如何在 ACM 匯入的憑證接近到期時收到通知？

3 分的閱讀內容

我匯入了 AWS Certificate Manager (ACM) 憑證，我想要在其到期之前提醒重新匯入。

簡短說明

ACM 不會為匯入的憑證提供受管續訂。若要續訂匯入的憑證，請先向憑證發行者請求新憑證。然後，手動將憑證重新匯入 ACM。

若要取得憑證即將到期的通知，請使用下列其中一種方法：

使用 Amazon EventBridge 中的 ACM API 來設定 ACM 憑證接近到期事件。
建立自訂 EventBridge 規則，以在憑證接近到期日期時接收電子郵件通知。
使用 AWS Config 檢查憑證是否接近到期日期。
建立基於靜態臨界值的 Amazon CloudWatch 警示，在憑證接近到期日期時發出警示。

解決方法

在 EventBridge 中設定「ACM 憑證即將到期」事件

對於接近到期日的事件，ACM 會透過 CloudWatch 傳送通知。依預設，ACM 憑證接近到期事件會在事件到期前 45 天傳送通知。若要設定此通知的時間，請先在 EventBridge 中新增事件作為規則。

完成下列步驟：

開啟 EventBridge 主控台。
在導覽窗格中，選擇規則，然後選擇建立規則。
輸入規則的名稱。描述欄位是選擇性的。
**注意：**您必須為位於相同 AWS 區域和相同事件匯流排上的規則提供唯一的名稱。
對於事件匯流排，選取事件匯流排。若要將規則與 AWS 帳戶中的事件匹配，請選取 AWS 預設事件匯流排，以便事件傳送到您帳戶的預設事件匯流排。
對於規則類型，選擇具有事件模式的規則，然後選擇下一步。
對於事件來源，選擇 AWS 事件或 EventBridge 合作夥伴事件。
對於建立方法，選擇使用模式表單選項。
在事件模式區段中，完成下列步驟：
對於事件來源，選擇 AWS 服務。
對於 AWS 服務，選擇憑證管理員。
對於事件類型，選擇 ACM 憑證即將到期。
選擇下一步。
對於目標類型，選擇 AWS 服務。
對於選取目標，選取 SNS 主題，然後選取 Amazon Simple Notification Service (Amazon SNS) 主題。
選擇下一步。
(選擇性) 新增標籤。
選擇下一步。
檢閱規則的詳細資料，然後選擇建立規則。

建立規則之後，您可以變更到期通知的時間。在 ACM API 的 PutAccountConfiguration 動作中，對於 DaysBeforeExpiry，輸入 1 至 45 之間的值。

**注意：**若要設定事件到期時間剩餘超過 45 天的通知，請使用下列方法。

建立自訂 EventBridge 規則

使用具有 EventBridge 規則的自訂事件模式匹配 acm-certificate-expiration-check AWS Config 管理的規則。然後，將回應路由到 Amazon SNS 主題。

完成下列步驟：

如果您沒有建立 Amazon SNS 主題，請建立一個。
**注意：**Amazon SNS 主題必須與您的 AWS Conﬁg 服務位於相同 AWS 區域。
開啟 EventBridge 主控台。
選擇規則，然後選擇建立規則。
對於名稱，輸入規則的名稱。
對於規則類型，選擇具有事件模式的規則，然後選擇下一步。
對於事件來源，選擇 AWS 事件或 EventBridge 合作夥伴事件。
對於事件模式，選擇自訂模式 (JSON 編輯器)。

在事件模式預覽窗格中，輸入以下範例事件模式：

{  "source": [
    "aws.config"
  ],
  "detail-type": [
    "Config Rules Compliance Change"
  ],
  "detail": {
    "messageType": [
      "ComplianceChangeNotification"
    ],
    "configRuleName": [
      "acm-certificate-expiration-check"
    ],
    "resourceType": [
      "AWS::ACM::Certificate"
    ],
    "newEvaluationResult": {
      "complianceType": [
        "NON_COMPLIANT"
      ]
    }
  }
}

選擇下一步。
對於選取目標，選擇 SNS 主題。
對於主題，選擇您的 SNS 主題。
在設定目標輸入下拉清單中，選擇輸入轉換器。
選擇設定輸入轉換器。
在輸入路徑文字方塊中，輸入下列路徑：

{  "awsRegion": "$.detail.awsRegion",
  "resourceId": "$.detail.resourceId",
  "awsAccountId": "$.detail.awsAccountId",
  "compliance": "$.detail.newEvaluationResult.complianceType",
  "rule": "$.detail.configRuleName",
  "time": "$.detail.newEvaluationResult.resultRecordedTime",
  "resourceType": "$.detail.resourceType"
}

在輸入範本文字方塊中，輸入下列範本：

"On <time> AWS Config rule <rule> evaluated the <resourceType> with Id <resourceId> in the account <awsAccountId> region <awsRegion> as <compliance>."
"For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=<awsRegion>#/timeline/<resourceType>/<resourceId>/configuration."

選擇確認，然後選擇下一步。
再次選擇下一步，然後選擇建立規則。

如果事件類型已啟動，您會收到 SNS 電子郵件通知，其中包含步驟 14 填入的自訂欄位。

範例電子郵件通知：

"On ExampleTime AWS Config rule ExampleRuleName evaluated the ExampleResourceType with Id ExampleResource_ID in the account ExampleAccount_Id in Region ExampleRegion as ExamplecomplianceType.
For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=ExampleRegion#/timeline/ExampleResourceType/ExampleResource_ID/configuration"

建立 AWS Conﬁg 規則

首先，建立 Amazon SNS 主題和 EventBridge 規則，以便不符合的憑證在到期日期之前調用通知。

**注意：**在使用 AWS Conﬁg 時，需要支付費用。如需詳細資訊，請參閱 AWS Conﬁg 定價。

若要建立 AWS Conﬁg 規則，請完成下列步驟：

開啟 AWS Conﬁg 主控台。
選擇規則，然後選擇新增規則。
在選取規則類型中，選擇新增 AWS 管理的規則。
對於 AWS 管理的規則，選擇 acm-certificate-expiration-check，然後選擇下一步。
在參數頁面上，對於值，輸入要在 DaysToExpiration 索引鍵中調用規則的天數。
注意：對於到期日期接近您輸入的天數之憑證，acm-certificate-expiration-check AWS Config 規則標記為不符合。
選擇下一步，然後選擇新增規則。

建立基於靜態臨界值的 CloudWatch 警示

完成下列步驟：

開啟 CloudWatch 主控台。
在導覽窗格中，選擇警示，然後選擇所有警示。
選擇建立警示，然後選擇選取指標。
選擇憑證管理員，然後選擇使用情況。
在指標頁面上，選取指標，然後選擇選取指標。
在指定指標和條件 頁面上，對於統計，選擇最小值。
對於期間，選擇 1 天。
對於當 AllCount 為...，選擇更低/等於，然後將**比...**設定為您希望警示在到期前執行的天數。
選擇下一步。
對於通知，選擇警示中。
對於傳送通知至下列 SNS 主題中，選擇選取現有的 SNS 主題或建立新主題，然後選擇下一步。
輸入警示名稱，選擇下一步。
選擇建立警示。

如需詳細資訊，請參閱根據靜態閾值建立 CloudWatch 警示。

如何在 ACM 匯入的憑證接近到期時收到通知？

簡短說明

解決方法

在 EventBridge 中設定「ACM 憑證即將到期」事件

建立自訂 EventBridge 規則

建立 AWS Conﬁg 規則

建立基於靜態臨界值的 CloudWatch 警示

相關資訊

相關內容