翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWSConfigRemediation-RevokeUnusedIAMUserCredentials
説明
AWSConfigRemediation-RevokeUnusedIAMUserCredentialsRunbook は未使用 AWS Identity and Access Management (IAM) パスワードとアクティブなアクセスキーを失効させます。また、この Runbook は期限切れのアクセスキーを無効にし、期限切れのログインプロファイルを削除します。 AWS Config この自動化を実行する場所で有効にする必要があります。 AWS リージョン
ドキュメントタイプ
Automation
[所有者]
Amazon
[Platforms] (プラットフォーム)
Linux、macOS、Windows
パラメータ
-
AutomationAssumeRole
型: 文字列
説明: (必須) Systems Manager Automation がユーザーに代わってアクションを実行できるようにする AWS Identity and Access Management (IAM) ロールの Amazon リソースネーム (ARN)。
-
IAM ResourceId
型: 文字列
説明: (必須) 未使用の認証情報を取り消す IAM リソースの ID。
-
MaxCredentialUsageAge
型: 文字列
デフォルト: 90
説明: (必須) 認証情報を使用する必要がある日数。
必要な IAM アクセス許可
AutomationAssumeRole パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。
-
ssm:StartAutomationExecution -
ssm:GetAutomationExecution -
config:ListDiscoveredResources -
iam:DeleteAccessKey -
iam:DeleteLoginProfile -
iam:GetAccessKeyLastUsed -
iam:GetLoginProfile -
iam:GetUser -
iam:ListAccessKeys -
iam:UpdateAccessKey
ドキュメントステップ
-
aws:executeScript-IAMResourceIdパラメータで指定されたユーザーの IAM 認証情報を取り消します。期限切れのアクセスキーが非アクティブ化され、期限切れのログインプロファイルは削除されます。
注記
MaxCredentialUsageAgeこの修復アクションのパラメータは、maxAccessKeyAge AWS Config このアクションをトリガーするために使用するルールのパラメータと一致するように設定してください:. access-keys-rotated
