Comment être prévenu lorsque mes certificats importés ACM sont sur le point d'expirer ?

Lecture de 6 minute(s)

J'ai importé un certificat AWS Certificate Manager (ACM) et je souhaite recevoir un rappel pour réimporter le certificat avant son expiration.

Brève description

ACM ne fournit pas de renouvellement géré pour les certificats importés. Pour renouveler un certificat importé, demandez tout d'abord un nouveau certificat auprès de l'émetteur de votre certificat. Ensuite, réimportez manuellement le certificat dans ACM.

Pour recevoir une notification indiquant que votre certificat est sur le point d'expirer, utilisez l'une des méthodes suivantes :

Utilisez l'API ACM dans Amazon EventBridge pour configurer l'événement d'expiration prochaine du certificat ACM.
Créez une règle EventBridge personnalisée pour recevoir des notifications par e-mail lorsque la date d'expiration des certificats approche.
Utilisez AWS Conﬁg pour vérifier si des certificats sont sur le point d'expirer.

Si vous utilisez AWS Conﬁg pour cette résolution, tenez compte des points suivants :

Avant de configurer la règle AWS Conﬁg, créez la rubrique Amazon Simple Notiﬁcation Service (Amazon SNS) et la règle EventBridge. Cette action permet de garantir que tous les certificats non conformes appellent une notification avant la date d'expiration.
L'activation d'AWS Conﬁg entraîne un coût supplémentaire en fonction de l'utilisation. Pour plus d'informations, consultez la section Tarification d'AWS Conﬁg.

Solution

Configurer l'événement « Expiration prochaine du certificat ACM » dans EventBridge

ACM envoie des notifications pour les événements dont la date d'expiration approche par l'intermédiaire d'Amazon CloudWatch. Par défaut, l'événement d'expiration prochaine du certificat ACM envoie des notifications 45 jours avant l'expiration d'un événement. Pour configurer la date d'envoi de cette notification, ajoutez d'abord cet événement en tant que règle dans EventBridge :

1. Ouvrez la console Amazon EventBridge.

Dans le volet de navigation, sélectionnez Règles, puis Créer une règle.

3. Saisissez un nom pour votre règle dans le champ Name. Le champ Description est facultatif.

Remarque : donnez un nom unique aux règles qui se trouvent dans la même région AWS et sur le même bus d'événements.

4. Pour Event bus (Bus d'événements), sélectionnez le bus d'événements à associer à cette règle. Pour que cette règle corresponde aux événements provenant de votre compte, sélectionnez AWS default event bus (Bus d'événements par défaut d'AWS). Ainsi, lorsqu'un service AWS de votre compte émet un événement, il est toujours envoyé au bus d'événements par défaut de votre compte.

5. Pour Rule type (Type de règle), sélectionnez Rule with an event pattern (Règle avec un modèle d'événement), puis Next (Suivant).

6. Pour Event source (Source d'événement), sélectionnez AWS events or EventBridge partner events (Événements AWS ou événements partenaires EventBridge).

7. Pour Creation method (Méthode de création),sélectionnez Use pattern form option (Utiliser l'option de formulaire de modèle).

8. Dans la section Event pattern (Modèle d'événements), renseignez les champs suivants comme indiqué :

Pour Event source (Source d'événement), sélectionnez AWS services (Services AWS).

Pour AWS service (Service AWS), sélectionnez Certificate Manager.

Pour Event type (Type d'événement), sélectionnez ACM Certificate Approaching Expiration (Expiration prochaine du certificat ACM).

9. Sélectionnez Next (Suivant).

10. Pour Target types (Types de cible), sélectionnez AWS Service (Service AWS).

Pour Select a target (Sélectionner une cible), sélectionnez SNS topic (Rubrique SNS), puis sélectionnez la rubrique pour laquelle vous souhaitez configurer des notifications d'expiration.
Sélectionnez Next (Suivant).

(Facultatif) Ajoutez des identifications.

13. Choisissez Suivant.

Examinez les détails de la règle, puis sélectionnez Create rule (Créer une règle).

Après avoir créé cette règle, vous pouvez modifier la date d'envoi de la notification d'expiration. Entrez une valeur comprise entre 1 et 45 pour DaysBeforeExpiry dans l'action PutAccountConfiguration de l'API ACM. Reportez-vous à Événement d'expiration prochaine du certificat ACM pour en savoir plus.

Si vous souhaitez configurer des notifications qui seront envoyées plus de 45 jours avant l'expiration d'un événement, utilisez les autres méthodes ci-dessous.

Créer une règle EventBridge personnalisée

Utilisez un modèle d'événement personnalisé avec une règle EventBridge pour correspondre à la règle gérée par AWS Config acm-certificate-expiration-check. Dirigez ensuite la réponse vers une rubrique Amazon Simple Notification Service

1. Si vous n'avez pas déjà créé de rubrique Amazon SNS, suivez les instructions de mise en route d'Amazon SNS.

Remarque : la rubrique Amazon SNS doit se trouver dans la même région AWS que votre service AWS Config.

2. Ouvrez la console EventBridge, puis choisissez Rules (Règles).

3. Choisissez Créer une règle.

4. Pour Name (Nom), saisissez le nom de la règle.

5. Dans Rule type (Type de règle), sélectionnez Rule with an event pattern (Règle avec un modèle d'événement), puis Next (Suivant).

6. Dans Event source (Source d'événement), choisissez AWS events or EventBridge partner events (Événements AWS ou événements partenaires EventBridge).

7. Dans Event pattern (Modèle d'événement), choisissez Custom patterns (JSON editor) (Modèles personnalisés (éditeur JSON)).

8. Dans le volet d'aperçu Event pattern (Modèle d'événement), copiez et collez le modèle d'événement suivant :

{
  "source": [
    "aws.config"
  ],
  "detail-type": [
    "Config Rules Compliance Change"
  ],
  "detail": {
    "messageType": [
      "ComplianceChangeNotification"
    ],
    "configRuleName": [
      "acm-certificate-expiration-check"
    ],
    "resourceType": [
      "AWS::ACM::Certificate"
    ],
    "newEvaluationResult": {
      "complianceType": [
        "NON_COMPLIANT"
      ]
    }
  }
}

9. Sélectionnez Next (Suivant).

10. Pour Select a target (Sélectionner une cible), sélectionnez SNS topic (Rubrique SNS).

Pour Topic (Rubrique), choisissez votre rubrique SNS.

12. Dans la liste déroulante Configure target input (Configurer l'entrée cible), sélectionnez Input transformer (Convertisseur d'entrées).

13. Sélectionnez Configure input transformer (Configurer le transformateur d'entrée).

14. Dans la zone de texte Input path (Chemin d'entrée), copiez et collez le chemin suivant :

{
  "awsRegion": "$.detail.awsRegion",
  "resourceId": "$.detail.resourceId",
  "awsAccountId": "$.detail.awsAccountId",
  "compliance": "$.detail.newEvaluationResult.complianceType",
  "rule": "$.detail.configRuleName",
  "time": "$.detail.newEvaluationResult.resultRecordedTime",
  "resourceType": "$.detail.resourceType"
}

15. Copiez et collez le modèle suivant dans la zone de texte Input Template (Modèle d'entrée) :

"On <time> AWS Config rule <rule> evaluated the <resourceType> with Id <resourceId> in the account <awsAccountId> region <awsRegion> as <compliance>."

"For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=<awsRegion>#/timeline/<resourceType>/<resourceId>/configuration."

16. Sélectionnez Confirm (Confirmer), Next (Suivant), Next, Create rule (Créer une règle).

17. Si un type d'événement est lancé, vous recevez une notification par e-mail SNS avec les champs personnalisés renseignés de l'étape 14, comme suit :

"On ExampleTime AWS Config rule ExampleRuleName evaluated the ExampleResourceType with Id ExampleResource_ID in the account ExampleAccount_Id in Region ExampleRegion as ExamplecomplianceType. 

For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=ExampleRegion#/timeline/ExampleResourceType/ExampleResource_ID/configuration"

Créer une règle AWS Config

1. Ouvrez la console AWS Config, choisissez Rules (Règles), puis Add rule (Créer une règle).

2. Dans Select rule type (Sélectionner le type de règle), choisissez Add AWS managed rule (Ajouter une règle gérée par AWS).

3. Dans AWS Managed Rules (Règles gérées par AWS), choisissez acm-certificate-expiration-check, puis Next (Suivant).

4. Dans Parameters (Paramètres), pour la clé daysToExpiration, saisissez dans Value (Valeur) le nombre de jours pendant lesquels vous souhaitez que la règle soit déclenchée avant l'expiration.

Remarque : la règle AWS Config acm-certificate-expiration-check est marquée comme Noncompliant (Non conforme) pour les certificats dont la date d'expiration approche du nombre de jours que vous avez saisi.

5. Sélectionnez Next (Suivant), puis Add rule (Ajouter une règle).

Informations connexes

Émission et gestion des certificats

Comment puis-je recevoir une notification avec AWS Config lorsqu'une ressource AWS n'est pas conforme ?

Bonnes pratiques de sécurité pour AWS Config

Sujets

Sécurité, identité et conformité

Balises

AWS Certificate Manager

Langue

Français

AWS OFFICIELA mis à jour il y a un an

Aucun commentaire

Contenus pertinents

Mon loadbalancer ne marche pas comme il devrait
zerros
demandé il y a un an
Quels services AWS sont nécessaires pour remplacer une base de données MySQL classique ?
rePost-User-8854683
demandé il y a un an
Comment s'assurer que toutes les ressources sont désactivées ?
rePost-User-2282818
demandé il y a un an
Délai de validation du certificat ACM
Hubert MOKET
demandé il y a 2 mois
Je n'arrive pas à me Connecter sur AWS
Pierre Ndiaye
demandé il y a 10 mois
Pourquoi le renouvellement géré de mon certificat ACM de confiance publique a-t-il échoué ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment résoudre les erreurs CAA pour l'émission ou le renouvellement d'un certificat ACM ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment fonctionne le processus de renouvellement géré par ACM avec les certificats validés par e-mail ?
AWS OFFICIELA mis à jour il y a 2 ans
Pourquoi ne reçois-je pas d'e-mails de validation lorsque j'utilise ACM pour émettre ou renouveler un certificat ?
AWS OFFICIELA mis à jour il y a 2 ans