为什么我的 IAM 凭证报告显示我的 AWS Config 托管规则不合规?

上次更新日期:2022 年 12 月 30 日

当我使用 API 为我的 AWS Identity and Access Management(IAM)用户开启多重身份验证(MFA)或轮换 IAM 访问密钥时,我的 AWS 托管配置规则不合规。

简短描述

在调用 API GenerateCredentialReport 以后,AWS 托管 Config 规则 mfa-enabled-for-iam-console-accessiam-user-mfa-enabledaccess-keys-rotatediam-user-unused-credentials-check 不合规。原因是这些规则依赖于 API 生成的凭证报告。

调用 GenerateCredentialReport 调用时,IAM 会检查是否存在现有报告。如果报告是在过去 4 小时内生成的,则 API 调用将使用最新的报告,而不会生成一个新报告。如果最新的报告超过 4 小时或者之前没有报告,GenerateCredentialReport API 会生成一个新报告。如需更多信息,见获取您 AWS 账户的凭证报告

解决方法

MaximumExecutionFrequency 参数更改为 4 个小时以上。MaximumExecutionFrequency 表示 AWS Config 为AWS 管理定期规则运行评估的最大频率。

  1. 打开 AWS Config console(AWS Config 控制台),然后选择 Rules(规则)。
  2. Rule name(规则名称)中,选择您的 AWS Config 规则,然后选择 Edit(编辑)。
  3. Trigger(触发器)中,选择 Frequency(频率)下拉菜单,然后选择 61224 hours(24 小时)。
  4. 选择 Save(保存)。

要使用 AWS 命令行界面 (AWS CLI) 更新规则触发器频率,运行 put-config-rule 命令。

ConfigRule

GetCredentialReport

这篇文章对您有帮助吗?

提交反馈

您是否需要账单或技术支持?

联系 AWS Support