AWSConfigRemediation-RevokeUnusedIAMUserCredentials - AWS Systems Manager 자동화 런북 참조

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWSConfigRemediation-RevokeUnusedIAMUserCredentials

설명

AWSConfigRemediation-RevokeUnusedIAMUserCredentials런북은 사용하지 않는 AWS Identity and Access Management (IAM) 비밀번호와 활성 액세스 키를 취소합니다. 또한 이 런북은 만료된 액세스 키를 비활성화하고 만료된 로그인 프로필을 삭제합니다. AWS Config 이 자동화를 실행하는 곳에서 활성화해야 합니다. AWS 리전

이 자동화 실행(콘솔)

문서 유형

자동화

소유자

Amazon

플랫폼

Linux, macOS, Windows

Parameters

  • AutomationAssumeRole

    타입: 문자열

    설명: (필수) 사용자를 대신하여 Systems Manager Automation을 통해 작업을 수행할 수 있도록 허용하는 AWS Identity and Access Management (IAM) 역할의 Amazon 리소스 이름(ARN)입니다.

  • IAM ResourceId

    타입: 문자열

    설명: (필수) 사용하지 않은 보안 인증을 취소하려는 IAM 리소스의 ID입니다.

  • MaxCredentialUsageAge

    타입: 문자열

    기본값: 90

    설명: (필수) 보안 인증을 사용했어야만 하는 기간 내의 일 수입니다.

필수 IAM 권한

실행서를 성공적으로 사용하려면 AutomationAssumeRole 파라미터에 다음 작업이 필요합니다.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • config:ListDiscoveredResources

  • iam:DeleteAccessKey

  • iam:DeleteLoginProfile

  • iam:GetAccessKeyLastUsed

  • iam:GetLoginProfile

  • iam:GetUser

  • iam:ListAccessKeys

  • iam:UpdateAccessKey

문서 단계

  • aws:executeScript - IAMResourceId 파라미터에 지정된 사용자의 IAM 보안 인증을 취소합니다. 만료된 액세스 키는 비활성화되고 만료된 로그인 프로파일은 삭제됩니다.

참고

이 수정 조치의 MaxCredentialUsageAge 파라미터가 이 작업을 트리거하는 데 사용하는 AWS Config 규칙의 maxAccessKeyAge 파라미터와 일치하도록 구성해야 합니다. access-keys-rotated