为什么我的 IAM 凭证报告显示我的 AWS Config 托管规则不合规?

1 分钟阅读
0

当我使用 API 开启多重身份验证 (MFA) 时,我的 AWS 托管的 AWS Config 规则不合规。我为我的 AWS Identity and Access Management (IAM) 用户启用了 MFA 或轮换了 IAM 访问密钥。

简短描述

在您调用 GenerateCredentialReport API 后,以下 AWS 托管的 AWS Config 规则不合规:

由于这些规则依赖于 API 生成的凭证报告,因此这些规则不合规。当发起 GenerateCredentialReport 调用时,IAM 会检查以确认是否存在现有报告。如果报告是在过去四小时内生成的,则 API 调用将使用最新的报告。如果最新的报告已发布超过四个小时,或者之前没有报告,则 GenerateCredentialReport API 会生成一份新报告。有关详细信息,请参阅为您的 AWS 账户生成凭证报告

解决方法

MaximumExecutionFrequency 参数更改为超过四小时。MaximumExecutionFrequency 参数指示 AWS Config 对 AWS 托管定期规则运行评估的最大频率。

完成以下步骤:

  1. 打开 AWS Config 控制台
  2. 在导航窗格中,选择 Rules(规则)。
  3. 选择您的 AWS Config 规则,然后选择 Edit(编辑)。
  4. Evaluation mode(评估模式)下,对于 Trigger type(触发器类型),选择 Frequency(频率)下拉列表,然后选择 61224 hours(24 小时)。
  5. 选择 Save(保存)。

要使用 AWS 命令行界面更新规则触发频率,请运行 put-config-rule 命令。

注意:如果在运行 AWS CLI 命令时收到错误,请参阅排查 AWS CLI 错误。此外,确保您使用的是最新的 AWS CLI 版本

相关信息

ConfigRule

GetCredentialReport

AWS 官方
AWS 官方已更新 4 个月前