Come faccio a ricevere una notifica quando i miei certificati ACM importati sono prossimi alla scadenza?

6 minuti di lettura
0

Ho importato un certificato AWS Certificate Manager (ACM) e desidero ricevere un promemoria per reimportare il certificato prima che scada.

Breve descrizione

ACM non fornisce il rinnovo gestito per i certificati importati. Per rinnovare un certificato importato, richiedi un nuovo certificato all'autorità di certificazione. Quindi,reimporta manualmente il certificato in ACM.

Per ricevere una notifica che il certificato sta per scadere, utilizza uno dei seguenti metodi:

  • Utilizza l'API ACM in Amazon EventBridge per configurare l'evento Certificato ACM prossimo alla scadenza.
  • Crea una regola EventBridge personalizzata per ricevere notifiche e-mail quando i certificati sono prossimi alla scadenza.
  • Usa AWS Config per verificare la presenza di certificati prossimi alla scadenza.
  • Crea un allarme Amazon CloudWatch in base a una soglia statica quando i certificati sono prossimi alla scadenza.

Risoluzione

Configura l'evento "Certificato ACM prossimo alla scadenza" in EventBridge

Per gli eventi prossimi alla scadenza, ACM invia notifiche tramite CloudWatch. Per impostazione predefinita, l'evento Certificato ACM prossimo alla scadenza invia notifiche 45 giorni prima della scadenza di un evento. Per configurare la tempistica di questa notifica, aggiungi prima l'evento come regola in EventBridge.

Completa i seguenti passaggi:

  1. Apri la console EventBridge.
  2. Nel riquadro di navigazione, scegli Regole, quindi scegli Crea regola.
  3. Inserisci un Nome per la tua regola. Il campo Descrizione è facoltativo.
    **Nota:**È necessario denominare in modo univoco le regole che si trovano nella stessa regione AWS e sullo stesso router di eventi.
  4. Per Router di eventi, seleziona il router di eventi. Per abbinare la regola agli eventi del tuo account AWS, seleziona il router di eventi predefinito di AWS in modo che l'evento passi al router di eventi predefinito del tuo account.
  5. Per Tipo di regola, scegli Regola con uno schema di eventi, quindi scegli Avanti.
  6. Per Origine evento, scegli Eventi AWS o eventi partner EventBridge.
  7. Per Metodo di creazione, scegli l'opzione Usa modulo modello.
  8. Nella sezione Schema evento, completa i seguenti passaggi:
    Per Origine degli eventi, scegli AWS Services.
    Per Servizio AWS, scegli Certificate Manager.
    Per Tipo di evento, scegli Certificato ACM prossimo alla scadenza.
  9. ScegliAvanti.
  10. Per Tipi di destinazione, seleziona Servizio AWS.
  11. Per Seleziona una destinazione, seleziona Argomento SNS, quindi seleziona l'argomento Amazon Simple Notification Service (Amazon SNS).
  12. ScegliAvanti.
  13. (Facoltativo) Aggiungi tag.
  14. ScegliAvanti.
  15. Controlla i dettagli della regola, quindi scegli Crea regola.

Dopo aver creato la regola, puoi modificare la tempistica della notifica di scadenza. Nell'azione PutAccountConfiguration inserisci un valore compreso tra 1 e 45 per daysBeforeExpiry.

Nota: Per impostare le notifiche per più di 45 giorni prima della scadenza di un evento, utilizza i seguenti metodi.

Crea una regola EventBridge personalizzata

Utilizza un modello di evento personalizzato con una regola EventBridge che corrisponda alla regola gestita di AWS Config acm-certificate-expiration-check. Quindi, indirizza la risposta a un argomento di Amazon SNS.

Completa i seguenti passaggi:

  1. Se non hai creato un argomento Amazon SNS, creane uno.
    Nota: L'argomento Amazon SNS deve essere nella stessa regione del servizio AWS Config.

  2. Apri la console EventBridge.

  3. Scegli Ruoli, quindi scegli Crea ruolo.

  4. In Nome, inserisci un nome per la tua regola.

  5. Per Tipo di regola, scegli Regola con uno schema di eventi, quindi scegli Avanti.

  6. Per Origine evento, scegli Eventi AWS o eventi partner EventBridge.

  7. Per Modello evento, scegli Modelli personalizzati (editor JSON).

  8. Nel riquadro di anteprima **Modello evento **, inserisci il seguente esempio di modello di evento:

    {  "source": [
        "aws.config"
      ],
      "detail-type": [
        "Config Rules Compliance Change"
      ],
      "detail": {
        "messageType": [
          "ComplianceChangeNotification"
        ],
        "configRuleName": [
          "acm-certificate-expiration-check"
        ],
        "resourceType": [
          "AWS::ACM::Certificate"
        ],
        "newEvaluationResult": {
          "complianceType": [
            "NON_COMPLIANT"
          ]
        }
      }
    }
  9. ScegliAvanti.

  10. Per Seleziona una destinazione, scegli Argomento SNS.

  11. Per Argomento, scegli il tuo argomento SNS.

  12. Nel menu a tendina Configura l'input di destinazione, scegli Trasformatore di input.

  13. Scegli Configura trasformatore di input.

  14. Nella casella di testo Percorso di input, inserisci il seguente percorso:

{  "awsRegion": "$.detail.awsRegion",
  "resourceId": "$.detail.resourceId",
  "awsAccountId": "$.detail.awsAccountId",
  "compliance": "$.detail.newEvaluationResult.complianceType",
  "rule": "$.detail.configRuleName",
  "time": "$.detail.newEvaluationResult.resultRecordedTime",
  "resourceType": "$.detail.resourceType"
}
  1. Per la casella di testo Modello di input, inserisci il seguente modello di esempio:
"On <time> AWS Config rule <rule> evaluated the <resourceType> with Id <resourceId> in the account <awsAccountId> region <awsRegion> as <compliance>."
"For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=<awsRegion>#/timeline/<resourceType>/<resourceId>/configuration."
  1. Scegli Conferma, quindi scegli Successivo.
  2. Scegli di nuovo Avanti, quindi scegli Crea regola.

Se viene avviato un tipo di evento, riceverai una notifica e-mail SNS con i campi personalizzati compilati dal passaggio 14.

Esempio di notifica via email:

"On ExampleTime AWS Config rule ExampleRuleName evaluated the ExampleResourceType with Id ExampleResource_ID in the account ExampleAccount_Id in Region ExampleRegion as ExamplecomplianceType.
Per maggiori dettagli, apri la console AWS Config all'indirizzo https://console.aws.amazon.com/config/home?region=ExampleRegion#/timeline/ExampleResourceType/ExampleResource_ID/configuration"

Crea una regola AWS Config

Innanzitutto, crea l'argomento Amazon SNS e la regola EventBridge in modo che i certificati non conformi richiamino una notifica prima della scadenza.

**Nota:**Quando usi AWS Config, ti vengono addebitati dei costi. Per ulteriori informazioni, consulta i prezzi di AWS Config.

Per creare la regola AWS Config, completa i seguenti passaggi:

  1. Apri la console AWS Config.
  2. Scegli Regole, quindi scegli Aggiungi regole.
  3. In Seleziona il tipo di regola, scegli Aggiungi regola gestita AWS.
  4. Per Regole gestite da AWS, scegli acm-certificate-expiration-check, quindi scegli Avanti.
  5. Nella pagina Parametri, per ** Valore**, inserisci il numero di giorni per i quali desideri richiamare la regola nella chiave DaysToExpiration.
    **Nota:**Per i certificati prossimi alla scadenza rispetto al numero di giorni immessi, la regola di AWS Config acm-certificate-expiration-check è contrassegnata come Non conforme.
  6. Scegli Avanti, quindi scegli Aggiungi regola.

Crea un allarme CloudWatch in base a una soglia statica

Completa i seguenti passaggi:

  1. Apri la console CloudWatch.
  2. Nel riquadro di navigazione, scegli Allarmi, quindi scegli Tutti gli allarmi.
  3. Scegli Crea allarme, quindi Seleziona parametro.
  4. Scegli Certificate Manager, quindi scegli Utilizzo.
  5. Nella pagina Metriche, seleziona la metrica, quindi scegli Seleziona metrica.
  6. Nella pagina Specifica metrica e condizioni, per Statistica, scegli Minimo.
  7. In Periodo, scegli 1 giorno.
  8. Per **Quando AllCount è... **, scegli Inferiore/Uguale, quindi imposta a... rispetto a... al numero di giorni per cui desideri che l'allarme venga eseguito prima della scadenza.
  9. ScegliAvanti.
  10. Per ** Notifica**, scegli Allarme in corso.
  11. Per Invia una notifica al seguente argomento SNS, scegli Seleziona un argomento SNS esistente o Crea nuovo argomento, quindi scegli Avanti.
  12. Inserisci un nome per l'allarme, scegli Avanti.
  13. Scegli Crea API.

Per ulteriori informazioni, consulta Create a CloudWatch alarm based on a static threshold.

Informazioni correlate

Issuing and managing certificates

Come faccio a ricevere una notifica quando una risorsa AWS non è conforme utilizzando AWS Config?

Security best practices for AWS Config

AWS UFFICIALE
AWS UFFICIALEAggiornata 8 mesi fa