As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWSConfigRemediation-RevokeUnusedIAMUserCredentials
Descrição
O AWSConfigRemediation-RevokeUnusedIAMUserCredentials runbook revoga senhas não utilizadas AWS Identity and Access Management (IAM) e chaves de acesso ativas. Esse runbook também desativa as chaves de acesso expiradas e exclui os perfis de login expirados. AWS Config deve estar habilitado no Região da AWS local em que você executa essa automação.
Executar esta automação (console)
Tipo de documento
Automação
Proprietário
Amazon
Plataformas
Linux, macOS, Windows
Parâmetros
-
AutomationAssumeRole
Tipo: string
Descrição: (Obrigatório) O Amazon Resource Name (ARN) da função AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation execute as ações em seu nome.
-
IAMResourceId
Tipo: string
Descrição: (Obrigatório) O ID do IAM recurso do qual você deseja revogar as credenciais não utilizadas.
-
MaxCredentialUsageAge
Tipo: string
Padrão: 90
Descrição: (obrigatório) O número de dias em que a credencial deve ter sido usada.
IAMPermissões necessárias
O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.
-
ssm:StartAutomationExecution -
ssm:GetAutomationExecution -
config:ListDiscoveredResources -
iam:DeleteAccessKey -
iam:DeleteLoginProfile -
iam:GetAccessKeyLastUsed -
iam:GetLoginProfile -
iam:GetUser -
iam:ListAccessKeys -
iam:UpdateAccessKey
Etapas do documento
-
aws:executeScript- Revoga IAM as credenciais do usuário especificado noIAMResourceIdparâmetro. As chaves de acesso expiradas são desativadas e os perfis de login expirados são excluídos.
nota
Certifique-se de configurar o MaxCredentialUsageAge parâmetro desta ação de remediação para corresponder ao maxAccessKeyAge parâmetro da AWS Config regra que você usa para acionar esta ação: access-keys-rotated
