Como posso ser notificado quando meus certificados importados do ACM estiverem prestes a expirar?

7 minuto de leitura

Importei um certificado do AWS Certificate Manager (ACM) e quero um lembrete para reimportar o certificado antes que ele expire.

Breve descrição

O ACM não fornece renovação gerenciada para certificados importados. Para renovar um certificado importado, primeiro solicite um novo certificado ao seu emissor de certificados. Em seguida, reimporte manualmente o certificado para o ACM.

Para receber uma notificação de que seu certificado está prestes a expirar, use um dos seguintes métodos:

Use a API do ACM no Amazon EventBridge para configurar o evento Certificado do ACM prestes a expirar.
Crie uma regra personalizada do EventBridge para receber notificações por e-mail quando os certificados estiverem perto da data de expiração.
Use o AWS Config para verificar se há certificados que estão perto da data de expiração.
Crie um alarme do Amazon CloudWatch com base em um limite estático quando os certificados estiverem próximos da data de expiração.

Resolução

Configurar o evento “Certificado do ACM prestes a expirar” no EventBridge

Para eventos que estão próximos da data de expiração, o ACM envia notificações por meio do CloudWatch. Por padrão, o evento Certificado do ACM prestes a expirar envia notificações 45 dias antes da expiração de um evento. Para configurar o tempo dessa notificação, primeiro adicione o evento como uma regra no EventBridge.

Conclua as seguintes etapas:

Abra o console do EventBridge.
No painel de navegação, escolha Regras e, em seguida, Criar regra.
Insira um Nome para sua regra. O campo Descrição é opcional.
Observação: você deve nomear de forma exclusiva as regras que estão na mesma região da AWS e no mesmo barramento de eventos.
Em Barramento de eventos, selecione o barramento de eventos. Para combinar a regra com os eventos da sua conta da AWS, selecione o barramento de eventos padrão da AWS, para que o evento vá para o barramento de eventos padrão da sua conta.
Em Tipo de regra, escolha Regra com um padrão de evento e, em seguida, escolha Avançar.
Em Origem do evento, escolha eventos da AWS ou eventos de parceiros do EventBridge.
Em Método de criação, escolha a opção Usar formulário de padrão.
Na seção Padrão de evento, conclua as seguintes etapas:
Em Fonte do evento, escolha Serviços AWS.
Em Serviço AWS, escolha Gerenciador de certificados.
Em Tipo de evento, escolha Certificado do ACM prestes a expirar.
Escolha Avançar.
Em Tipos de destino, selecione o Serviço da AWS.
Em Selecionar um alvo, selecione Tópico do SNS e, em seguida, selecione o tópico do Amazon Simple Notification Service (Amazon SNS).
Escolha Avançar.
(Opcional) Adicione etiquetas.
Escolha Avançar.
Revise os detalhes da regra e escolha Criar regra.

Depois de criar a regra, você pode alterar o tempo da notificação de expiração. Nas ação PutAccountConfiguration da APIs do ACM, insira um valor entre 1-45 para DaysBeforeExpiry.

Observação: para configurar notificações para mais de 45 dias antes do término de um evento, use os seguintes métodos.

Criar uma regra personalizada do EventBridge

Use um padrão de evento personalizado com uma regra do EventBridge para corresponder à Regra gerenciada acm-certificate-expiration-check do AWS Config. Em seguida, encaminhe a resposta a um tópico do Amazon SNS.

Conclua as seguintes etapas:

Se você não criou um tópico do Amazon SNS, então crie um.
Observação: o tópico do Amazon SNS deve estar na mesma região da AWS que seu serviço AWS Config.
Abra o console do EventBridge.
Escolha Regras e depois Criar regra.
Em Nome, insira um nome para a política.
Em Tipo de regra, escolha Regra com padrão de evento e depois escolha Próximo.
Em Origem do evento, escolha eventos da AWS ou eventos de parceiros do EventBridge.
Para Padrão de evento, escolha Padrões personalizados (editor JSON).

No painel de visualização Padrão de evento, insira o seguinte padrão de evento:

{  "source": [
    "aws.config"
  ],
  "detail-type": [
    "Config Rules Compliance Change"
  ],
  "detail": {
    "messageType": [
      "ComplianceChangeNotification"
    ],
    "configRuleName": [
      "acm-certificate-expiration-check"
    ],
    "resourceType": [
      "AWS::ACM::Certificate"
    ],
    "newEvaluationResult": {
      "complianceType": [
        "NON_COMPLIANT"
      ]
    }
  }
}

Escolha Avançar.
Em Selecionar um destino, escolha Tópico do SNS.
Em Tópico, escolha seu tópico do SNS.
Na lista suspensa Configurar entrada de destino, escolha Transformador de entrada.
Escolha Configurar transformador de entrada.
Na caixa de texto Caminho de entrada, insira o seguinte caminho:

{  "awsRegion": "$.detail.awsRegion",
  "resourceId": "$.detail.resourceId",
  "awsAccountId": "$.detail.awsAccountId",
  "compliance": "$.detail.newEvaluationResult.complianceType",
  "rule": "$.detail.configRuleName",
  "time": "$.detail.newEvaluationResult.resultRecordedTime",
  "resourceType": "$.detail.resourceType"
}

Na caixa de texto Modelo de entrada, insira o seguinte modelo:

"On <time> AWS Config rule <rule> evaluated the <resourceType> with Id <resourceId> in the account <awsAccountId> region <awsRegion> as <compliance>."
"For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=<awsRegion>#/timeline/<resourceType>/<resourceId>/configuration."

Escolha Confirmar e, em seguida, Avançar.
Escolha Próximo novamente e depois escolha Criar regra.

Se um tipo de evento for iniciado, você receberá uma notificação por e-mail do SNS com os campos personalizados preenchidos da etapa 14.

Exemplo de notificação por e-mail:

"Na regra do AWS Config ExampleTime, ExampleRuleName avaliou ExampleResourceType com o Id ExampleResource_ID na conta ExampleAccount\_Id na região ExampleRegion como ExamplecomplianceType.
Para mais detalhes, abra o console do AWS Config em https://console.aws.amazon.com/config/home?region=ExampleRegion#/timeline/ExampleResourceType/ExampleResource_ID/configuration"

Criar uma regra do AWS Config

Primeiro, crie o tópico do Amazon SNS e a regra EventBridge para que certificados fora de conformidade invoquem uma notificação antes da data de expiração.

Observação: ao usar o AWS Config, você acumula cobranças. Para mais informações, consulte Preços do AWS Config.

Para criar a regra do AWS Config, conclua as seguintes etapas:

Abra o console do AWS Config.
Escolha Regras e depois Adicionar regra.
Em Selecione o tipo de regra, escolha Adicionar regra gerenciada pela AWS.
Em Regras gerenciadas da AWS, escolha acm-certificate-expiration-check e depois escolha Avançar.
Na página Parâmetros, em Valor, insira o número de dias que você deseja que a regra invoque na chave daysToExpiration.
Observação: para certificados que estejam próximos da data de expiração a partir do número de dias que você inserir, a regra do AWS Config acm-certificate-expiration-check está marcada como Não conforme.
Escolha Avançar e depois Adicionar regra.

Criar um alarme do CloudWatch com base em um limite estático

Conclua as seguintes etapas:

Abra o console do CloudWatch.
No painel de navegação, escolha Alarmes e depois Todos os alarmes.
Selecione Criar alarme e, depois, selecione Selecionar métrica.
Escolha Gerenciador de certificados e depois Uso.
Na página Métricas, selecione a métrica e escolha Selecionar métrica.
Na página Especificar métricas e condições, em Estatística, escolha Mínimo.
Em Período, escolha 1 dia.
Em sempre que AllCount for..., escolha Menor/Igual a e depois defina que... como o número de dias em que você deseja que o alarme seja executado antes da expiração.
Escolha Avançar.
Em Notificação, escolha Em alarme.
Em Enviar uma notificação ao seguinte tópico do SNS, escolha Selecionar um tópico do SNS existente ou Criar novo tópico e escolha Avançar.
Insira um nome de alarme e escolha Avançar.
Selecione Criar alarme.

Para mais informações, consulte Criar um alarme do CloudWatch com base em um limite estático).

Informações relacionadas

Issuing and managing certificates

Como faço para ser notificado quando um recurso da AWS não está em conformidade usando o AWS Config?

Security best practices for AWS Config

Tópicos

Segurança, identidade e conformidade

Conteúdo relevante

Minha certificação sumiu do portal.
Souza
feita há 2 meses
A AWS emite algum documento comprovando para fins legais que a gente tá usando a infraestrutura e serviços da AWS?
Resposta aceita
Marcos Abreu
feita há 2 meses
Servidor não Liga
Evandro
feita há 2 meses
Erro ao configurar o route53 com Cloudfront
Leandro Garcia
feita há 5 dias
Tem alguma maneira de conseguir um voucher ou desconto no exame cloud practitioner
Ana Caroline Dal Molin
feita há 22 dias
Por que meu certificado do ACM está marcado como inelegível para renovação?
AWS OFICIALAtualizada há 2 anos
Por que meu certificado ACM de confiança pública falhou na renovação gerenciada?
AWS OFICIALAtualizada há 3 anos
Como importar um certificado TLS/SSL emitido por terceiros para o ACM?
AWS OFICIALAtualizada há 5 meses
Como o processo de renovação gerenciado pelo ACM funciona com certificados validados por e-mail?
AWS OFICIALAtualizada há 3 anos