本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
access-keys-rotated
檢查作用中的 IAM 存取金鑰是否於 maxAccessKeyAge
指定的天數內進行輪換 (變更)。如果存取金鑰未在指定的期間內輪換,則表示規則為「NON_COMPLIANT」。預設值為 90 天。
注意
在主控台中標示為不相容的資源類型
如果此規則發現您的任何存取金鑰不相容,AWS::IAM::User
資源類型也會在主控台中標示為不相容。 AWS
受管規則和全域 IAM 資源類型
2022 年 2 月之前登入的全球 IAM 資源類型 (AWS::IAM::Group
、AWS::IAM::Policy
AWS::IAM::Role
、和AWS::IAM::User
) 只能在 2022 年 2 月之前提供的 AWS 區域 AWS Config 中 AWS Config 記錄。這些資源類型無法在 2022 年 2 月 AWS Config 之後支援的地區中記錄。如需這些區域的清單,請參閱錄製 AWS 資源 | 全域資源。
如果您至少在一個區域中記錄全域 IAM 資源類型,則針對全域 IAM 資源類型報告合規的週期性規則將會在新增週期性規則的所有區域執行評估,即使您尚未在新增週期性規則的區域中啟用全域 IAM 資源類型的記錄也是如此。
為了避免不必要的評估,您應該只將報告全域 IAM 資源類型合規的定期規則部署到其中一個支援的區域。如需哪些區域支援受管理規則的清單,請參閱依區域可用性區域排列的 AWS Config 受管規則清單。
限制
此規則不適用於 AWS 帳號根使用者存取金鑰。若要刪除或輪替您的 root 使用者存取金鑰,請使用您的 root 使用者認證登入 AWS Management Console 位置中的「我的安全認證」頁面https://aws.amazon.com/console/
Identifier: (識別符:) ACCESS_KEYS_ROTATED
資源類型: AWS::IAM::User
觸發類型:定期
AWS 區域:所有支援的 AWS 地區
參數:
- 最大AccessKey年齡
- 類型:int
- 預設:90
-
未進行輪換的天數上限。預設:90。
AWS CloudFormation 範本
若要使用 AWS CloudFormation 範本建立 AWS Config 受管規則,請參閱建立 AWS Config 受管規則 (使用 AWS CloudFormation 範本)。