¿Cómo puedo recibir una notificación cuando la fecha de vencimiento de mis certificados importados de ACM esté próxima?

7 minutos de lectura

He importado un certificado de AWS Certificate Manager (ACM) y quiero que se me recuerde volver a importar el certificado antes de que caduque.

Descripción breve

ACM no proporciona renovación administrada para los certificados importados. Para renovar un certificado importado, solicite primero un certificado nuevo al emisor del certificado. A continuación, vuelva a importar el certificado en ACM de forma manual.

Para recibir una notificación de que el certificado está a punto de vencer, utilice uno de los métodos siguientes:

Utilice la API de ACM de Amazon EventBridge para configurar el evento ACM Certificate Approaching Expiration (Certificado de ACM a punto de vencer).
Cree una regla personalizada de Amazon EventBridge para recibir notificaciones por correo electrónico cuando los certificados se acerquen a la fecha de vencimiento.
Use AWS Config para comprobar si hay certificados con una fecha de vencimiento cercana.

Si utiliza AWS Config para esta solución, tenga en cuenta lo siguiente:

Antes de configurar la regla de AWS Config, cree el tema de Amazon Simple Notification Service (Amazon SNS) y la regla de EventBridge. Con esto se asegura de que todos los certificados no conformes invoquen una notificación antes de la fecha de vencimiento.
La activación de AWS Config implica un costo adicional en función del uso. Para obtener más información, consulte los precios de AWS Config.

Resolución

Configuración del evento ACM Certificate Approaching Expiration en EventBridge.

ACM envía notificaciones relativas a eventos que están a punto de vencer a través de Amazon CloudWatch. De forma predeterminada, el evento ACM Certificate Approaching Expiration envía notificaciones 45 días antes del vencimiento del evento. Para configurar el tiempo de esta notificación, agregue primero este evento como regla en EventBridge:

1. Abra la consola de Amazon EventBridge.

En el panel de navegación, elija Rules (Reglas) y luego Create rule (Crear regla).

3. Ingrese un Name (Nombre) para su regla. El campo Description (Descripción) es opcional.

Nota: Debe asignar un nombre único a las reglas que estén en la misma región de AWS y en el mismo bus de eventos.

4. En el caso de Event bus (Bus de eventos), elija el bus de eventos que desee asociar a esta regla. Para que esta regla se corresponda con los eventos que provienen de su cuenta, seleccione AWS default event bus (Bus de eventos predeterminado de AWS). En este caso, cuando un servicio de AWS de su cuenta emite un evento, siempre va al bus de eventos predeterminado de su cuenta.

5. En Rule type (Tipo de regla), elija Rule with an event pattern (Regla con un patrón de eventos), y, a continuación, elija Next (Siguiente).

6. En Event source (Origen del evento), elija AWS events o EventBridge partner events (Eventos de AWS o Eventos de socio de EventBridge).

7. En Creation method (Método de creación),seleccione Use pattern form (Formulario del patrón de eventos).

8. En la sección Event pattern (Patrón de eventos), complete los siguientes campos como se indica:

En Event source (Origen del evento), elija AWS Services (Servicios de AWS).

En el caso de AWS service (Servicio de AWS), elija Certificate Manager.

En Event type (Tipo de evento), elija ACM Certificate Approaching Expiration.

9. Elija Next (Siguiente).

10. En el caso de Target types (Tipos de objetivo), elija AWS Service (Servicio de AWS).

En Select a target (Seleccionar un destino), seleccione SNS topic (Tema de SNS) y, a continuación, seleccione el tema para el que desea configurar las notificaciones de caducidad.
Seleccione Next (Siguiente).

(Opcional) Agregue etiquetas.

13. Seleccione Next (Siguiente).

Revise los detalles de la regla y, a continuación, elija Create rule (Crear regla).

Tras crear esta regla, puede cambiar la fecha de la notificación de caducidad. Ingrese un valor del 1 al 45 para DaysBeforeExpiry en la acción PutAccountConfiguration de la API de ACM. Para obtener más información, consulte ACM Certificate Approaching Expiration event (Evento Certificado de ACM a punto de vencer).

Si quiere configurar las notificaciones para que se envíen más de 45 días antes del vencimiento de un evento, use los siguientes métodos alternativos.

Creación de una regla de EventBridge personalizada

Utilice un patrón de eventos personalizado con una regla de EventBridge para que coincida con la regla administrada de AWS Config acm-certificate-expiration-check. A continuación, dirija la respuesta a un tema de Amazon Simple Notification Service.

1. Si no ha creado un tema de Amazon SNS, siga las instrucciones de Introducción a Amazon SNS.

Nota: El tema de Amazon SNS debe estar en la misma región de AWS que su servicio AWS Config.

2. Abra la consola de EventBridge y, a continuación, seleccione Rules (Reglas).

3. Elija Create rule (Crear regla).

4. En Name (Nombre), especifique un nombre para su regla.

5. En Rule type (Tipo de regla), elija Rule with an event pattern (Regla con un patrón de eventos) y, a continuación, elija Next (Siguiente).

6. En Event source (Origen del evento), elija AWS events or EventBridge partner events (Eventos de AWS o Eventos de socio de EventBridge).

7. En Event pattern (Patrón de evento), elija Custom patterns (JSON editor) (Patrones personalizados [editor JSON]).

8. En el panel de vista previa de Event pattern, copie y pegue el siguiente patrón de eventos:

{
  "source": [
    "aws.config"
  ],
  "detail-type": [
    "Config Rules Compliance Change"
  ],
  "detail": {
    "messageType": [
      "ComplianceChangeNotification"
    ],
    "configRuleName": [
      "acm-certificate-expiration-check"
    ],
    "resourceType": [
      "AWS::ACM::Certificate"
    ],
    "newEvaluationResult": {
      "complianceType": [
        "NON_COMPLIANT"
      ]
    }
  }
}

9. Elija Next (Siguiente).

10. En Select a target, elija SNS Topic.

En Topic (Tema), elija su tema de SNS.

12. En la lista desplegable Configure target input (Configurar la entrada de destino), seleccione Input transformer (Transformador de entrada).

13. Elija Configure input transformer (Configurar transformador de entrada).

14. En el cuadro de texto Input path (Ruta de entrada), copie y pegue la siguiente ruta:

{
  "awsRegion": "$.detail.awsRegion",
  "resourceId": "$.detail.resourceId",
  "awsAccountId": "$.detail.awsAccountId",
  "compliance": "$.detail.newEvaluationResult.complianceType",
  "rule": "$.detail.configRuleName",
  "time": "$.detail.newEvaluationResult.resultRecordedTime",
  "resourceType": "$.detail.resourceType"
}

15. En el cuadro de texto Input Template (Plantilla de entrada), copie y pegue la siguiente plantilla:

"On <time> AWS Config rule <rule> evaluated the <resourceType> with Id <resourceId> in the account <awsAccountId> region <awsRegion> as <compliance>."

"For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=<awsRegion>#/timeline/<resourceType>/<resourceId>/configuration."

16. Elija Confirm (Confirmar), Next (Siguiente), Next, Create rule (Crear regla).

17. Si se inicia un tipo de evento, recibirá una notificación por correo electrónico de SNS con los campos personalizados rellenados desde el paso 14 de manera similar a la siguiente:

"On ExampleTime AWS Config rule ExampleRuleName evaluated the ExampleResourceType with Id ExampleResource_ID in the account ExampleAccount_Id in Region ExampleRegion as ExamplecomplianceType. 

For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=ExampleRegion#/timeline/ExampleResourceType/ExampleResource_ID/configuration"

Crear una regla de AWS Config

1. Abra la consola de AWS Config, elija Rules (Reglas) y, a continuación, Add rule (Agregar regla).

2. En Select rule type (Seleccionar tipo de regla), elija Add AWS managed rule (Agregar regla administrada de AWS).

3. En AWS Managed Rules (Reglas administradas de AWS), elija acm-certificate-expiration-check y, a continuación, elija Next (Siguiente).

4. En Parameters (Parámetros), para la clave daysToExpiration, en Value (Valor), ingrese el número de días que desea que se active la regla antes del vencimiento.

Nota: En el caso de los certificados que se acerquen a la fecha de vencimiento a partir del número de días que ingrese, la regla acm-certificate-expiration-check de AWS Config se marca como Noncompliant (No conforme).

5. Seleccione Next y, a continuación, seleccione Add rule.

Información relacionada

Emisión y administración de certificados

¿Cómo puedo recibir notificaciones cuando un recurso de AWS no es compatible al usar AWS Config?

Temas

Seguridad, identidad y cumplimiento

Etiquetas

AWS Certificate Manager

Idioma

Español

OFICIAL DE AWSActualizada hace un año

Contenido relevante

¿Por qué sigue pendiente la renovación de mi certificado después de validar mis nombres de dominio mediante el proceso de renovación administrada de ACM?
OFICIAL DE AWSActualizada hace 2 años
¿Por qué no recibo correos electrónicos de validación cuando utilizo ACM para emitir o renovar un certificado?
OFICIAL DE AWSActualizada hace 2 años
¿Por qué ha fallado la renovación administrada de mi certificado ACM de responsabilidad pública?
OFICIAL DE AWSActualizada hace 2 años
¿Por qué mi certificado de ACM está marcado como no apto para la renovación?
OFICIAL DE AWSActualizada hace 9 meses