当我使用 API 为我的 AWS Identity and Access Management(IAM)用户开启多重身份验证(MFA)或轮换 IAM 访问密钥时,我的 AWS 托管配置规则不合规。
在调用 API GenerateCredentialReport 以后,AWS 托管 Config 规则 mfa-enabled-for-iam-console-access、iam-user-mfa-enabled、access-keys-rotated 和 iam-user-unused-credentials-check 不合规。原因是这些规则依赖于 API 生成的凭证报告。
调用 GenerateCredentialReport 调用时,IAM 会检查是否存在现有报告。如果报告是在过去 4 小时内生成的,则 API 调用将使用最新的报告,而不会生成一个新报告。如果最新的报告超过 4 小时或者之前没有报告,GenerateCredentialReport API 会生成一个新报告。如需更多信息,见获取您 AWS 账户的凭证报告。
将 MaximumExecutionFrequency 参数更改为 4 个小时以上。MaximumExecutionFrequency 表示 AWS Config 为AWS 管理定期规则运行评估的最大频率。
要使用 AWS 命令行界面 (AWS CLI) 更新规则触发器频率,运行 put-config-rule 命令。
ConfigRule
GetCredentialReport