本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWSConfigRemediation-RevokeUnusedIAMUserCredentials
Description
AWSConfigRemediation-RevokeUnusedIAMUserCredentialsrunbook 撤銷未使用的 AWS Identity and Access Management (IAM)密碼和活動訪問密鑰。此 runbook 也會停用過期的存取金鑰,並刪除過期的登入設定檔。 AWS Config 必須在您執行此自動化操作的 AWS 區域 位置啟用。
文件類型
自動化
擁有者
Amazon
平台
LinuxmacOS, Windows
參數
-
AutomationAssumeRole
類型:字串
描述:(必要) 允許 Systems Manager 自動化代表您執行動作的 AWS Identity and Access Management (IAM) 角色的 Amazon 資源名稱 ()。ARN
-
IAMResourceId
類型:字串
描述:(必要) 您要撤銷未使用認證的IAM資源 ID。
-
MaxCredentialUsageAge
類型:字串
預設:90
說明:(必要) 必須使用認證的天數。
必要的IAM權限
此AutomationAssumeRole參數需要下列動作才能成功使用 runbook。
-
ssm:StartAutomationExecution -
ssm:GetAutomationExecution -
config:ListDiscoveredResources -
iam:DeleteAccessKey -
iam:DeleteLoginProfile -
iam:GetAccessKeyLastUsed -
iam:GetLoginProfile -
iam:GetUser -
iam:ListAccessKeys -
iam:UpdateAccessKey
文件步驟
-
aws:executeScript-撤銷IAMResourceId參數中指定之使用者的IAM認證。過期的存取金鑰會停用,並刪除過期的登入設定檔。
注意
請務必將此修正動作的MaxCredentialUsageAge參數設定為符合您用來觸發此動作的 AWS Config 規則maxAccessKeyAge參數:access-keys-rotated
