내용으로 건너뛰기
AWS re:Post을(를) 사용하면 다음에 동의하게 됩니다. AWS re:Post 이용 약관
AWS re:Postre:Post
re:Post 소개

ACM 인증서가 곧 갱신되기 전에 알림을 받으려면 어떻게 해야 합니까?

5분 분량
0

AWS Certificate Manager(ACM)에 저장된 인증서가 있습니다. ACM에서 언제 인증서를 갱신하는지 알고 싶습니다.

간략한 설명

ACM 인증서 갱신 알림을 설정하려면 먼저 인증서의 자동 갱신 자격을 확인합니다. 그런 다음, 다음 작업 중 하나 이상을 수행합니다.

  • 인증서 갱신 날짜 추정
  • 갱신 전 사전 알림 구성
  • 갱신 실패에 대한 알림 구성

해결 방법

인증서의 자동 갱신 자격 확인

다음 단계를 완료하십시오.

  1. 인증서의 AWS 리전에서 ACM 콘솔을 엽니다.
  2. **List certificates(인증서 목록)**를 선택합니다.
  3. 인증서 ID를 선택한 다음 인증서의 Details(세부 정보) 페이지를 엽니다.
  4. **Certificate status(인증서 상태)**에서 **Type(유형)**이 Amazon Issued(Amazon 발급) 또는 **Private(사설)**인지 확인합니다.
    **참고:****Type(유형)**이 **Imported(가져옴)**면 해당 인증서는 ACM 관리형 갱신을 받을 수 없습니다. 이 유형의 인증서에 대한 알림을 설정하려면, 어떻게 ACM에서 가져온 인증서의 만료가 가까울 때 알림을 받을 수 있습니까?를 참조하십시오.
  5. **Details(세부 정보)**에서 **Renewal eligibility(갱신 적격)**이 **Eligible(적격)**인지 **Ineligible(부적격)**인지 확인하십시오.

관리형 갱신 부적격 인증서에 대한 자세한 내용은 Managed renewal for ACM certificates(ACM 인증서 관리형 갱신)를 참조하십시오. 관리형 갱신 부적격 인증서가 ACM과 통합되는 AWS 서비스 리소스와 연결되어 있는지 확인하십시오. ACM에서 발급한 사실 인증서의 경우, 해당 인증서를 ACM과 통합되는 리소스에 연결하거나 ExportCertificate API를 사용하여 내보냅니다. ACM에서 발급한 공인 인증서의 경우 해당 인증서를 ACM과 통합되는 리소스에 연결합니다.

인증서 갱신 날짜 추정

다음 단계를 완료하십시오.

  1. 인증서의 Details(세부 정보) 페이지에서 인증서 만료 날짜인 Not after 값을 확인합니다.
  2. **Domains(도메인)**에서 인증서의 유효성 검사 방법을 확인합니다.
    **Domains(도메인)**이 **Registered owners(등록된 소유자)**면 이메일로 유효성을 검사한 인증서입니다. ACM에서는 만료 날짜 45일 전에 인증서 갱신을 위해 필요한 작업을 포함한 이메일 알림을 보냅니다. 조치를 취하지 않으면 인증서가 만료되고 더 이상 갱신할 수 없습니다.
    **Domains(도메인)**이 CNAME 이름CNAME 값인 경우 만료 60일 전에 자동으로 갱신되는 DNS로 유효성을 확인한 인증서입니다.
    **Domains(도메인)**이 위의 값 중 어느 것도 아닌 경우 인증 기관(CA)을 확인합니다. Amazon 리소스 이름(ARN)이 있는 경우 만료 60일 전에 자동으로 갱신되는 AWS Private Certificate Authority의 사설 인증서입니다. 사설 인증서는 도메인 유효성 검사가 필요하지 않습니다. 대신에 관리형 갱신을 위해서 ACM에 AWS Private CA 권한이 필요합니다. 자세한 내용은 ACM에 인증서 갱신 권한 할당을 참조하십시오.
  3. 이메일로 유효성을 검사한 인증서의 경우 인증서 만료 45일 전에 날짜를 계산합니다. DNS로 유효성을 검사한 인증서 및 사설 인증서의 경우 인증서 만료 60일 전에 날짜를 계산합니다.

갱신 전 사전 알림 구성

자동 45일 또는 60일 전 갱신 알림을 받으려면, acm-certificate-expiration-check를 실행하거나 DaysToExpiry 지표와 Amazon CloudWatch 경보를 사용합니다.

**참고:**acm-certificate-expiration-check 규칙은 규칙을 만드는 리전에 있는 모든 인증서를 확인합니다. daysToExpiration의 일반적인 값을 사용합니다. 특정 인증서를 모니터링하고 알림을 받으려면 DaystoExpiry와 CloudWatch 경보를 대신 사용합니다.

acm-certificate-expiration-check 실행

다음 단계를 완료하십시오.

  1. AWS CloudFormation 콘솔을 엽니다.
  2. **Create stack(스택 생성)**을 선택합니다.
  3. **Choose an existing template(기존 템플릿 선택)**을 선택합니다.
  4. Amazon S3 URL의 경우, http://s3.amazonaws.com/aws-configservice-us-east-1/cloudformation-templates-for-managed-rules/ACM_CERTIFICATE_EXPIRATION_CHECK.template을 입력합니다.
  5. **Next(다음)**를 선택합니다.
  6. **Stack name(스택 이름)**을 입력한 다음 daysToExpiration에 만료 전에 알림을 받으려는 날짜 수를 입력합니다.
  7. **Next(다음)**를 선택합니다.
  8. 구성 설정을 확인한 후 **Next(다음)**를 선택합니다.
  9. **Submit(제출)**을 선택합니다.
  10. 스택의 **Status(상태)**가 CREATE_COMPLETE인지 확인합니다.
  11. Amazon EventBridge 콘솔을 엽니다.
  12. **Create rule(규칙 생성)**을 선택합니다.
  13. **Name(이름)**에 규칙 이름을 입력합니다.
  14. **Description(설명)**에 규칙 설명을 입력합니다.
  15. **Next(다음)**를 선택합니다.
  16. **Event pattern(이벤트 패턴)**에 대해 다음 설정을 구성합니다.
    **Event source(이벤트 소스)**에 **AWS services(AWS 서비스)**를 선택합니다.
    **AWS services(AWS 서비스)**에 **Config(구성)**를 선택합니다.
    **Event type(이벤트 유형)**에서 **Config Rules Compliance Change(규칙 규정 준수 변경 구성)**를 선택합니다.
    **Event Type Specification 1(이벤트 유형 사양 1)**에 대해서는 ComplianceChangeNotification을 입력합니다.
    **Event Type Specification 2(이벤트 유형 사양 2)**에 규칙 이름을 입력합니다.
    **참고:**CloudFormation 템플릿의 기본 구성 규칙 이름은 acm-certificate-expiration-check입니다.
  17. **Next(다음)**를 선택합니다.
  18. **Select target(s)(대상 선택)**에서 다음 예시와 같이 선호하는 알림 대상을 선택합니다. AWS 서비스SNS 주제
  19. **Next(다음)**를 선택합니다.
  20. 구성 설정을 확인한 다음 **Create rule(규칙 만들기)**을 선택합니다.

EventBridge 규칙 예시:

{  
  "source": ["aws.config"],  
  "detail-type": ["Config Rules Compliance Change"],  
  "detail": {  
    "messageType": ["ComplianceChangeNotification"],  
    "configRuleName": ["acm-certificate-expiration-check"]  
  }  
}

DaysToExpiry 및 CloudWatch 경보를 사용합니다.

다음 단계를 완료하십시오.

  1. CloudWatch 콘솔을 엽니다.
  2. **Alarms(경보)**에 **All alarms(모든 경보)**를 선택합니다.
  3. **Select metric(지표 선택)**을 선택합니다.
  4. 검색 상자에 DaysToExpiry와 인증서의 ARN을 입력합니다.
  5. 검색 결과에서 **CertificateManager > Certificate Metrics(인증서 지표)**을 선택합니다.
  6. 인증서에 대해 DaysToExpiry를 선택합니다.
  7. **Select metric(지표 선택)**을 선택합니다.
  8. **Specify metric and conditions(지표 및 조건 지정)**에서 **Statistics(통계)**에 대해 **Maximum(최대)**을 선택합니다.
  9. **Conditions(조건)**에 **Lower/Equal(더 낮음/동일함)**을 선택합니다.
  10. **than(다음보다)**에서는 만료 전에 알림을 받으려는 날짜 수를 입력합니다.
  11. **Next(다음)**를 선택합니다.
  12. **Configure actions(작업 구성)**에서 사용 사례에 맞는 옵션을 선택합니다.
  13. **Next(다음)**를 선택합니다.
  14. **Add name and description(이름 및 설명 추가)**에 경보 이름을 입력한 다음 **Next(다음)**를 선택합니다.
  15. 구성 설정을 확인한 다음 **Create alarm(경보 생성)**을 선택합니다.

갱신 실패에 대한 알림 구성

EventBridge 규칙을 사용하여 ACM이 ACM Certificate Approaching Expiration(ACM 인증서 곧 만료) 이벤트를 호출하면 알림을 발송합니다.

다음 단계를 완료하십시오.

  1. EventBridge 콘솔을 엽니다.

  2. **Create rule(규칙 생성)**을 선택합니다.

  3. **Name(이름)**에 규칙 이름을 입력합니다.

  4. **Description(설명)**에 규칙 설명을 입력합니다.

  5. **Next(다음)**를 선택합니다.

  6. **Event pattern(이벤트 패턴)**에서 **Edit pattern(패턴 편집)**을 선택합니다.

  7. 다음 이벤트 패턴을 입력합니다.

    {
  "source": ["aws.acm"],
  "resources": ["arn:aws:acm:region:account:certificate/CERTIFICATE_ID"],
  "detail-type": ["ACM Certificate Approaching Expiration"]
}

    **참고:****region(리전)**을 사용자 리전으로, **account(계정)**를 사용자 AWS 계정으로, CERTIFICATE_ID를 사용자 인증서 ID로 바꿉니다.

  8. **Next(다음)**를 선택합니다.

  9. **Select target(s)(대상 선택)**에서 다음 예시와 같이 선호하는 알림 대상을 선택합니다. AWS 서비스SNS 주제

  10. **Next(다음)**를 선택합니다.

  11. 구성 설정을 확인한 다음 **Create rule(규칙 생성)**을 선택합니다.

관련 정보

관리형 인증서 갱신 오류 처리

AWS Certificate Manager 모니터링 및 로깅

Amazon Simple Notification Service(Amazon SNS) 시작

ACM용 Amazon EventBridge 지원

주제
Security, Identity, & Compliance
태그
AWS Certificate Manager
언어
한국어
AWS 공식업데이트됨 2년 전
댓글 없음

관련 콘텐츠