AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post
re:Postに関して

ACM 証明書の更新が近づいたときに通知を受け取る方法を教えてください。

所要時間3分
0

AWS Certificate Manager (ACM) に保存されている証明書があります。ACM が証明書を更新するタイミングを知りたいです。

簡単な説明

ACM 証明書の更新通知を設定するには、最初に、証明書が自動更新に適格であることを確認します。次に、以下の 1 つまたは複数のアクションを実行します。

  • 証明書の更新日を予測する
  • 更新前の事前通知を設定する
  • 更新失敗の通知を設定する

解決策

証明書の自動更新の適格性を確認する

次の手順を実行します。

  1. 証明書の AWS リージョンで ACM コンソールを開きます。
  2. [証明書を一覧表示] を選択します。
  3. 証明書 ID を選択してから、証明書の [詳細] ページを開きます。
  4. [証明書ステータス] で、[タイプ]Amazon 発行またはプライベートであることを確認します。
    注: [タイプ]インポートの場合、証明書は ACM 管理による更新の対象にはなりません。このタイプの証明書に通知を設定するには、「ACM にインポートした証明書の有効期限が近づいたときに通知を受ける方法を教えてください」を参照してください。
  5. [詳細] で、[更新資格]有効無効かを確認してください。

マネージド更新の対象とならない証明書については、「ACM 証明書のマネージド更新」を参照してください。マネージド更新の対象とならない証明書が、ACM と統合された AWS サービスリソースに関連付けられているかどうかを確認してください。ACM が発行したプライベート証明書の場合、証明書を ACM と統合するリソースに関連付けるか、ExportCertificate API を使用してエクスポートします。ACM が発行したパブリック証明書の場合は、証明書を ACM と統合するリソースに関連付けます。

証明書の更新日を予測する

次の手順を実行します。

  1. 証明書の [詳細] ページで、証明書の有効期限が切れる日付である [失効日] の値を書き留めます。
  2. [ドメイン] で、証明書の検証方法を確認します。
    [ドメイン]登録所有者の場合は、電子メール検証済みの証明書です。ACM は、有効期限の 45 日前に、証明書を更新するために実行する必要があるアクションが記載されたメール通知を送信します。対応しない場合は、証明書は期限切れになり、更新の対象ではなくなります。
    [ドメイン]CNAME 名 および CNAME 値の場合、有効期限の 60 日前に自動的に更新される DNS 検証済みの証明書です。
    [ドメイン] が上記のいずれの値でもない場合は、認証局 (CA) を確認してください。Amazon リソースネーム (ARN) がある場合は、有効期限の 60 日前に自動的に更新される AWS プライベート認証局によるプライベート証明書です。プライベート証明書にはドメイン認証は必要ありません。代わりに、ACM はマネージド更新用の AWS プライベート CA アクセス許可を必要とします。詳細については、「ACM に証明書更新アクセス許可を割り当てる」を参照してください。
  3. 電子メールで検証された証明書の場合は、証明書の有効期限が切れる 45 日前の日付を計算します。DNS で検証された証明書とプライベート証明書の場合は、証明書の有効期限が切れる 60 日前の日付を計算します。

更新前の事前通知を設定する

自動化された 45 日または 60 日前に更新通知を受け取るには、acm-certificate-expiration-check を実行するか、DaysToExpiry メトリックおよび Amazon CloudWatch アラームを使用します。

注: acm-certificate-expiration-check ルールは、ルールを作成したリージョンのすべての証明書をチェックします。共通値である daysToExpiration を使用します。特定の証明書に関する通知を監視して受信するには、代わりに DaysToExpiry および CloudWatch アラームを使用します。

acm-certificate-expiration-check を実行する

次の手順を実行します。

  1. AWS CloudFormation コンソールを開きます。
  2. [スタックの作成] を選択します。
  3. [既存のテンプレートを選択] を選択します。
  4. **Amazon S3 URL ** に http://s3.amazonaws.com/aws-configservice-us-east-1/cloudformation-templates-for-managed-rules/ACM_CERTIFICATE_EXPIRATION_CHECK.template と入力します。
  5. [次へ] を選択します。
  6. [スタック名] を入力したら、daysToExpiration に有効期限が切れる何日前に通知を受け取るかを入力します。
  7. [次へ] を選択します。
  8. 構成設定を確認したら、[次へ] を選択します。
  9. [送信] を選択します。
  10. スタックのステータスCREATE_COMPLETE であることを確認します。
  11. Amazon EventBridge コンソールを開きます。
  12. [ルールの作成] を選択します。
  13. [名前] に、ルール名を入力します。
  14. [説明] に、ルールの説明を入力します。
  15. [次へ] を選択します。
  16. [イベントパターン] では、次の設定を行います。
    [イベントソース][AWS サービス] を選択します。
    [AWS サービス] で、[設定] を選択します。
    [イベントタイプ] で、[ルールコンプライアンス変更の設定] を選択します。
    [イベントタイプ仕様 1] に、ComplianceChangeNotification と入力します。
    [イベントタイプ仕様 2] に、ルール名を入力します。
    注: CloudFormation テンプレートのデフォルト設定ルール名は、acm-certificate-expiration-check です。
  17. [次へ] を選択します。
  18. [ターゲットの選択] で、優先する通知ターゲットを選択します。次に例を示します。 AWS サービスSNS トピック
  19. [次へ] を選択します。
  20. 構成設定を検証したら、[ルールを作成] を選択します。

EventBridge ルールの例:

{  
  "source": ["aws.config"],  
  "detail-type": ["Config Rules Compliance Change"],  
  "detail": {  
    "messageType": ["ComplianceChangeNotification"],  
    "configRuleName": ["acm-certificate-expiration-check"]  
  }  
}

DaysToExpiry と CloudWatch アラームを使用する

次の手順を実行します。

  1. CloudWatch コンソールを開きます。
  2. [アラーム][すべてのアラーム] を選択します。
  3. [メトリックを選択] を選択します。
  4. 検索ボックスに、DaysToExpiry と証明書の ARN を入力します。
  5. 検索結果で、CertificateManager > Certificate Metrics を選択します。
  6. 証明書の DaysToExpiry を選択します。
  7. [メトリックを選択] を選択します。
  8. [メトリックと条件を指定][統計] で、[最大] を選択します。
  9. [条件][未満/等しい] を選択します。
  10. [than] には、有効期限が切れる何日前に通知を受け取るかを入力します。
  11. [次へ] を選択します。
  12. [アクションの設定] で、ユースケースに合ったオプションを選択します。
  13. [次へ] を選択します。
  14. [名前と説明を追加] でアラームの名前と説明を入力したら、[次へ] を選択します。
  15. 設定を確認したら、[アラームを作成] を選択します。

更新失敗の通知を設定する

EventBridge ルールを使用して、ACM が ACM 証明書の有効期限切れ間近イベントを呼び出したときに通知を送信します。

次の手順を実行します。

  1. EventBridge コンソールを開きます。

  2. [ルールの作成] を選択します。

  3. [名前] に、ルール名を入力します。

  4. [説明] に、ルールの説明を入力します。

  5. [次へ] を選択します。

  6. [イベントパターン][パターンの編集] を選択します。

  7. 次のイベントパターンを入力します。

    {
  "source": ["aws.acm"],
  "resources": ["arn:aws:acm:region:account:certificate/CERTIFICATE_ID"],
  "detail-type": ["ACM Certificate Approaching Expiration"]
}

    注: お使いのものでそれぞれ、region をリージョンに、account を AWS アカウントに、CERTIFICATE_ID を証明書 ID に置き換えます。

  8. [次へ] を選択します。

  9. [ターゲットの選択] で、優先する通知ターゲットを選択します。次に例を示します。 AWS サービスSNS トピック

  10. [次へ] を選択します。

  11. 構成設定を確認したら、[ルールを作成] を選択します。

関連情報

マネージド証明書更新における失敗の処理

AWS Certificate Manager の監視とログ記録

Amazon Simple Notification Service (Amazon SNS) を始める

ACM の Amazon EventBridge サポート

トピック
セキュリティ、アイデンティティ、コンプライアンス
タグ
AWS Certificate Manager
言語
日本語
AWS公式
AWS公式更新しました 1年前
コメントはありません

関連するコンテンツ