¿Cómo puedo recibir una notificación cuando la fecha de vencimiento de mis certificados importados de ACM esté próxima?

Última actualización: 19-07-2022

He importado un certificado de AWS Certificate Manager (ACM). Quiero volver a importar el certificado antes de que venza. ¿Cómo puedo recibir una notificación antes de la fecha de vencimiento de mi certificado importado?

Descripción corta

ACM no proporciona renovación administrada para los certificados importados. Para renovar un certificado importado, solicite primero un certificado nuevo al emisor del certificado. A continuación, vuelva a importar el certificado en ACM de forma manual.

Resolución

Puede usar AWS Config para comprobar si hay certificados con una fecha de vencimiento cercana. También puede usar Amazon EventBridge para recibir notificaciones por correo electrónico cuando los certificados se acerquen a la fecha de vencimiento.

Nota:

  • La activación de AWS Config implica un coste adicional en función del uso. Para obtener más información, consulte los precios de AWS Config.
  • Asegúrese de que el tema de Amazon Simple Notification Service (Amazon SNS) y la regla de Amazon EventBridge se creen antes de configurar la regla de AWS Config. Al hacerlo, se asegura de que todos los certificados no conformes activan una notificación antes de la fecha de vencimiento.

Crear una regla de EventBridge

Utilice un patrón de eventos personalizado con una regla de EventBridge para que coincida con la regla administrada de AWS Config acm-certificate-expiration-check. A continuación, dirija la respuesta a un tema de Amazon Simple Notification Service.

1.    Si aún no ha creado un tema de Amazon SNS, siga las instrucciones de Introducción a Amazon SNS.

Nota: El tema de Amazon SNS debe estar en la misma región que su servicio AWS Config.

2.    Abra la consola de EventBridge y, a continuación, seleccione Rules (Reglas).

3.    Elija Create rule (Crear regla).

4.    En Name (Nombre), especifique un nombre para su regla.

5.    En Rule type (Tipo de regla), elija Rule with an event pattern (Regla con un patrón de eventos) y, a continuación, elija Next (Siguiente).

6.    En Event source (Origen del evento), elija AWS events or EventBridge partner events (Eventos de AWS o Eventos de socio de EventBridge).

7.    En Event pattern (Patrón de evento), elija Custom patterns (JSON editor) (Patrones personalizados [editor JSON]).

8.    En el panel de vista previa de Event pattern (Patrón de eventos), copie y pegue el siguiente patrón de eventos:

{
  "source": [
    "aws.config"
  ],
  "detail-type": [
    "Config Rules Compliance Change"
  ],
  "detail": {
    "messageType": [
      "ComplianceChangeNotification"
    ],
    "configRuleName": [
      "acm-certificate-expiration-check"
    ],
    "resourceType": [
      "AWS::ACM::Certificate"
    ],
    "newEvaluationResult": {
      "complianceType": [
        "NON_COMPLIANT"
      ]
    }
  }
}

8.    Elija Next (Siguiente).

9.    En Select a target (Seleccionar un destino), elija SNS Topic (Tema de SNS).

10.    En Topic (Tema), elija su tema de SNS.

11.    En la lista desplegable Configure target input (Configurar entrada de destino), seleccione Input transformer (Transformador de entrada).

12.    Elija Configure input transformer (Configurar transformador de entrada).

13.    En el cuadro de texto Input path (Ruta de entrada), copie y pegue la siguiente ruta:

{
  "awsRegion": "$.detail.awsRegion",
  "resourceId": "$.detail.resourceId",
  "awsAccountId": "$.detail.awsAccountId",
  "compliance": "$.detail.newEvaluationResult.complianceType",
  "rule": "$.detail.configRuleName",
  "time": "$.detail.newEvaluationResult.resultRecordedTime",
  "resourceType": "$.detail.resourceType"
}

14.    En el cuadro de texto Input Template (Plantilla de entrada), copie y pegue la siguiente plantilla:

"On <time> AWS Config rule <rule> evaluated the <resourceType> with Id <resourceId> in the account <awsAccountId> region <awsRegion> as <compliance>."

"For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=<awsRegion>#/timeline/<resourceType>/<resourceId>/configuration."

15.    Elija Confirm (Confirmar), Next (Siguiente), Next (Siguiente), Create rule (Crear regla).

16.    Si se inicia un tipo de evento, recibirá una notificación por correo electrónico de SNS con los campos personalizados rellenados desde el paso 14 de manera similar a la siguiente:

"On ExampleTime AWS Config rule ExampleRuleName evaluated the ExampleResourceType with Id ExampleResource_ID in the account ExampleAccount_Id in Region ExampleRegion as ExamplecomplianceType. 

For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=ExampleRegion#/timeline/ExampleResourceType/ExampleResource_ID/configuration"

Crear una regla de AWS Config

1.    Abra la consola de AWS Config, elija Rules (Reglas) y, a continuación, Add rule (Agregar regla).

2.    En Select rule type (Seleccionar tipo de regla), elija Add AWS managed rule (Agregar regla administrada de AWS).

3.    En AWS Managed Rules (Reglas administradas de AWS), elija acm-certificate-expiration-check y, a continuación, elija Next (Siguiente).

4.    En Parameters (Parámetros), para la clave daysToExpiration, en Value (Valor), ingrese el número de días que desea que se active la regla antes del vencimiento.

5.    Seleccione Next (Siguiente) y, a continuación, seleccione Add rule (Agregar regla).

La regla de AWS Config acm-certificate-expiration-check se marca como Noncompliant (No conforme) para los certificados que se acercan a la fecha de vencimiento a partir del número de días ingresado en el paso 4.