为什么我的 IAM 凭证报告显示我的 AWS Config 托管规则不合规？

简短描述

在调用 API GenerateCredentialReport 以后，AWS 托管 Config 规则 mfa-enabled-for-iam-console-access、iam-user-mfa-enabled、access-keys-rotated 和 iam-user-unused-credentials-check 不合规。原因是这些规则依赖于 API 生成的凭证报告。

调用 GenerateCredentialReport 调用时，IAM 会检查是否存在现有报告。如果报告是在过去 4 小时内生成的，则 API 调用将使用最新的报告，而不会生成一个新报告。如果最新的报告超过 4 小时或者之前没有报告，GenerateCredentialReport API 会生成一个新报告。如需更多信息，见获取您 AWS 账户的凭证报告。

解决方法

将 MaximumExecutionFrequency 参数更改为 4 个小时以上。MaximumExecutionFrequency 表示 AWS Config 为AWS 管理定期规则运行评估的最大频率。

1. 打开 AWS Config console（AWS Config 控制台），然后选择 Rules（规则）。
2. 在 Rule name（规则名称）中，选择您的 AWS Config 规则，然后选择 Edit（编辑）。
3. 在 Trigger（触发器）中，选择 Frequency（频率）下拉菜单，然后选择 6、12 或 24 hours（24 小时）。
4. 选择 Save（保存）。

要使用 AWS 命令行界面 (AWS CLI) 更新规则触发器频率，运行 put-config-rule 命令。

---

相关信息

ConfigRule

GetCredentialReport