本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWSConfigRemediation-RevokeUnusedIAMUserCredentials
描述
AWSConfigRemediation-RevokeUnusedIAMUserCredentials运行手册会撤销未使用的 AWS Identity and Access Management (IAM) 密码和有效的访问密钥。此运行手册还会停用过期的访问密钥,并删除过期的登录配置文件。 AWS Config 必须在运行此自动化的 AWS 区域 位置中启用。
文档类型
自动化
所有者
Amazon
平台
Linux、macOS、Windows
参数
-
AutomationAssumeRole
类型:字符串
描述:(必需)允许 Systems Manager Automation 代表您执行操作的 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。
-
IAM ResourceId
类型:字符串
描述:(必需)要从其撤销未使用的凭证的 IAM 资源的 ID。
-
MaxCredentialUsageAge
类型:字符串
默认:90
描述:(必需)凭证必须已使用的天数。
所需的 IAM 权限
AutomationAssumeRole 参数需要执行以下操作才能成功使用运行手册。
-
ssm:StartAutomationExecution -
ssm:GetAutomationExecution -
config:ListDiscoveredResources -
iam:DeleteAccessKey -
iam:DeleteLoginProfile -
iam:GetAccessKeyLastUsed -
iam:GetLoginProfile -
iam:GetUser -
iam:ListAccessKeys -
iam:UpdateAccessKey
文档步骤
-
aws:executeScript- 撤销您在IAMResourceId参数中指定的用户的 IAM 凭证。过期的访问密钥将被停用,过期的登录配置文件将被删除。
注意
确保将此修复操作的MaxCredentialUsageAge参数配置为与用于触发此操作的 AWS Config 规则的maxAccessKeyAge参数相匹配:access-keys-rotated
