API を使用して多要素認証 (MFA) を有効にすると、AWS マネージド AWS Config ルールが非準拠になります。AWS Identity and Access Management (IAM) ユーザーの MFA を有効にしたか、IAM アクセスキーをローテーションしました。
簡単な説明
GenerateCredentialReport API を呼び出すと、次の AWS マネージド AWS Config ルールが非準拠になります。
ルールは API によって生成された認証情報レポートに依存しているため、ルールが非準拠となります。GenerateCredentialReport コールが呼び出されると、IAM は既存のレポートが存在することを確認します。レポートが過去 4 時間以内に生成されたものである場合、API コールは最新のレポートを使用します。最新のレポートが 4 時間よりも前のものであるか、以前のレポートがない場合は、GenerateCredentialReport API によって新しいレポートが生成されます。詳細については、「AWS アカウントの認証情報レポートを生成する」を参照してください。
解決策
MaximumExecutionFrequency パラメータを 4 時間よりもながい期間に変更します。MaximumExecutionFrequency パラメータは、AWS Config が AWS マネージド定期ルールの評価を実行する最大頻度を示します。
次の手順を実行します。
- AWS Config コンソールを開きます。
- ナビゲーションペインで、[ルール] を選択します。
- AWS Config ルールを選択し、[編集] を選択します。
- [評価モード] の [トリガータイプ] で、[頻度] ドロップダウンリストを選択し、[6 時間]、[12 時間]、[24 時間] のいずれかを選択します。
- [保存] を選択します。
AWS コマンドラインインターフェイスを使用してルールのトリガー頻度を更新するには、put-config-rule コマンドを実行します。
**注:**AWS CLI のコマンドの実行時にエラーが発生する場合は、「AWS CLI エラーのトラブルシューティング」を参照してください。また、AWS CLI の最新バージョンを使用していることを確認してください。
関連情報
ConfigRule
GetCredentialReport