翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
access-keys-rotated
アクティブな IAM アクセスキーが、maxAccessKeyAge
で指定された日数内にローテーション (変更) されるかどうかを確認します。アクセスキーが指定した期間内にローテーションされていない場合、ルールは NON_COMPLIANT です。デフォルト値は 90 日です。
警告
アカウント識別子を確認するためであっても、アクセスキーを認可されていない当事者に提供しないでください。提供すると、第三者がアカウントへの永続的なアクセスを取得する場合があります。セキュリティ保護のためのベストプラクティスは、ユーザーがパスワードやアクセスキーを使用しなくなったら、それらを削除することです。
注記
コンソールで非準拠としてマークされたリソースタイプ
このルールにより、いずれかのアクセスキーが非準拠であることが判明した場合、AWS::IAM::User
リソースタイプも AWS コンソールで非準拠としてマークされます。
マネージドルールとグローバル IAM リソースタイプ
2022 年 2 月より前にオンボードされたグローバル IAM リソースタイプ (AWS::IAM::Group
、AWS::IAM::Policy
、AWS::IAM::Role
、および AWS::IAM::User
) は、2022 年 2 月より前に AWS Config が利用可能な AWS リージョンでのみ AWS Config によって記録できます。これらのリソースタイプは、2022 年 2 月 AWS Config 以降、 でサポートされているリージョンでは記録できません。これらのリージョンのリストについては、AWS 「リソースの記録 | グローバルリソース」を参照してください。
少なくとも 1 つのリージョンでグローバル IAM リソースタイプを記録する場合、グローバルリソースタイプのコンプライアンスを報告する定期ルールは、定期ルールが追加されたリージョンでグローバルリソースタイプの記録を有効にしていなくても、定期ルールが追加されたすべてのリージョンで評価を実行します。
不必要な評価を回避するため、グローバル IAM リソースタイプのコンプライアンスを報告する定期ルールは、サポートされているリージョンの 1 つにのみデプロイする必要があります。どのリージョンでどのマネージドルールがサポートされているかのリストについては、「リージョンの可用性別の AWS Config マネージドルールのリスト」を参照してください。
制約事項
このルールは、 AWS アカウントのルートユーザーアクセスキーには適用されません。ルートユーザーアクセスキーを削除またはローテーションするには、ルートユーザーの認証情報を使用して、 AWS Management Console の「My Security Credentials」ページにサインインしますhttps://aws.amazon.com/console/
識別子: ACCESS_KEYS_ROTATED
リソースタイプ: AWS::IAM::User
トリガータイプ: 定期的
AWS リージョン: アジアパシフィック (タイ)、中東 (アラブ首長国連邦)、アジアパシフィック (ハイデラバード)、アジアパシフィック (マレーシア)、アジアパシフィック (メルボルン)、メキシコ (中部)、イスラエル (テルアビブ)、アジアパシフィック (台北)、カナダ西部 (カルガリー)、欧州 (スペイン)、欧州 (チューリッヒ) の各リージョン AWS を除く、サポートされているすべての リージョン
パラメータ :
- maxAccessKeyAge
- タイプ: int
- デフォルト: 90
-
ローテーションなしの最大日数。デフォルト: 90
AWS CloudFormation テンプレート
AWS CloudFormation テンプレートを使用して AWS Config マネージドルールを作成するには、「」を参照してくださいAWS CloudFormation テンプレートを使用した AWS Config マネージドルールの作成。