access-keys-rotated

Verifica se as chaves de acesso ativas são alternadas (alteradas) dentro do número de dias especificado em maxAccessKeyAge. A regra será NON_COMPLIANT se as chaves de acesso não forem alternadas dentro do período especificado. O valor padrão é 90 dias.

Atenção

Não as forneça a terceiros não autorizados, mesmo que seja para ajudar a localizar os identificadores da sua conta. Ao fazer isso, você pode dar a alguém acesso permanente à sua conta. As melhores práticas de segurança são remover senhas e chaves de acesso quando os usuários não precisam mais delas.

nota

Tipo de recurso marcado como sem conformidade no console

Se esta regra constatar que alguma de suas chaves de acesso não está em conformidade, o tipo de recurso do AWS::IAM::User também será marcado como sem conformidade no console da AWS.

Regras gerenciadas e tipos de recurso global do IAM

Os tipos de recurso global do IAM de fevereiro de 2022 (AWS::IAM::Group, AWS::IAM::Policy, AWS::IAM::Role e AWS::IAM::User) só podem ser gravados pelo AWS Config em Regiões da AWS onde o AWS Config estava disponível antes de fevereiro de 2022. Esses tipos de recurso não podem ser gravados em regiões compatíveis com o AWS Config depois de fevereiro de 2022. Para obter uma lista dessas Regiões, consulte Gravação de recursos da AWS | Recursos globais.

Se você gravar um tipo de recurso global do IAM em pelo menos uma Região, as regras periódicas que relatam conformidade no tipo de recurso global do IAM executarão avaliações em todas as Regiões onde a regra periódica é adicionada, mesmo que você não tenha habilitado a gravação do tipo de recurso global do IAM na Região onde a regra periódica foi adicionada.

Para evitar avaliações desnecessárias, você só deve implantar regras periódicas que informem a conformidade do tipo global de recursos do IAM em uma das regiões compatíveis. Para obter uma lista de quais regras gerenciadas são compatíveis em quais Regiões, consulte Lista de regras gerenciadas do AWS Config por Disponibilidade de região.

Limitações

Esta regra não se aplica às chaves de acesso do usuário-raiz da conta da AWS. Para excluir ou alternar as chaves de acesso do usuário raiz, use as credenciais do usuário raiz para fazer login na página Minhas credenciais de segurança no Console de gerenciamento da AWS em https://aws.amazon.com/console/.

Identificador: ACCESS_KEYS_ROTATED

Tipos de recurso: AWS::IAM::User

Tipo de acionador: periódico

Região da AWS: todas as regiões da AWS compatíveis, exceto Ásia-Pacífico (Tailândia), Oriente Médio (EAU), Região Secret-West da AWS, Ásia-Pacífico (Hyderabad), Ásia-Pacífico (Malásia), Ásia-Pacífico (Melbourne), México (Centro), Israel (Tel Aviv), Ásia-Pacífico (Taipei), Oeste do Canadá (Calgary), Europa (Espanha) e Europa (Zurique).

Parâmetros:

maxAccessKeyAge
Tipo: int
Padrão: 90: Número máximo de dias sem alternância. Padrão 90.

Modelo do AWS CloudFormation

Para criar regras gerenciadas do AWS Config com modelos do AWS CloudFormation, consulte Criar regras gerenciadas do AWS Config com modelos do AWS CloudFormation.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Lista de regras gerenciadas do

account-part-of-organizations