¿Cómo puedo recibir una notificación cuando mis certificados importados de ACM estén a punto de caducar?

7 minutos de lectura

He importado un certificado de AWS Certificate Manager (ACM) y quiero que me recuerden que debo volver a importar el certificado antes de que caduque.

Descripción breve

ACM no proporciona una renovación administrada para los certificados importados. Para renovar un certificado importado, primero solicite un certificado nuevo al emisor del certificado. A continuación, vuelva a importar manualmente el certificado en ACM.

Para recibir una notificación de que su certificado está a punto de caducar, utilice uno de los métodos siguientes:

Utilice la API de ACM en Amazon EventBridge para configurar el evento Se acerca la fecha de caducidad del certificado de ACM.
Cree una regla personalizada de EventBridge para recibir notificaciones por correo electrónico cuando los certificados estén cerca de la fecha de caducidad.
Utilice AWS Config para comprobar si los certificados están cerca de la fecha de caducidad.
Cree una alarma de Amazon CloudWatch basada en un umbral estático cuando los certificados estén cerca de la fecha de caducidad.

Resolución

Configurar el evento «Se acerca la fecha de caducidad del certificado de ACM» en EventBridge

Para los eventos que están cerca de su fecha de caducidad, ACM envía notificaciones a través de CloudWatch. De forma predeterminada, el evento Se acerca la fecha de caducidad del certificado de ACM envía notificaciones 45 días antes del vencimiento del evento. Para configurar el tiempo de esta notificación, primero agregue el evento como regla en EventBridge.

Siga estos pasos:

Abra la consola de EventBridge.
En el panel de navegación, elija Reglas y, a continuación, seleccione Crear una regla.
Introduzca un nombre para la regla. El campo Descripción es opcional.
Nota: Debe nombrar de forma exclusiva las reglas que se encuentran en la misma región de AWS y en el mismo bus de eventos.
En Bus de eventos, seleccione el bus de eventos. Para hacer coincidir la regla con los eventos de su cuenta de AWS, seleccione el bus de eventos predeterminado de AWS para que el evento vaya al bus de eventos predeterminado de su cuenta.
En Tipo de regla, elija Regla con un patrón de eventos, y, a continuación, elija Siguiente.
En Origen del evento, elija Eventos de AWS o Eventos de socio de EventBridge.
Para Método de creación, elija Usar patrón de opción.
En la sección Patrón de eventos, complete los siguientes pasos:
Para Fuente del evento, elija AWS Services.
Para Servicio de AWS, elija Certificate Manager.
Para el Tipo de evento, elija Se acerca la fecha de caducidad del certificado de ACM.
Elija Siguiente.
Para Tipos de destino, elija Servicio de AWS.
En Seleccione un destino, seleccione el tema SNS y, a continuación, seleccione el tema Amazon Simple Notification Service (Amazon SNS).
Elija Siguiente.
(Opcional) Añada etiquetas.
Elija Siguiente.
Revise los detalles de la regla y, a continuación, elija Crear regla.

Después de crear la regla, puede cambiar el momento de la notificación de caducidad. En la acción PutAccountConfiguration de la API de ACM, introduzca un valor entre 1 y 45 para DaysBeforeExpiry.

Nota: Para configurar las notificaciones durante más de 45 días antes del vencimiento de un evento, use los siguientes métodos.

Crear una regla de EventBridge personalizada

Utilice un patrón de eventos personalizado con una regla de EventBridge para que coincida con la regla gestionada de AWS Config acm-certificate-expiration-check. A continuación, dirija la respuesta a un tema de Amazon SNS.

Siga estos pasos:

Si no creó un tema de Amazon SNS, cree uno.
Nota: El tema de Amazon SNS debe estar en la misma región de AWS que su servicio de AWS Config.
Abra la consola de EventBridge.
Seleccione Reglas y, a continuación, Crear regla.
En Nombre, introduzca un nombre para su regla.
En Tipo de regla, elija Regla con un patrón de eventos, y, a continuación, elija Siguiente.
En Origen del evento, elija Eventos de AWS o Eventos de socio de EventBridge.
En Patrón de eventos, elija Patrones personalizados (editor JSON).

En el panel de vista previa de Patrón de eventos, introduzca el siguiente patrón de eventos:

{  "source": [
    "aws.config"
  ],
  "detail-type": [
    "Config Rules Compliance Change"
  ],
  "detail": {
    "messageType": [
      "ComplianceChangeNotification"
    ],
    "configRuleName": [
      "acm-certificate-expiration-check"
    ],
    "resourceType": [
      "AWS::ACM::Certificate"
    ],
    "newEvaluationResult": {
      "complianceType": [
        "NON_COMPLIANT"
      ]
    }
  }
}

Elija Siguiente.
En Seleccionar un destino, elija Tema de SNS.
En Tema, seleccione el tema de SNS.
En la lista desplegable Configurar entrada de destino, elija Transformador de entrada.
Elija Configurar transformador de entrada.
En el cuadro de texto Ruta de entrada, introduzca la siguiente ruta:

{  "awsRegion": "$.detail.awsRegion",
  "resourceId": "$.detail.resourceId",
  "awsAccountId": "$.detail.awsAccountId",
  "compliance": "$.detail.newEvaluationResult.complianceType",
  "rule": "$.detail.configRuleName",
  "time": "$.detail.newEvaluationResult.resultRecordedTime",
  "resourceType": "$.detail.resourceType"
}

En el cuadro de texto Plantilla de entrada, introduzca la siguiente plantilla de ejemplo:

"On <time> AWS Config rule <rule> evaluated the <resourceType> with Id <resourceId> in the account <awsAccountId> region <awsRegion> as <compliance>."
"For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=<awsRegion>#/timeline/<resourceType>/<resourceId>/configuration."

Elija Confirmar y, a continuación, Siguiente.
Seleccione Siguiente otra vez y, a continuación, Crear regla.

Si se inicia un tipo de evento, recibirá una notificación por correo electrónico de SNS con los campos personalizados rellenados a partir del paso 14.

Ejemplo de notificación por correo electrónico:

«En ExampleTime, la regla de AWS Config, ExampleRuleName, evaluó el ExampleResourceType con el identificador ExampleResource_ID en la cuenta ExampleAccount_Id de la región ExampleRegion como ExamplecomplianceType.
Para obtener más información, abra la consola de AWS Config en https://console.aws.amazon.com/config/home?region=ExampleRegion#/timeline/ExampleResourceType/ExampleResource_ID/configuration»

Crear una regla de AWS Config

En primer lugar, cree el tema de Amazon SNS y la regla de EventBridge para que los certificados no conformes invoquen una notificación antes de la fecha de caducidad.

Nota: Cuando usa AWS Config, incurre en cargos. Para obtener más información, consulte los precios de AWS Config.

Para crear la regla de AWS Config, siga estos pasos:

Abra la consola de AWS Config.
Seleccione Reglas y, a continuación, elija Agregar reglas.
En Seleccionar tipo de regla, elija Agregar regla administrada de AWS.
Para las Reglas administradas de AWS, elija acm-certificate-expiration-check y, a continuación, elija Siguiente.
En la página Parámetros, en Valor, introduzca el número de días que desea que invoque la regla en la clave daysToExpiration.
Nota: En el caso de los certificados cuya fecha de caducidad coincide con el número de días que ha introducido, la regla acm-certificate-expiration-check de AWS Config se marca como No conforme.
Elija Siguiente y, a continuación, Agregar regla.

Crear una alarma de CloudWatch basada en un umbral estático

Siga estos pasos:

Abra la consola de CloudWatch.
En el panel de navegación, elija Alarmas y, a continuación, Todas las alarmas.
Elija Crear alarma y, a continuación, Seleccionar una métrica.
Elija Certificate Manager y, a continuación, elija Uso.
En la página Métricas, seleccione la métrica y, a continuación, seleccione Seleccionar métrica.
En la página Especificar métricas y condiciones, en Estadísticas, elija Mínimo.
En Periodo, elija 1 día.
Para Cuando AllCount sea..., elija Inferor/Igual y, a continuación, defina a... al número de días que quiere que funcione la alarma antes de que caduque.
Elija Siguiente.
En Notificación, seleccione En alarma.
Para Enviar una notificación al siguiente tema de SNS, elija Seleccionar un tema de SNS existente o Crear nuevo tema y, a continuación, elija Siguiente.
Introduzca un nombre de alarma y seleccione Siguiente.
Seleccione Crear alarma.

Para obtener más información, consulte Creación de una alarma de CloudWatch basada en un umbral estático.

Información relacionada

Emisión y administración de certificados

¿Cómo puedo recibir notificaciones cuando un recurso de AWS no cumple con los requisitos mediante AWS Config?

Security best practices for AWS Config

Temas

Seguridad, identidad y cumplimiento

Etiquetas

AWS Certificate Manager

Idioma

Español

OFICIAL DE AWSActualizada hace 10 meses

Sin comentarios

Contenido relevante

No puedo acceder a mi cuenta de AWS porque mi correo ya no está disponible
Jeremi
preguntada hace 2 meses
Se me ha hecho un cobro estando en el plan gratuito
darlopvil
preguntada hace un mes
SOLUCION A RECHAZO DE CREDITOS AWS Activate
Andres
preguntada hace 3 meses
no puedo Eliminar direccion IP elastica
Luis
preguntada hace 4 días
No se puede acceder a IPv4 (pública)
Gianpiero S
preguntada hace 4 días
¿Por qué mi certificado de ACM está marcado como no apto para la renovación?
OFICIAL DE AWSActualizada hace 2 años
¿Por qué el estado de renovación de mi certificado ACM sigue siendo «Validación pendiente» después de haber utilizado el proceso de renovación administrada de ACM para validar mi nombre de dominio?
OFICIAL DE AWSActualizada hace 10 meses
¿Por qué no recibo correos electrónicos de validación cuando utilizo ACM para emitir o renovar un certificado?
OFICIAL DE AWSActualizada hace 3 años
¿Por qué ha fallado la renovación administrada de mi certificado ACM de responsabilidad pública?
OFICIAL DE AWSActualizada hace 3 años