Wie kann ich benachrichtigt werden, wenn meine importierten ACM-Zertifikate bald ablaufen?

Lesedauer: 7 Minute
0

Ich habe ein AWS Certificate Manager (ACM) -Zertifikat importiert und möchte daran erinnert werden, das Zertifikat erneut zu importieren, bevor es abläuft.

Kurzbeschreibung

ACM bietet keine verwaltete Verlängerung für importierte Zertifikate. Um ein importiertes Zertifikat zu erneuern, fordern Sie bei Ihrem Zertifikatsaussteller ein neues Zertifikat an. Importieren Sie das Zertifikat dann manuell erneut in ACM.

Verwenden Sie eine der folgenden Methoden, um eine Benachrichtigung zu erhalten, dass Ihr Zertifikat bald abläuft:

  • Verwenden Sie die ACM-API in Amazon EventBridge, um das Ereignis ACM Certificate Approaching Expiration zu konfigurieren.
  • Erstellen Sie eine benutzerdefinierte EventBridge-Regel, um E-Mail-Benachrichtigungen zu erhalten, wenn sich das Ablaufdatum von Zertifikaten nähert.
  • Verwenden Sie AWS Config, um nach Zertifikaten zu suchen, die kurz vor dem Ablaufdatum stehen.
  • Erstellen Sie einen Amazon CloudWatch-Alarm, der auf einem statischen Schwellenwert basiert, wenn sich das Ablaufdatum von Zertifikaten nähert.

Lösung

Konfigurieren Sie das Ereignis „ACM Certificate Approaching Expiration“ in EventBridge

Für Ereignisse, die kurz vor ihrem Ablaufdatum stehen, sendet ACM Benachrichtigungen über CloudWatch. Standardmäßig sendet das Ereignis ACM Certificate Approaching Expiration 45 Tage vor Ablauf eines Ereignisses Benachrichtigungen. Um das Timing für diese Benachrichtigung zu konfigurieren, fügen Sie zuerst das Ereignis als Regel in EventBridge hinzu.

Führen Sie die folgenden Schritte aus:

  1. Öffnen Sie die EventBridge-Konsole.
  2. Wählen Sie im Navigationsbereich Regeln und dann Regel erstellen aus.
  3. Geben Sie einen Namen für Ihre Regel ein. Das Feld Beschreibung ist optional.
    Anmerkung: Sie müssen Regeln, die sich in derselben AWS-Region und auf demselben Event Bus befinden, eindeutig benennen.
  4. Wählen Sie für Event Bus den Event Bus aus. Um die Regel mit Ereignissen aus Ihrem AWS-Konto abzugleichen, wählen Sie den AWS-Standard-Event Bus aus, sodass das Ereignis an den Standard-Event Bus Ihres Kontos weitergeleitet wird.
  5. Wählen Sie als Regeltyp Regel mit einem Ereignismuster und dann Weiter aus.
  6. Wählen Sie als Ereignisquelle AWS-Ereignisse oder EventBridge-Partnerereignisse aus.
  7. Wählen Sie für Erstellungsmethode die Option Musterformular verwenden.
  8. Führen Sie im Abschnitt Ereignismuster die folgenden Schritte aus:
    Wählen Sie als Ereignisquelle die Option AWS-Services aus.
    Wählen Sie für den AWS-Service Certificate Manager aus.
    Wählen Sie als Ereignistyp die Option ACM Certificate Approaching Expiration aus.
  9. Wählen Sie Weiter aus.
  10. Wählen Sie für Ziel-Typen den AWS-Service aus.
  11. Wählen Sie unter Ziel auswählen die Option SNS-Thema und dann das Thema Amazon Simple Notification Service (Amazon SNS) aus.
  12. Wählen Sie Weiter aus.
  13. (Optional) Fügen Sie Schlagworte hinzu.
  14. Wählen Sie Weiter aus.
  15. Überprüfen Sie die Details der Regel und wählen Sie dann Regel erstellen aus.

Nachdem Sie die Regel erstellt haben, können Sie den Zeitpunkt der Ablaufbenachrichtigung ändern. Geben Sie in der PutAccountConfiguration-Aktion der ACM-API einen Wert zwischen 1 und 45 für DaysBeforeExpiry ein.

Anmerkung: Verwenden Sie die folgenden Methoden, um Benachrichtigungen für mehr als 45 Tage vor Ablauf eines Ereignisses einzurichten.

Erstellen Sie eine benutzerdefinierte EventBridge-Regel

Verwenden Sie ein benutzerdefiniertes Ereignismuster mit einer EventBridge-Regel, das der von der AWS Config verwalteten Regel acm-certificate-expiration-check entspricht. Leiten Sie die Antwort dann an ein Amazon SNS-Thema weiter.

Führen Sie die folgenden Schritte aus:

  1. Wenn Sie kein Amazon SNS-Thema erstellt haben, erstellen Sie eines.
    Anmerkung: Das Amazon SNS-Thema muss sich in derselben AWS-Region wie Ihr AWS Config-Service befinden.

  2. Öffnen Sie die EventBridge-Konsole.

  3. Wählen Sie Regeln und dann Regel erstellen aus.

  4. Geben Sie unter Name einen Namen für Ihre Regel ein.

  5. Wählen Sie als Regeltyp Regel mit einem Ereignismuster und dann Weiter aus.

  6. Wählen Sie als Ereignisquelle AWS-Ereignisse oder EventBridge-Partnerereignisse aus.

  7. Wählen Sie für **Ereignismuster ** die Option Benutzerdefinierte Muster (JSON-Editor) aus.

  8. Geben Sie im Vorschaufenster Ereignismuster das folgende Ereignismuster ein:

    {  "source": [
        "aws.config"
      ],
      "detail-type": [
        "Config Rules Compliance Change"
      ],
      "detail": {
        "messageType": [
          "ComplianceChangeNotification"
        ],
        "configRuleName": [
          "acm-certificate-expiration-check"
        ],
        "resourceType": [
          "AWS::ACM::Certificate"
        ],
        "newEvaluationResult": {
          "complianceType": [
            "NON_COMPLIANT"
          ]
        }
      }
    }
  9. Wählen Sie Weiter aus.

  10. Wählen Sie unter Ein Ziel auswählen die Option SNS-Thema aus.

  11. Wählen Sie unter Thema Ihr SNS-Thema aus.

  12. Wählen Sie in der Dropdown-Liste Zieleingabe konfigurieren die Option Eingabe-Transformer aus.

  13. Wählen Sie Eingabe-Transformer konfigurieren.

  14. Geben Sie im Textfeld Eingabepfad den folgenden Pfad ein:

{  "awsRegion": "$.detail.awsRegion",
  "resourceId": "$.detail.resourceId",
  "awsAccountId": "$.detail.awsAccountId",
  "compliance": "$.detail.newEvaluationResult.complianceType",
  "rule": "$.detail.configRuleName",
  "time": "$.detail.newEvaluationResult.resultRecordedTime",
  "resourceType": "$.detail.resourceType"
}
  1. Geben Sie für das Textfeld Eingabevorlage die folgende Vorlage ein:
"On <time> AWS Config rule <rule> evaluated the <resourceType> with Id <resourceId> in the account <awsAccountId> region <awsRegion> as <compliance>."
"For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=<awsRegion>#/timeline/<resourceType>/<resourceId>/configuration."
  1. Wählen Sie Bestätigen und dann Weiter aus.
  2. Wählen Sie erneut Weiter und dann Regel erstellen aus.

Wenn ein Ereignistyp ausgelöst wird, erhalten Sie eine SNS-E-Mail-Benachrichtigung, in der die benutzerdefinierten Felder aus Schritt 14 ausgefüllt werden, ähnlich wie im Folgenden.

Beispiel für eine E-Mail-Benachrichtigung:

„In ExampleTime wertete die AWS-Config-Regel ExampleRuleName den ExampleResourceType mit der ID ExampleResource\ _ID im Konto ExampleAccount\ _Id in Region ExampleRegion als ExampleComplianceType aus.
Für weitere Informationen öffnen Sie die AWS Config-Konsole unter https://console.aws.amazon.com/config/home?region=ExampleRegion#/timeline/ExampleResourceType/ExampleResource_ID/configuration“

Löschen einer AWS Config-Regel

Erstellen Sie zunächst das Amazon SNS-Thema und die EventBridge-Regel, sodass nicht konforme Zertifikate vor dem Ablaufdatum eine Benachrichtigung aufrufen.

Anmerkung: Wenn Sie AWS Config verwenden, fallen Gebühren an. Weitere Informationen finden Sie unter AWS Config-Preisgestaltung.

Gehen Sie wie folgt vor, um die AWS Config-Regel zu erstellen:

  1. Öffnen Sie die AWS Config-Konsole.
  2. Wählen Sie Regeln und dann Regel hinzufügen aus.
  3. Wählen Sie unter Regeltyp auswählen die Option Von AWS verwaltete Regel hinzufügen aus.
  4. Wählen Sie für Von AWS verwaltete Regeln die Option acm-certificate-expiration-check und dann Weiter aus.
  5. Geben Sie auf der Seite Parameter für Wert im Schlüssel daysToExpiration die Anzahl der Tage ein, an denen die Regel aufgerufen werden soll.
    Anmerkung: Für Zertifikate, die aufgrund der von Ihnen eingegebenen Anzahl von Tagen kurz vor dem Ablaufdatum stehen, wird die AWS-Config-Regel acm-certificate-expiration-check als Nicht konform markiert.
  6. Wählen Sie Weiter und dann Regel hinzufügen.

Erstellen eines CloudWatch-Alarms auf der Grundlage eines statischen Schwellenwerts

Führen Sie die folgenden Schritte aus:

  1. Öffnen Sie die CloudWatch-Konsole.
  2. Wählen Sie im Navigationsbereich Alarme und dann Alle Alarme aus.
  3. Wählen Sie Alarm erstellen und dann Metrik auswählen aus.
  4. Wählen Sie Certificate Manager und dann Nutzung aus.
  5. Wählen Sie auf der Seite Metriken die Metrik aus, und klicken Sie dann auf Metrik auswählen.
  6. Wählen Sie auf der Seite Metrik und Bedingungen angeben für Statistik die Option Minimum aus.
  7. Wählen Sie für Zeitraum die Option 1 Tag aus.
  8. Für Immer, wenn AllCount ist... wählen Sie Niedriger/gleich und legen Sie dann als... auf die Anzahl der Tage fest, an denen der Alarm vor Ablauf ausgelöst werden soll.
  9. Wählen Sie Weiter aus.
  10. Wählen Sie unter Benachrichtigung die Option In Alarm aus.
  11. Wählen Sie unter Benachrichtigung an das folgende SNS-Thema senden die Option Ein vorhandenes SNS-Thema auswählen oder Neues Thema erstellen und dann Weiter aus.
  12. Geben Sie einen Alarmnamen ein und wählen Sie Weiter.
  13. Wählen Sie Alarm erstellen aus.

Weitere Informationen finden Sie unter Erstellen eines CloudWatch-Alarms auf der Grundlage eines statischen Schwellenwerts.

Ähnliche Informationen

Ausstellen und Verwalten von Zertifikaten

Wie kann ich mithilfe von AWS Config benachrichtigt werden, wenn eine AWS-Ressource nicht konform ist?

Bewährte Sicherheitsmethoden für AWS Config

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 4 Monaten