Comment être averti lorsque les certificats que j’ai importés par ACM sont sur le point d’expirer ?

Lecture de 7 minute(s)

J’ai importé un certificat AWS Certificate Manager (ACM) et je souhaite recevoir un rappel pour le réimporter avant son expiration.

Brève description

ACM ne fournit pas de renouvellement géré pour les certificats importés. Pour renouveler un certificat importé, demandez d’abord un nouveau certificat à l’émetteur du certificat. Ensuite, réimportez manuellement le certificat dans ACM.

Pour recevoir une notification indiquant que votre certificat est sur le point d’expirer, utilisez l’une des méthodes suivantes :

À l’aide de l’API ACM d’Amazon EventBridge, configurez l’événement ACM Certificate Approaching Expiration.
Créez une règle EventBridge personnalisée pour recevoir des notifications par e-mail lorsque la date d’expiration d’un certificat approche.
Trouvez les certificats dont la date d’expiration est proche à l’aide d’AWS Config.
Créez une alarme Amazon CloudWatch basée sur un seuil statique lorsque la date d’expiration des certificats approche.

Solution

Configuration de l’événement « ACM Certificate Approaching Expiration » dans EventBridge

Pour les événements dont la date d’expiration est proche, ACM envoie des notifications par CloudWatch. Par défaut, l’événement ACM Certificate Approaching Expiration envoie des notifications 45 jours avant l’expiration de l’événement. Pour configurer le calendrier de cette notification, ajoutez d’abord l’événement en tant que règle dans EventBridge.

Effectuez les opérations suivantes :

Ouvrez la console EventBridge.
Dans le volet de navigation, choisissez Règles, puis Créer une règle.
Saisissez un nom pour votre règle. Le champ Description est facultatif.
Remarque : vous devez donner un nom unique aux règles qui se trouvent dans la même région AWS et sur le même bus d’événements.
Dans le champ Bus d’événements, sélectionnez le bus d’événements. Pour associer la règle aux événements de votre compte AWS, sélectionnez le bus d’événements AWS par défaut afin que l’événement soit transféré vers le bus d’événements par défaut de votre compte.
Dans le champ Type de règle, choisissez Règle avec un modèle d’événement, puis choisissez Suivant.
Dans le champ Source d’événement, choisissez Événements AWS ou événements partenaires EventBridge.
Dans le champ Méthode de création, choisissez l’option Utiliser le formulaire d’événement.
Dans la section modèle d’événement, suivez ces étapes:
Dans le champ Source de l’événement, choisissez Services AWS.
Dans le champ service AWS, choisissez Certificate Manager.
Dans le champ Type d’événement, choisissez ACM Certificate Approaching Expiration.
Choisissez Suivant.
Dans le champ Types de cibles, choisissez Service AWS.
Dans le champ Sélectionner une cible, sélectionnez rubrique SNS, puis sélectionnez la rubrique Amazon Simple Notification Service (Amazon SNS).
Choisissez Suivant.
(Facultatif) Ajoutez des balises.
Choisissez Suivant.
Vérifiez les détails de la règle, puis sélectionnez Créer une règle.

Après avoir créé la règle, vous pouvez choisir à quel moment envoyer la notification d’expiration. Dans l’action PutAccountConfiguration de l’API ACM, entrez une valeur comprise entre 1 et 45 dans le champ DaysBeforeExpiry.

Remarque : pour configurer des notifications plus de 45 jours avant l’expiration d’un événement, utilisez les méthodes suivantes.

Création d’une règle EventBridge personnalisée

Utilisez un modèle d’événement personnalisé associé à une règle EventBridge afin qu’il corresponde à la règle gérée par AWS Config acm-certificate-expiration-check. Ensuite, redirigez la réponse vers une rubrique Amazon SNS.

Effectuez les opérations suivantes :

Si vous n’avez pas créé de rubrique Amazon SNS, créez-en une.
Remarque : la rubrique Amazon SNS doit se trouver dans la même région AWS que votre service AWS Config.
Ouvrez la console EventBridge.
Choisissez Règles, puis sélectionnez Créer une règle.
Dans le champ Nom, saisissez le nom de votre règle.
Dans le champ Type de règle, choisissez Règle avec un modèle d’événement, puis choisissez Suivant.
Dans le champ Source d’événement, choisissez Événements AWS ou événements partenaires EventBridge.
Dans le champ Modèle d’événement, choisissez Modèles personnalisés (éditeur JSON).

Dans le volet d’aperçu du modèle d’événement, saisissez le modèle d’événement suivant :

{  "source": [
    "aws.config"
  ],
  "detail-type": [
    "Config Rules Compliance Change"
  ],
  "detail": {
    "messageType": [
      "ComplianceChangeNotification"
    ],
    "configRuleName": [
      "acm-certificate-expiration-check"
    ],
    "resourceType": [
      "AWS::ACM::Certificate"
    ],
    "newEvaluationResult": {
      "complianceType": [
        "NON_COMPLIANT"
      ]
    }
  }
}

Choisissez Suivant.
Dans le champ Sélectionner une cible, choisissez Rubrique SNS.
Dans le champ Rubrique, choisissez la rubrique de votre SNS.
Dans la liste déroulante Configurer l’entrée cible, choisissez Transformateur d’entrée.
Choisissez Configurer le transformateur d’entrée.
Dans la zone de texte Chemin d’entrée, saisissez le chemin suivant :

{  "awsRegion": "$.detail.awsRegion",
  "resourceId": "$.detail.resourceId",
  "awsAccountId": "$.detail.awsAccountId",
  "compliance": "$.detail.newEvaluationResult.complianceType",
  "rule": "$.detail.configRuleName",
  "time": "$.detail.newEvaluationResult.resultRecordedTime",
  "resourceType": "$.detail.resourceType"
}

Dans la zone de texte Modèle d’entrée, saisissez le modèle suivant :

"On <time> AWS Config rule <rule> evaluated the <resourceType> with Id <resourceId> in the account <awsAccountId> region <awsRegion> as <compliance>."
"For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=<awsRegion>#/timeline/<resourceType>/<resourceId>/configuration."

Choisissez Confirmer, puis Suivant.
Choisissez Suivant à nouveau, puis Créer une règle.

Si un type d’événement est lancé, vous recevez par e-mail une notification SNS qui contient les champs personnalisés renseignés à l’étape 14.

Exemple de notification par e-mail :

« À ExampleTime, la règle AWS Config ExampleRuleName a évalué le ExampleResourceType dont l’identifiant est ExampleResource_ID dans le compte ExampleAccount_Id dans la région ExampleRegion comme ExampleComplianceType.
Pour plus de renseignements, ouvrez la console AWS Config à l’adresse https://console.aws.amazon.com/config/home?region=ExampleRegion#/timeline/ExampleResourceType/ExampleResource_ID/configuration"

Création d’une règle AWS Config

Tout d’abord, créez la rubrique Amazon SNS et la règle EventBridge afin que les certificats non conformes invoquent une notification avant la date d’expiration.

Remarque : l’utilisation d’AWS Config entraine des frais. Pour en savoir plus, consultez la Tarification AWS Config.

Voici la marche à suivre pour créer la règle AWS Config :

Ouvrez la console AWS Config.
Choisissez Règles, puis Ajouter des règles.
Dans le champ Sélectionner un type de règle, choisissez Ajouter une règle AWS gérée.
Dans le champ Règles gérées d’AWS, choisissez acm-certificate-expiration-check, puis choisissez Suivant.
Sur la page Paramètres, dans le champ Valeur, entrez le nombre de jours auquel la règle doit invoquer dans la clé DaysToExpiration.
Remarque : pour les certificats dont la date d’expiration est proche du nombre de jours que vous avez saisi, la règle AWS Config acm-certificate-expiration-check est marquée comme Non conforme.
Choisissez Suivant, puis Ajouter une règle.

Création d’une alarme CloudWatch basée sur un seuil statique

Effectuez les opérations suivantes :

Ouvrez la console CloudWatch.
Dans le volet de navigation, choisissez Alarmes, puis sélectionnez Toutes les alarmes.
Choisissez Créer une alarme, puis choisissez Sélectionner une métrique.
Choisissez ** Certificate Manager**, puis choisissez Utilisation.
Sur la page Métriques, sélectionnez la métrique, puis choisissez ** Sélectionner une métrique**.
Sur la page Indiquer la métrique et les conditions, dans le champ Statistiques, choisissez Minimum.
Dans le champ Période, choisissez 1 jour.
Dans le champ Chaque fois qu’AllCount est..., choisissez Inférieur/Égal, puis réglez **à... ** sur le nombre de jours avant l’expiration auxquels vous souhaitez que l’alarme se déclenche.
Choisissez Suivant.
Dans le champ Notification, choisissez En alarme.
Dans le champ Envoyer une notification à la rubrique SNS suivante, choisissez Sélectionner une rubrique SNS existante ou Créer une nouvelle rubrique, puis choisissez Suivant.
Entrez un nom d’alarme, puis choisissez Suivant.
Sélectionnez Créer une alarme.

Pour plus d’informations, consultez Création d’une alarme CloudWatch basée sur un seuil statique.

Informations complémentaires

Émission et gestion des certificats

Comment puis-je être averti lorsqu’une ressource AWS n’est pas conforme à l’aide d’AWS Config ?

Bonnes pratiques de sécurité pour AWS Conﬁg

Sujets

Sécurité, identité et conformité

Balises

AWS Certificate Manager

Langue

Français

AWS OFFICIELA mis à jour il y a 10 mois

Aucun commentaire

Contenus pertinents

Délai de validation du certificat ACM
Hubert MOKET
demandé il y a un an
Problème de vérification DNS sur Route 53 malgré propagation réussie
Herobrix
demandé il y a un mois
Mon loadbalancer ne marche pas comme il devrait
zerros
demandé il y a 2 ans
Comment s'assurer que toutes les ressources sont désactivées ?
rePost-User-2282818
demandé il y a 2 ans
AWS ACM erreur "le délai de validation a expiré"
Harold
demandé il y a 4 mois
Comment fonctionne le processus de renouvellement géré par ACM avec les certificats validés par le DNS ?
AWS OFFICIELA mis à jour il y a 9 mois
Comment fonctionne le processus de renouvellement géré par ACM avec les certificats validés par e-mail ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment puis-je être averti lorsque le certificat associé au point de terminaison VPN client est sur le point d'expirer ?
AWS OFFICIELA mis à jour il y a un an
Comment puis-je être averti lorsque mon certificat ACM est sur le point d'être renouvelé ?
AWS OFFICIELA mis à jour il y a 9 mois