翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWSConfigRemediation-RevokeUnusedIAMUserCredentials
説明
AWSConfigRemediation-RevokeUnusedIAMUserCredentials ランブックは、未使用の AWS Identity and Access Management (IAM) パスワードとアクティブなアクセスキーを取り消します。このランブックでは、期限切れのアクセスキーも非アクティブ化され、期限切れのログインプロファイルも削除されます。このオートメーションを実行する AWS リージョン では、 を有効にする AWS Config 必要があります。
ドキュメントタイプ
Automation
[所有者]
Amazon
[Platforms] (プラットフォーム)
Linux、macOS、Windows
パラメータ
-
AutomationAssumeRole
型: 文字列
説明: (必須) Systems Manager Automation がユーザーに代わってアクションを実行できるようにする () ロールARNの AWS Identity and Access Management Amazon リソースネーム (IAM)。
-
IAMResourceId
型: 文字列
説明: (必須) 未使用の認証情報を取り消すIAMリソースの ID。
-
MaxCredentialUsageAge
型: 文字列
デフォルト: 90
説明: (必須) 認証情報を使用する必要がある日数。
必要なIAMアクセス許可
AutomationAssumeRole パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。
-
ssm:StartAutomationExecution -
ssm:GetAutomationExecution -
config:ListDiscoveredResources -
iam:DeleteAccessKey -
iam:DeleteLoginProfile -
iam:GetAccessKeyLastUsed -
iam:GetLoginProfile -
iam:GetUser -
iam:ListAccessKeys -
iam:UpdateAccessKey
ドキュメントステップ
-
aws:executeScript-IAMResourceIdパラメータで指定されたユーザーのIAM認証情報を取り消します。期限切れのアクセスキーが非アクティブ化され、期限切れのログインプロファイルは削除されます。
注記
この修復アクションの MaxCredentialUsageAgeパラメータは、このアクションのトリガーに使用する AWS Config ルールの maxAccessKeyAgeパラメータと一致するように設定してください。 access-keys-rotated
