED_CREDENTIALS_CHECK

リソースタイプ： AWS::IAM::User

[トリガータイプ:] 定期的

AWS リージョン： サポートされているすべての AWS リージョン

[パラメータ:]

maxCredentialUsage年齢

タイプ: int

デフォルト: 90

認証情報を使用できない最大日数。デフォルト値は 90 日です。

AWS CloudFormation テンプレート

AWS CloudFormation テンプレートを使用して AWS Config マネージドルールを作成するには、「」を参照してくださいAWS CloudFormation テンプレートを使用した AWS Config マネージドルールの作成。