Security Hub の検出結果で抑制済み (SUPPRESSED) にした IAM ユーザーが失敗 (FAILED) として検知される理由を教えてください

2022.07.29

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

困っていた内容

Security Hub のチェックにおいて、IAM ユーザーが IAM.3 および CIS.1.4 の対象として検知されたため、抑制済み (SUPPRESSED) にしました。

しかし、しばらくしてから 抑制済み (SUPPRESSED) にした IAM ユーザーが失敗 (FAILED) として検知されていました。

Security Hub の検出結果で抑制済み (SUPPRESSED) にした IAM ユーザーが失敗 (FAILED) として検知される理由を教えてください。

どう対応すればいいの?

抑制済み (SUPPRESSED) にした IAM ユーザーのアクセスキーおいて、アクティブなキーが作成されてから経過した期間が 90 日以上になっていないかを確認してください。

「IAM.3」および「CIS.1.4」のルールでは、作成されてから 90 日を超えたアクセスキーを所有している IAM ユーザーを非準拠と判定します。

AWS 公式ドキュメントより

アクティブなアクセスキーが、maxAccessKeyAge で指定された日数内にローテーションされるかどうかを確認します。アクセスキーが最大日数の maxAccessKeyAge を超えても更新されていない場合、ルールは NON_COMPLIANT です。

抑制済み (SUPPRESSED) にした IAM ユーザーのアクセスキーが、作成されてから 90 日以上経過している場合には、対象の Config ルールの評価結果が準拠から非準拠に変更されます。 その結果、Security Hub において抑制済み (SUPPRESSED) の結果がアーカイブされ、新たに失敗 (FAILED) の結果が生成されます。

そのため、IAM ユーザーのアクセスキーおいて、アクティブなキーが作成されてから経過した期間が 90 日以上になっていないかを確認し、必要に応じてアクセスキーをローテーションしてください。

参考資料