AWS Config マネージドルールに準拠していない旨が IAM 認証情報レポートに表示されるのはなぜですか?

簡単な説明

GenerateCredentialReport の API を呼び出した後、mfa-enabled-for-iam-console-access、 iam-user-mfa-enabled、access-keys-rotated、iam-user-unused-credentials-check の AWS マネージド設定ルールに非準拠となります。これは、これらのルールが API によって生成された認証情報レポートに依拠しているためです。

GenerateCredentialReport 呼び出しが実行されると、IAM は既存のレポートがあるかどうかを確認します。レポートが直近 4 時間以内に生成された場合、API コールは新しいレポートを生成するのではなく、最新のレポートを使用します。最新のレポートが生成されてから 4 時間を超える時間が経過している場合、または以前のレポートがない場合、GenerateCredentialReport API は新しいレポートを生成します。詳細については、「AWS アカウントの認証情報レポートの取得」を参照してください。

解決方法

[MaximumExecutionFrequency] パラメータを 4 時間超に変更します。MaximumExecutionFrequency は、AWS Config が AWS Managed Periodic ルールの評価を実行する最大頻度を示します。

1. AWS Config コンソールを開き、[Rules] (ルール) を選択します。
2. [Rule name] (ルール名) で、AWS Config ルールを選択し、[Edit] (編集) を選択します。
3. [Trigger] (トリガー) で、[Frequency] (頻度) のドロップダウンメニューを選択し、6、12、または 24 時間を選択します。
4. [Save] (保存) を選択します。

AWS コマンドラインインターフェイス (AWS CLI) を使用してルールトリガーの頻度を更新するには、put-config-rule コマンドを実行します。

---

関連情報

ConfigRule

GetCredentialReport