本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# access-keys-rotated
<a name="access-keys-rotated"></a>

检查活动 IAM 访问密钥是否在 `maxAccessKeyAge` 中指定的天数内轮换（更改）。如果访问密钥未在指定时间段内轮换，则此规则为 NON\$1COMPLIANT。默认值为 90 天。

**警告**  
请不要向未经授权方提供访问密钥，即便是为了帮助[找到您的账户标识符](https://docs.amazonaws.cn/general/latest/gr/acct-identifiers.html)也不行。通过这样做，您可以授予他人永久访问您的帐户的权限。安全[最佳实践](https://docs.amazonaws.cn/accounts/latest/reference/best-practices.html)是，在用户不再需要密码和访问密钥时将其删除。

**注意**  
**控制台中标记为“不合规”的资源类型**  
如果此规则发现您的任何访问密钥不合规，则该`AWS::IAM::User`资源类型也将在控制台中标记为不合规。 Amazon   
**托管规则和全局 IAM 资源类型**  
2022 年 2 月之前加入的全球 IAM 资源类型（`AWS::IAM::Group``AWS::IAM::Policy`、`AWS::IAM::Role`、和`AWS::IAM::User`）只能在 2022 年 2 月之前可用的 Amazon Amazon Config 区域 Amazon Config 中进行记录。2022 年 2 月 Amazon Config 之后将无法在支持的区域中记录这些资源类型。有关这些区域的列表，请参阅[录制 Amazon 资源 \$1 全球资源](https://docs.amazonaws.cn/config/latest/developerguide/select-resources.html#select-resources-all)。  
如果您至少在一个区域记录全局 IAM 资源类型，则报告全局 IAM 资源类型合规性的定期规则将在添加定期规则的所有区域运行评估，即使您尚未在已添加定期规则的区域启用全局 IAM 资源类型的记录，也是如此。  
为避免不必要的评估，您应仅将报告全局 IAM 资源类型合规性的定期规则部署到支持的区域之一。有关哪些区域支持哪些托管规则的[列表，请参阅按区域可用性列出的 Amazon Config 托管规则](https://docs.amazonaws.cn/config/latest/developerguide/managing-rules-by-region-availability.html)列表。  
**限制**  
此规则不适用于 Amazon 账户根用户访问密钥。要删除或轮换您的根用户访问密钥，请使用您的根用户凭据登录到位于的 “我的安全证书” 页面[https://www.amazonaws.cn/console/](https://www.amazonaws.cn/console/)。 Amazon Web Services 管理控制台 



**标识符：**ACCESS\$1KEYS\$1ROTATED

**资源类型：** AWS::IAM::User

**触发器类型：** 定期

**Amazon Web Services 区域：**除亚太 Amazon 地区（新西兰）、亚太地区（泰国）、中东（阿联酋）、亚太地区（海得拉巴）、亚太地区（马来西亚）、亚太地区（墨尔本）、墨西哥（中部）、以色列（特拉维夫）、亚太地区（台北）、加拿大西部（卡尔加里）、欧洲（西班牙）、欧洲（苏黎世）地区以外的所有支持区域

**参数：**

maxAccessKey年龄类型：int默认值：90  
最长不轮换天数。默认值：90。

## Amazon CloudFormation 模板
<a name="w2aac20c16c17b7b1c23"></a>

要使用 Amazon CloudFormation 模板创建 Amazon Config 托管规则，请参阅[使用 Amazon CloudFormation 模板创建 Amazon Config 托管规则](aws-config-managed-rules-cloudformation-templates.md)。