當我使用 API 為 AWS Identity and Access Management (IAM) 使用者或輪換 IAM 存取金鑰啟用多重要素驗證 (MFA) 時,我的 AWS 受管組態規則不合規。
叫用 API GenerateCredentialReport 之後,AWS 受管組態規則 mfa-enabled-for-iam-console-access、iam-user-mfa-enabled、access-keys-rotated 和 iam-user-unused-credentials-check 不合規。這是因為這些規則依賴於 API 產生的憑證報告。
叫用 GenerateCredentialReport 呼叫時,IAM 會檢查是否存在現有報告。如果該報告在過去四個小時內產生,API 呼叫將使用最新的報告,而不會產生新的報告。如果最新的報告已超過四個小時,或者之前沒有任何報告,GenerateCredentialReport API 會產生新的報告。如需詳細資訊,請參閱取得 AWS 帳戶的憑證報告。
將 MaximumExecutionFrequency 參數變更為 4 小時以上。MaximumExecutionFrequency 表示 AWS Config 為 AWS 受管週期性規則執行評估的最大頻率。
若要使用 AWS Command Line Interface (AWS CLI) 更新規則觸發條件頻率,請執行 put-config-rule 命令。
ConfigRule
GetCredentialReport