翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWSConfigRemediation-RevokeUnusedIAMUserCredentials
説明
AWSConfigRemediation-RevokeUnusedIAMUserCredentials
Runbook は未使用 AWS Identity and Access Management (IAM) パスワードとアクティブなアクセスキーを失効させます。また、この Runbook は期限切れのアクセスキーを無効にし、期限切れのログインプロファイルを削除します。 AWS Config この自動化を実行する場所で有効にする必要があります。 AWS リージョン
ドキュメントタイプ
Automation
[所有者]
Amazon
[Platforms] (プラットフォーム)
Linux、macOS、Windows
パラメータ
-
AutomationAssumeRole
型: 文字列
説明: (必須) Systems Manager Automation がユーザーに代わってアクションを実行できるようにする AWS Identity and Access Management (IAM) ロールの Amazon リソースネーム (ARN)。
-
IAM ResourceId
型: 文字列
説明: (必須) 未使用の認証情報を取り消す IAM リソースの ID。
-
MaxCredentialUsageAge
型: 文字列
デフォルト: 90
説明: (必須) 認証情報を使用する必要がある日数。
必要な IAM アクセス許可
AutomationAssumeRole
パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。
-
ssm:StartAutomationExecution
-
ssm:GetAutomationExecution
-
config:ListDiscoveredResources
-
iam:DeleteAccessKey
-
iam:DeleteLoginProfile
-
iam:GetAccessKeyLastUsed
-
iam:GetLoginProfile
-
iam:GetUser
-
iam:ListAccessKeys
-
iam:UpdateAccessKey
ドキュメントステップ
-
aws:executeScript
-IAMResourceId
パラメータで指定されたユーザーの IAM 認証情報を取り消します。期限切れのアクセスキーが非アクティブ化され、期限切れのログインプロファイルは削除されます。
注記
MaxCredentialUsageAge
この修復アクションのパラメータは、maxAccessKeyAge
AWS Config このアクションをトリガーするために使用するルールのパラメータと一致するように設定してください:. access-keys-rotated