access-keys-rotated

Comprueba si las claves de acceso de IAM activas rotan (se modifican) en el número de días especificados en maxAccessKeyAge. La regla es NON_COMPLIANT si las claves de acceso no se rotan dentro del período de tiempo especificado. El valor predeterminado es 90 días.

aviso

No proporcione sus claves de acceso a terceros no autorizados, ni siquiera para que le ayuden a buscar sus identificadores de cuenta. Si lo hace, podría conceder a otra persona acceso permanente a su cuenta. La práctica recomendada de seguridad es eliminar las contraseñas y claves de acceso cuando los usuarios ya no las necesiten.

nota

Tipo de recurso marcado como no conforme en la consola

Si esta regla determina que alguna de sus claves de acceso no es compatible, el tipo de AWS::IAM::User recurso también se marcará como no compatible en la AWS consola.

Reglas administradas y tipos de recursos de IAM globales

Los tipos de recursos de IAM globales incorporados antes de febrero de 2022 (AWS::IAM::Group, AWS::IAM::PolicyAWS::IAM::Role, yAWS::IAM::User) solo se pueden registrar AWS Config en AWS las regiones en las que AWS Config estaban disponibles antes de febrero de 2022. Estos tipos de recursos no se pueden registrar en las regiones admitidas AWS Config después de febrero de 2022. Para ver una lista de esas regiones, consulta AWS Recursos de grabación | Recursos globales.

Si registra los tipos de recursos de IAM globales en al menos una región, las reglas periódicas que informan del cumplimiento de los tipos de recursos de IAM globales realizarán evaluaciones en todas las regiones en las que se añada la regla periódica, aunque no haya activado el registro de tipos de recursos de IAM globales en la región en la que se ha añadido la regla periódica.

A fin de evitar evaluaciones innecesarias, solo debería implementar reglas periódicas que informen del cumplimiento en un tipo de recurso de IAM global en una de las regiones compatibles. Para ver una lista de las reglas administradas que se admiten en qué regiones, consulte la lista de reglas AWS Config administradas por disponibilidad regional.

Limitaciones

Esta regla no se aplica a las claves de acceso de los usuarios raíz de la AWS cuenta. Para eliminar o cambiar las claves de acceso del usuario raíz, utilice sus credenciales de usuario raíz para iniciar sesión en la página Mis credenciales de seguridad, AWS Management Console en la dirección arrobahttps://aws.amazon.com/console/.

Identificador: ACCESS_KEYS_ROTATED

Tipos de recursos: AWS::IAM::User

Tipo de disparador: periódico

Región de AWS: Todas AWS las regiones compatibles, excepto Asia Pacífico (Tailandia), Oriente Medio (Emiratos Árabes Unidos), Asia Pacífico (Hyderabad), Asia Pacífico (Malasia), Asia Pacífico (Melbourne), México (Central), Israel (Tel Aviv), Canadá Oeste (Calgary), Europa (España), Región Europa (Zúrich)

Parámetros:

maxAccessKeyEdad
Tipo: int
Valor predeterminado: 90: Número máximo de días sin rotación. El valor predeterminado es 90.

AWS CloudFormation plantilla

Para crear reglas AWS Config administradas con AWS CloudFormation plantillas, consulteCreación de reglas AWS Config administradas con AWS CloudFormation plantillas.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Lista de las reglas administradas

account-part-of-organizations