为什么我的 IAM 凭证报告显示我的 AWS Config 托管规则不合规?
上次更新时间:2020 年 7 月 8 日
我为 AWS Identity and Access Management (IAM) 用户启用了 Multi-Factor Authentication (MFA)。
-或者-
我对 IAM 访问密钥进行轮换,并且配置在指定天数内使用未被使用的凭证。
但在调用 API GenerateCredentialReport 以后,AWS 托管 Config 规则 mfa-enabled-for-iam-console-access、iam-user-mfa-enabled、access-keys-rotated 和 iam-user-unused-credentials-check 不合规。
简短描述
凭证报告会检查在过去四个小时内是否生成报告。若 AWS config 规则每隔 1-4 个小时被触发,会在 4 个小时以后下载凭证报告的缓存副本。如需更多信息,见获取您 AWS 账户的凭证报告。
解决方法
将 MaximumExecutionFrequency 参数更改为 4 个小时以上。
- 打开 AWS Config 控制台,然后选择规则。
- 在规则名称中,选择您的 AWS Config 规则,然后选择编辑。
- 在触发器中,选择频率下拉菜单,然后选择 6、12 或 24 个小时。
- 选择保存。
要使用 AWS 命令行界面 (AWS CLI) 更新规则触发器频率,运行 put-config-rule 命令。