AWS re:Post을(를) 사용하면 다음에 동의하게 됩니다. AWS re:Post 이용 약관
AWS re:Postre:Post

ACM에서 가져온 인증서의 만료일이 임박했을 때 어떻게 알림을 받을 수 있습니까?

5분 분량
0

AWS Certificate Manager(ACM) 인증서를 가져왔는데 만료되기 전에 인증서를 다시 가져오라는 알림을 받고 싶습니다.

간략한 설명

ACM은 가져온 인증서에 대한 관리형 갱신을 제공하지 않습니다. 가져온 인증서를 갱신하려면, 인증서 발급자에게 새 인증서를 요청하세요. 그런 다음, ](https://docs.aws.amazon.com/acm/latest/userguide/import-reimport.html)인증서를 ACM으로 수동으로 다시 가져옵니다[.

인증서가 곧 만료된다는 알림을 받으려면 다음 방법 중 하나를 사용하세요.

  • Amazon EventBridge에서 ACM API를 사용하여 ACM 인증서 만료 임박 이벤트를 구성합니다.
  • 인증서의 만료 날짜가 가까워지면 이메일 알림을 받도록 사용자 지정 EventBridge 규칙을 만듭니다.
  • AWS Config를 사용하여 만료 날짜가 임박한 인증서를 확인합니다.
  • 인증서가 만료 날짜에 가까워지면 정적 임계값에 따라 Amazon CloudWatch 알람을 만듭니다.

해결 방법

EventBridge에서 “ACM 인증서 만료 임박” 이벤트를 구성합니다.

만료 날짜가 가까워지는 이벤트의 경우, ACM은 CloudWatch를 통해 알림을 보냅니다. 기본적으로 ACM 인증서 만료 임박 이벤트는 이벤트 만료 45일 전에 알림을 보냅니다. 이 알림의 타이밍을 구성하려면 먼저 EventBridge에서 이벤트를 규칙으로 추가하세요.

다음 단계를 완료합니다.

  1. EventBridge 콘솔을 엽니다.
  2. 탐색 창에서 규칙를 선택한 다음 규칙 생성을 선택하세요.
  3. 규칙 이름을 입력합니다. 설명 필드는 선택 사항입니다.{
    참고: 동일한 AWS 리전 및 동일한 이벤트 버스에 있는 규칙의 이름을 고유하게 지정해야 합니다.
  4. 이벤트 버스의 경우, 이벤트 버스를 선택합니다. AWS 계정의 이벤트와 규칙을 일치시키려면 AWS 기본 이벤트 버스를 선택하여 이벤트가 계정의 기본 이벤트 버스로 이동하도록 합니다.
  5. 규칙 유형에서 이벤트 패턴이 있는 규칙을 선택한 다음 다음을 선택하세요.
  6. 이벤트 소스에 대해 AWS 이벤트 또는 EventBridge 파트너 이벤트를 선택합니다.
  7. 생성 방법에서 패턴 양식 옵션 사용을 선택합니다.
  8. 이벤트 패턴 섹션에서 다음 단계를 완료합니다.{
    이벤트 소스에서 AWS 서비스를 선택합니다.{
    AWS 서비스에 대해 인증서 관리자를 선택합니다.{
    이벤트 유형에서 만료 임박한 ACM 인증서를 선택합니다.
  9. 다음을 선택합니다.
  10. 대상 유형에서 AWS 서비스를 선택합니다.
  11. 대상 선택에서 SNS 토픽를 선택한 다음 Amazon Simple Notification Service(Amazon SNS) 토픽를 선택합니다.
  12. 다음을 선택합니다.
  13. (선택) 태그를 추가합니다.
  14. 다음을 선택합니다.
  15. 규칙의 세부 정보를 검토한 다음 규칙 생성을 선택합니다.

규칙을 만든 후에는 만료 알림의 타이밍을 변경할 수 있습니다. ACM API의 PutAccountConfiguration 작업에서 DaysBeforeExpiry에 1~45 사이의 값을 입력합니다.

참고: 이벤트 만료 45일 전에 알림을 설정하려면 다음 방법을 사용하세요.

사용자 지정 EventBridge 규칙 만들기

사용자 지정 이벤트 패턴을 EventBridge 규칙과 함께 사용하여 acm-certificate-expiration-check AWS Config 관리형 규칙과 일치시킵니다. 그런 다음 Amazon SNS 토픽으로 응답을 라우팅합니다.

다음 단계를 완료합니다.

  1. Amazon SNS 토픽을 만들지 않은 경우 토픽을 만듭니다.{
    참고: Amazon SNS 토픽은 AWS Config 서비스와 동일한 AWS 리전에 있어야 합니다.

  2. EventBridge 콘솔을 엽니다.

  3. 규칙을 선택한 다음 규칙 생성을 선택합니다.

  4. 이름에 규칙의 이름을 입력합니다.

  5. 규칙 유형에서 이벤트 패턴이 있는 규칙을 선택한 다음 다음을 선택하세요.

  6. 이벤트 소스에 대해 AWS 이벤트 또는 EventBridge 파트너 이벤트를 선택합니다.

  7. 이벤트 패턴에서 **사용자 지정 패턴(JSON 편집기)**를 선택합니다.

  8. 이벤트 패턴 미리 보기 창에서 다음 이벤트 패턴을 입력합니다.

    {  "source": [
    "aws.config"
  ],
  "detail-type": [
    "Config Rules Compliance Change"
  ],
  "detail": {
    "messageType": [
      "ComplianceChangeNotification"
    ],
    "configRuleName": [
      "acm-certificate-expiration-check"
    ],
    "resourceType": [
      "AWS::ACM::Certificate"
    ],
    "newEvaluationResult": {
      "complianceType": [
        "NON_COMPLIANT"
      ]
    }
  }
}

  9. 다음을 선택합니다.

  10. 대상 선택에서 SNS 토픽를 선택합니다.

  11. 토픽에서 SNS 토픽를 선택합니다.

  12. 대상 입력 구성 드롭다운 목록에서 입력 변환기를 선택합니다.

  13. 입력 트랜스포머 구성을 선택합니다.

  14. 입력 경로 텍스트 상자에 다음 경로를 입력합니다.

{  "awsRegion": "$.detail.awsRegion",
  "resourceId": "$.detail.resourceId",
  "awsAccountId": "$.detail.awsAccountId",
  "compliance": "$.detail.newEvaluationResult.complianceType",
  "rule": "$.detail.configRuleName",
  "time": "$.detail.newEvaluationResult.resultRecordedTime",
  "resourceType": "$.detail.resourceType"
}
  1. 입력 템플릿 텍스트 상자에 다음 템플릿을 입력합니다.
"On <time> AWS Config rule <rule> evaluated the <resourceType> with Id <resourceId> in the account <awsAccountId> region <awsRegion> as <compliance>."
"For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=<awsRegion>#/timeline/<resourceType>/<resourceId>/configuration."
  1. 확인을 선택한 후 다음을 선택합니다.
  2. 다음을 다시 선택한 다음 규칙 만들기를 선택합니다.

이벤트 유형이 시작되면 단계 14에서 입력한 사용자 지정 필드가 채워진 SNS 이메일 알림을 받게 됩니다.

이메일 알림 예시:

“ExampleTime AWS Config 규칙의 ExampleRuleName은 ExampleRegion 리전의 ExampleAccount_Id 계정에서 ExampleResource_ID ID를 사용하여 ExampleResourceType을 ExamplecomplianceType으로 평가했습니다.{
자세한 내용을 알아보려면 https://console.aws.amazon.com/config/home?region=ExampleRegion#/timeline/ExampleResourceType/ExampleResource_ID/configuration에서 AWS Config 콘솔을 여십시오.”

AWS Config 규칙 만들기

먼저, 비규격 인증서가 만료일 전에 알림을 호출하도록 Amazon SNS 토픽EventBridge 규칙을 생성합니다.

**참고:**AWS Config를 사용할 때 요금이 발생합니다. 자세한 내용은 AWS Config 요금을 참조하십시오.

AWS Config 규칙을 생성하려면 다음 단계를 완료하십시오.

  1. AWS Config 콘솔을 엽니다.
  2. 규칙을 선택한 다음 규칙 추가를 선택합니다.
  3. 규칙 유형 선택에서 AWS 관리형 규칙 추가를 선택합니다.
  4. AWS 관리형 규칙에서 acm 인증서 만료 확인을 선택한 후 다음을 선택합니다.
  5. 매개변수 페이지의 에서 daysToExpiration 키에 규칙을 호출할 일 수를 입력합니다.{
    참고: 입력한 일 수에서 만료 날짜가 가까운 인증서의 경우, acm-certificate-expiration-check AWS Config 규칙이 비준수로 표시됩니다.
  6. 다음을 선택하고 규칙 추가를 선택합니다.

정적 임계값을 기반으로 CloudWatch 알람 만들기

다음 단계를 완료합니다.

  1. CloudWatch 콘솔을 엽니다.
  2. 탐색 창에서 알람을 선택한 다음 모든 알람을 선택합니다.
  3. 알람 생성을 선택하고 지표 선택을 선택합니다.
  4. 인증서 관리자를 선택한 다음 사용를 선택합니다.
  5. 지표 페이지에서 지표를 선택한 다음 지표 선택을 선택합니다.
  6. 지표 및 조건 지정 페이지에서 통계에 대해 최소을 선택합니다.
  7. 기간에서 1일을 선택합니다.
  8. 올카운트가...일 때마다 낮음/같음을 선택한 다음 **보다...**를 만료 전에 알람을 실행할 일수로 설정합니다.
  9. 다음을 선택합니다.
  10. 알림에서 알람에서를 선택합니다.
  11. 다음 SNS 토픽로 알림 보내기에서 기존 SNS 토픽 선택 또는 새 토픽 만들기를 선택한 다음 다음을 선택합니다.
  12. 알람 이름을 입력하고 다음을 선택합니다.
  13. 알람 만들기를 선택합니다.

자세한 내용은 정적 임계값을 기반으로 CloudWatch 경보 생성을 참조하세요.

관련 정보

인증서 발급 및 관리

AWS Config에서 AWS 리소스가 규정을 준수하지 않을 때 알림을 받으려면 어떻게 해야 하나요?

AWS Config에 대한 보안 모범 사례

주제
보안, 신원 및 규정 준수
태그
AWS Certificate Manager
언어
한국어
AWS 공식
AWS 공식업데이트됨 9달 전
댓글 없음

관련 콘텐츠