Meine von AWS verwalteten Config-Regeln sind nicht konform, als ich die API verwendet habe, um die Multi-Faktor-Authentifizierung (MFA) für meine AWS Identity and Access Management (IAM)-Benutzer oder rotierte IAM-Zugriffsschlüssel zu aktivieren.
Kurzbeschreibung
Die von AWS verwalteten Config-Regeln mfa-enabled-for-iam-console-access, iam-user-mfa-enabled, access-keys-rotated und iam-user-unused-credentials check sind nach dem Aufrufen der API GenerateCredentialReport nicht konform. Dies liegt daran, dass diese Regeln auf dem von der API generierten Anmeldeinformationsbericht basieren.
Wenn ein GenerateCredentialReport-Aufruf ausgeführt wird, überprüft IAM, ob ein Bericht vorhanden ist. Wenn der Bericht innerhalb der letzten vier Stunden generiert wurde, verwendet der API-Aufruf den neuesten Bericht, anstatt einen neuen Bericht zu generieren. Wenn der neueste Bericht älter als vier Stunden ist oder es keine früheren Berichte gibt, generiert die GenerateCredentialReport-API einen neuen Bericht. Weitere Informationen finden Sie unter Abrufen von Anmeldeinformationsberichten für Ihr AWS-Konto.
Lösung
Ändern Sie den Parameter MaximumExecutionFrequency auf mehr als 4 Stunden. MaximumExecutionFrequency gibt die maximale Häufigkeit an, mit der AWS Config Evaluierungen für eine AWS Managed Periodic-Regel durchführt.
- Öffnen Sie die AWS Config-Konsole und wählen Sie dann Regeln aus.
- Wählen Sie unter Regelname Ihre AWS-Config-Regel und dann Bearbeiten aus.
- Wählen Sie unter Auslöser das Dropdownmenü Frequenz und anschließend 6, 12 oder 24 Stunden aus.
- Wählen Sie Speichern aus.
Führen Sie den Befehl put-config-rule aus, um die Häufigkeit der Regelauslösung mithilfe der AWS Command Line Interface (AWS CLI) zu aktualisieren.
Ähnliche Informationen
ConfigRule
GetCredentialReport