Security Hub の検出結果で抑制済み (SUPPRESSED) にした IAM ユーザーが失敗 (FAILED) として検知される理由を教えてください

Security Hub の検出結果で抑制済み (SUPPRESSED) にした IAM ユーザーが失敗 (FAILED) として検知される理由を教えてください

2022.07.29

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

Here is the English version

困っていた内容

Security Hub のチェックにおいて IAM ユーザーが IAM.3 の対象として検知されたため抑制済み (SUPPRESSED) にしました。

しかし、しばらくしてから 抑制済み (SUPPRESSED) にした IAM ユーザーが失敗 (FAILED) として検知されていました。

Security Hub の検出結果で抑制済み (SUPPRESSED) にした IAM ユーザーが失敗 (FAILED) として検知される理由を教えてください。

どう対応すればいいの?

抑制済み (SUPPRESSED) にした IAM ユーザーのアクセスキーおいて、アクティブなキーが作成されてから経過した期間が 90 日以上になっていないかを確認してください。

IAM.3 の Config ルールでは作成されてから 90 日を超えたアクセスキーを所有している IAM ユーザーを非準拠と判定します。

access-keys-rotated - AWS Config

アクティブな IAM アクセスキーが、maxAccessKeyAge で指定された日数内にローテーション (変更) されるかどうかを確認します。アクセスキーが指定した期間内にローテーションされていない場合、ルールは NON_COMPLIANT です。デフォルト値は 90 日です。

抑制済み (SUPPRESSED) にした IAM ユーザーのアクセスキーが作成されてから 90 日以上経過している場合には、対象の Config ルールの評価結果が準拠から非準拠に変更されます。
その結果、Security Hub において抑制済み (SUPPRESSED) の結果がアーカイブされ、新たに失敗 (FAILED) の結果が生成されます。

そのため、IAM ユーザーのアクセスキーおいてアクティブなキーが作成されてから経過した期間が 90 日以上になっていないかを確認し、必要に応じてアクセスキーをローテーションしてください。

参考資料

この記事をシェアする

FacebookHatena blogX

関連記事