Wie kann ich benachrichtigt werden, wenn meine von ACM importierten Zertifikate kurz vor dem Ablauf stehen?

Letzte Aktualisierung: 19.07.2022

Ich habe ein AWS-Certificate-Manager-Zertifikat (ACM) importiert. Ich möchte das Zertifikat erneut importieren, bevor es abläuft. Wie kann ich benachrichtigt werden, bevor mein importiertes Zertifikat abläuft?

Kurzbeschreibung

ACM bietet keine verwaltete Verlängerung für importierte Zertifikate. Um ein importiertes Zertifikat zu erneuern, fordern Sie zuerst ein neues Zertifikat von Ihrem Zertifikatsaussteller an. Importieren Sie das Zertifikat anschließend manuell erneut in ACM.

Auflösung

Sie können AWS Config verwenden, um nach Zertifikaten zu suchen, die sich dem Ablaufdatum nähern. Sie können Amazon EventBridge auch verwenden, um E-Mail-Benachrichtigungen zu erhalten, wenn sich Zertifikate dem Ablaufdatum nähern.

Hinweis:

  • Bei der Aktivierung von AWS Config fallen je nach Nutzung zusätzliche Kosten an. Weitere Informationen finden Sie unter AWS Config – Preise.
  • Stellen Sie sicher, dass das Amazon Simple Notification Service (Amazon SNS) –Thema und die Amazon-EventBridge-Regel erstellt wurden, bevor die AWS-Config-Regel eingerichtet wird. Dadurch wird sichergestellt, dass alle nicht konformen Zertifikate vor dem Ablaufdatum eine Benachrichtigung auslösen.

Erstellen Sie eine EventBridge-Regel.

Verwenden Sie ein benutzerdefiniertes Ereignismuster mit einer EventBridge-Regel, um der von AWS Config verwalteten Regel acm-certificate-expiration-check zu entsprechen. Dann leiten Sie die Antwort an ein Amazon-Simple-Notification-Service-Thema weiter.

1.    Wenn Sie noch kein Amazon-SNS-Thema erstellt haben, befolgen Sie die Anweisungen für Erste Schritte mit Amazon SNS.

Hinweis: Das Amazon-SNS-Thema muss sich in derselben Region wie Ihr AWS-Config-Service befinden.

2.    Öffnen Sie die EventBridge-Konsole und wählen Sie dann Regeln.

3.    Wählen Sie Regel erstellen aus.

4.    Geben Sie unter Name einen Namen für Ihre Regel ein.

5.    Wählen Sie in Regeltyp die Option Regel mit Ereignismuster aus, und wählen Sie dann Weiter.

6.    Wählen Sie in Ereignisquelle AWS-Ereignisse oder EventBridge-Partnerereignisse aus.

7.    Wählen Sie im Ereignismuster die Option Benutzerdefinierte Muster (JSON-Editor).

8.    Kopieren Sie im Vorschaufenster des Ereignismusters das folgende Ereignismuster, und fügen Sie es ein:

{
  "source": [
    "aws.config"
  ],
  "detail-type": [
    "Config Rules Compliance Change"
  ],
  "detail": {
    "messageType": [
      "ComplianceChangeNotification"
    ],
    "configRuleName": [
      "acm-certificate-expiration-check"
    ],
    "resourceType": [
      "AWS::ACM::Certificate"
    ],
    "newEvaluationResult": {
      "complianceType": [
        "NON_COMPLIANT"
      ]
    }
  }
}

8.    Wählen Sie Weiter.

9.    Wählen Sie unter Ziel auswählen die Option SNS-Thema aus.

10.    Wählen Sie unter Thema Ihr SNS-Thema aus.

11.    Wählen Sie in der Dropdown-Liste Zieleingabe konfigurieren die Option Eingangstransformator.

12.    Wählen Sie Eingangstransformator konfigurieren.

13.    Kopieren Sie im Textfeld Eingabepfad den folgenden Pfad, und fügen Sie ihn ein:

{
  "awsRegion": "$.detail.awsRegion",
  "resourceId": "$.detail.resourceId",
  "awsAccountId": "$.detail.awsAccountId",
  "compliance": "$.detail.newEvaluationResult.complianceType",
  "rule": "$.detail.configRuleName",
  "time": "$.detail.newEvaluationResult.resultRecordedTime",
  "resourceType": "$.detail.resourceType"
}

14.    Kopieren Sie im Textfeld Eingabevorlage die folgende Vorlage, und fügen Sie sie ein:

"On <time> AWS Config rule <rule> evaluated the <resourceType> with Id <resourceId> in the account <awsAccountId> region <awsRegion> as <compliance>."

"For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=<awsRegion>#/timeline/<resourceType>/<resourceId>/configuration."

15.    Wählen Sie Bestätigen, Weiter, Weiter, Regel erstellen.

16.    Wenn ein Ereignistyp initiiert wird, erhalten Sie dann eine SNS-E-Mail-Benachrichtigung mit den in Schritt 14 eingegebenen benutzerdefinierten Feldern, die folgendermaßen aussieht:

"On ExampleTime AWS Config rule ExampleRuleName evaluated the ExampleResourceType with Id ExampleResource_ID in the account ExampleAccount_Id in Region ExampleRegion as ExamplecomplianceType. 

For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=ExampleRegion#/timeline/ExampleResourceType/ExampleResource_ID/configuration"

Erstellen einer AWS-Config-Regel

1.    Öffnen Sie die AWS-Config-Konsole, wählen Sie Regeln und dann Regel hinzufügen.

2.    Wählen Sie unter Regeltyp auswählen die Option Verwaltete AWS-Regel hinzufügen aus.

3.    Wählen Sie in AWS Managed Rules die Option acm-certificate-expiration-check und dann Weiter aus.

4.    Geben Sie im Feld Parameter für den Schlüssel DaysToExpiration im Feld Wert die Anzahl der Tage ein, die die Regel vor Ablauf auslösen soll.

5.    Wählen Sie Weiter und dann Regel hinzufügen aus.

Die AWS-Config-Regel acm-certificate-expiration-check ist für Zertifikate, die sich dem Ablaufdatum der in Schritt 4 eingegebenen Anzahl von Tagen nähern, als nicht konform markiert.