为什么我的 IAM 凭证报告显示我的 AWS Config 托管规则不合规?
上次更新日期:2022 年 12 月 30 日
当我使用 API 为我的 AWS Identity and Access Management(IAM)用户开启多重身份验证(MFA)或轮换 IAM 访问密钥时,我的 AWS 托管配置规则不合规。
简短描述
在调用 API GenerateCredentialReport 以后,AWS 托管 Config 规则 mfa-enabled-for-iam-console-access、iam-user-mfa-enabled、access-keys-rotated 和 iam-user-unused-credentials-check 不合规。原因是这些规则依赖于 API 生成的凭证报告。
调用 GenerateCredentialReport 调用时,IAM 会检查是否存在现有报告。如果报告是在过去 4 小时内生成的,则 API 调用将使用最新的报告,而不会生成一个新报告。如果最新的报告超过 4 小时或者之前没有报告,GenerateCredentialReport API 会生成一个新报告。如需更多信息,见获取您 AWS 账户的凭证报告。
解决方法
将 MaximumExecutionFrequency 参数更改为 4 个小时以上。MaximumExecutionFrequency 表示 AWS Config 为AWS 管理定期规则运行评估的最大频率。
- 打开 AWS Config console(AWS Config 控制台),然后选择 Rules(规则)。
- 在 Rule name(规则名称)中,选择您的 AWS Config 规则,然后选择 Edit(编辑)。
- 在 Trigger(触发器)中,选择 Frequency(频率)下拉菜单,然后选择 6、12 或 24 hours(24 小时)。
- 选择 Save(保存)。
要使用 AWS 命令行界面 (AWS CLI) 更新规则触发器频率,运行 put-config-rule 命令。