本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWSConfigRemediation-RevokeUnusedIAMUserCredentials
Description
AWSConfigRemediation-RevokeUnusedIAMUserCredentials
runbook 撤銷未使用的 AWS Identity and Access Management (IAM)密碼和活動訪問密鑰。此 runbook 也會停用過期的存取金鑰,並刪除過期的登入設定檔。 AWS Config 必須在您執行此自動化操作的 AWS 區域 位置啟用。
文件類型
自動化
擁有者
Amazon
平台
LinuxmacOS, Windows
參數
-
AutomationAssumeRole
類型:字串
描述:(必要) 允許 Systems Manager 自動化代表您執行動作的 AWS Identity and Access Management (IAM) 角色的 Amazon 資源名稱 ()。ARN
-
IAMResourceId
類型:字串
描述:(必要) 您要撤銷未使用認證的IAM資源 ID。
-
MaxCredentialUsageAge
類型:字串
預設:90
說明:(必要) 必須使用認證的天數。
必要的IAM權限
此AutomationAssumeRole
參數需要下列動作才能成功使用 runbook。
-
ssm:StartAutomationExecution
-
ssm:GetAutomationExecution
-
config:ListDiscoveredResources
-
iam:DeleteAccessKey
-
iam:DeleteLoginProfile
-
iam:GetAccessKeyLastUsed
-
iam:GetLoginProfile
-
iam:GetUser
-
iam:ListAccessKeys
-
iam:UpdateAccessKey
文件步驟
-
aws:executeScript
-撤銷IAMResourceId
參數中指定之使用者的IAM認證。過期的存取金鑰會停用,並刪除過期的登入設定檔。
注意
請務必將此修正動作的MaxCredentialUsageAge
參數設定為符合您用來觸發此動作的 AWS Config 規則maxAccessKeyAge
參數:access-keys-rotated