IAM 자격 증명 보고서에 내 AWS Config 관리형 규칙이 규칙 미준수로 표시되는 이유는 무엇입니까?
최종 업데이트 날짜: 2022년 12월 30일
API를 사용하여 AWS Identity and Access Management(IAM) 사용자 또는 교체된 IAM 액세스 키에 대해 다중 인증(MFA) 을 활성화했을 때 AWS 관리형 구성 규칙이 규정을 준수하지 않습니다.
간략한 설명
AWS 관리형 구성 규칙 mfa-enabled-for-iam-console-access, iam-user-mfa-enabled, access-keys-rotated, iam-user-unused-credentials-check가 API GenerateCredentialReport를 호출한 후에 규정을 준수하지 않는 상태가 됩니다. 이는 이러한 규칙이 API에서 생성된 자격 증명 보고서에 의존하기 때문입니다.
GenerateCredentialReport 호출이 호출되면 IAM은 기존 보고서가 있는지 확인합니다. 보고서가 지난 4시간 이내에 생성된 경우 API 호출은 새 보고서를 생성하는 대신 가장 최근 보고서를 사용합니다. 가장 최근 보고서가 4시간이 넘었거나 이전 보고서가 없는 경우 GenerateCredentialReport API가 새 보고서를 생성합니다. 자세한 내용은 AWS 계정에 대한 자격 증명 보고서 가져오기를 참조하세요.
해결 방법
MaximumExecutionFrequency 파라미터를 4시간 이상으로 변경합니다. 최대 실행 빈도는 AWS Config가 AWS 관리형 정기 규칙에 대한 평가를 실행하는 최대 빈도를 나타냅니다.
- AWS Config 콘솔을 연 다음 [규칙]을 선택합니다.
- 규칙 이름에서 AWS Config 규칙을 선택한 다음 편집(Edit)을 선택합니다.
- 트리거에서 Frequency 드롭다운 메뉴를 선택하고 6, 12 또는 24시간을 선택합니다.
- 저장(Save)을 선택합니다.
AWS 명령줄 인터페이스(AWS CLI)를 사용하여 규칙 트리거 빈도를 업데이트하려면 put-config-rule 명령을 실행합니다.