Wie kann ich benachrichtigt werden, wenn meine von ACM importierten Zertifikate kurz vor dem Ablauf stehen?

Kurzbeschreibung

ACM bietet keine verwaltete Verlängerung für importierte Zertifikate. Um ein importiertes Zertifikat zu erneuern, fordern Sie zuerst ein neues Zertifikat von Ihrem Zertifikatsaussteller an. Importieren Sie das Zertifikat anschließend manuell erneut in ACM.

Um eine Benachrichtigung zu erhalten, dass Ihr Zertifikat in Kürze abläuft, verwenden Sie eine der folgenden Methoden:

• Verwenden Sie die ACM-API in Amazon EventBridge, um das Ereignis ACM Certificate Approaching Expiration zu konfigurieren.
• Erstellen Sie eine benutzerdefinierte EventBridge-Regel, um E-Mail-Benachrichtigungen zu erhalten, wenn sich Zertifikate dem Ablaufdatum nähern.
• Verwenden Sie AWS Config, um nach Zertifikaten zu suchen, die sich dem Ablaufdatum nähern.

Wenn Sie AWS Config für diese Lösung verwenden, sollten Sie Folgendes beachten:

• Erstellen Sie das Amazon Simple Notification Service (Amazon SNS)-Thema und die EventBridge-Regel, bevor Sie die AWS-Config-Regel einrichten. Dadurch wird sichergestellt, dass alle nicht konformen Zertifikate vor dem Ablaufdatum eine Benachrichtigung anzeigen.
• Bei der Aktivierung von AWS Config fallen je nach Nutzung zusätzliche Kosten an. Weitere Informationen finden Sie unter AWS Config – Preise.

Lösung

Das Ereignis „ACM Certificate Approaching Expiration“ in EventBridge konfigurieren

ACM sendet über Amazon CloudWatch Benachrichtigungen für Ereignisse, die sich ihrem Ablaufdatum nähern. Standardmäßig sendet das Ereignis ACM Certificate Approaching Expiration 45 Tage vor dem Ablaufdatum eines Ereignisses Benachrichtigungen. Um den zeitlichen Ablauf dieser Benachrichtigung zu konfigurieren, fügen Sie dieses Ereignis zunächst als Regel in EventBridge hinzu:

1.    Öffnen Sie die Amazon-EventBridge-Konsole.

2.    Wählen Sie im Navigationsbereich Rollen und dann Rolle erstellen aus.

3.    Geben Sie einen Namen für Ihre Regel ein. Das Feld Beschreibung ist optional.

Hinweis: Die Regeln, die sich in derselben AWS-Region und auf demselben Event Bus befinden, müssen eindeutig benannt werden.

4.    Wählen Sie als Event Bus den Event Bus, den Sie mit dieser Regel verknüpfen möchten. Um diese Regel mit Ereignissen abzustimmen, die von Ihrem Konto stammen, wählen Sie AWS-Standard-Event-Bus aus. Wenn in diesem Fall ein AWS-Service in Ihrem Konto ein Ereignis ausgibt, geht es immer an den Standard-Event-Bus Ihres Kontos.

5.    Wählen Sie für Regeltyp die Option Regel mit Ereignismuster aus und wählen Sie dann Weiter aus.

6.    Wählen Sie als Ereignisquelle AWS-Ereignisse oder EventBridge-Partnerereignisse aus.

7.    Wählen Sie als Erstellungsmethodedie Option Musterformular verwenden aus.

8.    Im Abschnitt Ereignismuster füllen Sie die angegebenen Felder wie folgt aus:

Wählen Sie als Ereignisquelle AWS-Services aus.

Wählen Sie als AWS-Service Certificate Manager aus.

Wählen Sie als Ereignistyp ACM Certificate Approaching Expiration aus.

9.    Wählen Sie Weiter.

10.    Wählen Sie als Zieltypen AWS-Service aus.

11.    Wählen Sie als Ziel auswählen SNS-Thema und dann das Thema aus, für das Sie Ablaufbenachrichtigungen konfigurieren möchten.

12.    Wählen Sie Weiter aus.

(Optional) Fügen Sie Tags hinzu.

13.    Wählen Sie Weiter aus.

14.    Überprüfen Sie die Details der Regel und wählen Sie dann Regel erstellen aus.

Nach der Erstellung dieser Regel können Sie den Zeitpunkt der Ablaufbenachrichtigung ändern. Geben Sie in der Aktion PutAccountConfiguration der ACM API einen Wert von 1 bis 45 für DaysBeforeExpiry ein. Weitere Informationen finden Sie unter Ereignis ACM Certificate Approaching Expiration.

Wenn Sie Benachrichtigungen für mehr als 45 Tage vor Ablauf eines Ereignisses einrichten möchten, verwenden Sie die folgenden alternativen Methoden.

Eine benutzerdefinierte EventBridge-Regel erstellen

Verwenden Sie ein benutzerdefiniertes Ereignismuster mit einer EventBridge-Regel, um der von AWS Config verwalteten Regel acm-certificate-expiration-check zu entsprechen. Dann leiten Sie die Antwort an ein Amazon-Simple-Notification-Service-Thema weiter.

1.    Wenn Sie kein Amazon-SNS-Thema erstellt haben, befolgen Sie die Anweisungen für Erste Schritte mit Amazon SNS.

Hinweis: Das Amazon-SNS-Thema muss sich in derselben AWS-Region wie Ihr AWS-Config-Service befinden.

2.    Öffnen Sie die EventBridge-Konsole und wählen Sie dann Regeln.

3.    Wählen Sie Regel erstellen aus.

4.    Geben Sie unter Name einen Namen für Ihre Regel ein.

5.    Wählen Sie in Regeltyp die Option Regel mit Ereignismuster aus, und wählen Sie dann Weiter.

6.    Wählen Sie in Ereignisquelle AWS-Ereignisse oder EventBridge-Partnerereignisse aus.

7.    Wählen Sie im Ereignismuster die Option Benutzerdefinierte Muster (JSON-Editor).

8.    Kopieren Sie im Vorschaufenster des Ereignismusters das folgende Ereignismuster und fügen Sie es ein:

{
  "source": [
    "aws.config"
  ],
  "detail-type": [
    "Config Rules Compliance Change"
  ],
  "detail": {
    "messageType": [
      "ComplianceChangeNotification"
    ],
    "configRuleName": [
      "acm-certificate-expiration-check"
    ],
    "resourceType": [
      "AWS::ACM::Certificate"
    ],
    "newEvaluationResult": {
      "complianceType": [
        "NON_COMPLIANT"
      ]
    }
  }
}

9.    Wählen Sie Weiter.

10.    Wählen Sie unter Ziel auswählen die Option SNS-Thema aus.

11.    Wählen Sie unter Thema Ihr SNS-Thema aus.

12.    Wählen Sie in der Dropdown-Liste Zieleingabe konfigurieren die Option Eingangstransformator.

13.    Wählen Sie Eingangstransformator konfigurieren.

14.    Kopieren Sie im Textfeld Eingabepfad den folgenden Pfad und fügen Sie ihn ein:

{
  "awsRegion": "$.detail.awsRegion",
  "resourceId": "$.detail.resourceId",
  "awsAccountId": "$.detail.awsAccountId",
  "compliance": "$.detail.newEvaluationResult.complianceType",
  "rule": "$.detail.configRuleName",
  "time": "$.detail.newEvaluationResult.resultRecordedTime",
  "resourceType": "$.detail.resourceType"
}

15.    Kopieren Sie im Textfeld Eingabevorlage die folgende Vorlage und fügen Sie sie ein:

"On <time> AWS Config rule <rule> evaluated the <resourceType> with Id <resourceId> in the account <awsAccountId> region <awsRegion> as <compliance>."

"For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=<awsRegion>#/timeline/<resourceType>/<resourceId>/configuration."

16.    Wählen Sie Bestätigen, Weiter, Weiter, Regel erstellen.

17.    Wenn ein Ereignistyp initiiert wird, erhalten Sie dann eine SNS-E-Mail-Benachrichtigung mit den in Schritt 14 eingegebenen benutzerdefinierten Feldern, die folgendermaßen aussieht:

"On ExampleTime AWS Config rule ExampleRuleName evaluated the ExampleResourceType with Id ExampleResource_ID in the account ExampleAccount_Id in Region ExampleRegion as ExamplecomplianceType. 

For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=ExampleRegion#/timeline/ExampleResourceType/ExampleResource_ID/configuration"

Erstellen einer AWS-Config-Regel

1.    Öffnen Sie die AWS-Config-Konsole, wählen Sie Regeln und dann Regel hinzufügen.

2.    Wählen Sie unter Regeltyp auswählen die Option Verwaltete AWS-Regel hinzufügen aus.

3.    Wählen Sie in AWS Managed Rules die Option acm-certificate-expiration-check und dann Weiter aus.

4.    Geben Sie im Feld Parameter für den Schlüssel DaysToExpiration im Feld Wert die Anzahl der Tage ein, die die Regel vor Ablauf auslösen soll.

Hinweis: Für Zertifikate, die sich dem Ablaufdatum der von Ihnen eingegebenen Anzahl von Tagen nähern, wird die AWS-Config-Regel acm-certificate-expiration-check als Nicht konform markiert.

5.    Wählen Sie Weiter und dann Regel hinzufügen aus.

---

Relevante Informationen

Ausstellung und Verwaltung von Zertifikaten

Wie erfahre ich, wenn eine AWS-Ressource, die AWS Config verwendet, gegen Richtlinien verstößt?

Bewährte Sicherheitsmethoden für AWS Config