Como posso receber uma notificação quando meus certificados importados do ACM estiverem prestes a expirar?

7 minuto de leitura

Importei um certificado do AWS Certificate Manager (ACM) e quero um lembrete para reimportá-lo certificado antes que ele expire.

Breve descrição

O ACM não oferece renovação gerenciada para certificados importados. Para renovar um certificado importado, primeiro solicite um novo certificado ao emissor. Em seguida, reimporte manualmente o certificado para o ACM.

Para receber uma notificação de que seu certificado está prestes a expirar, use um dos seguintes métodos:

Use a API do ACM no Amazon EventBridge para configurar o evento ACM Certificate Approaching Expiration (Certificado do ACM se aproximando da expiração).
Crie uma regra personalizada do EventBridge para receber notificações por e-mail quando os certificados estiverem próximos da data de validade.
Use o AWS Config para verificar se há certificados que estão se aproximando da data de validade.

Se você usar o AWS Config para essa resolução, esteja ciente do seguinte:

Antes de configurar a regra do AWS Config, crie o tópico do Amazon Simple Notification Service (Amazon SNS) e a regra do EventBridge. Com isso, todos os certificados fora de conformidade chamarão uma notificação antes da data de validade.
A ativação do AWS Config gera um custo adicional com base no uso. Para obter mais informações, consulte Preço do AWS Config.

Resolução

Configure o evento “ACM Certificate Approaching Expiration” (Certificado ACM se aproximando da expiração) no EventBridge

O ACM envia notificações para eventos que estão próximos da data de expiração por meio do Amazon CloudWatch. Por padrão, o evento ACM Certificate Approaching Expiration (Certificado do ACM se aproximando da expiração) envia notificações 45 dias antes da expiração do evento. Para configurar o tempo dessa notificação, primeiro adicione esse evento como uma regra no EventBridge:

1. Abra o console do Amazon EventBridge.

No painel de navegação, escolha Rules (Regras) e, em seguida, Create rule (Criar regra).

3. Insira um nome para sua regra em Name. O campo Description (Descrição) é opcional.

Observação: você deve dar nomes exclusivos para as regras que estão na mesma região da AWS e no mesmo barramento de eventos.

4. Em Event Bus (Barramento de eventos), escolha o barramento de eventos a ser associado a essa regra. Para combinar essa regra com eventos provenientes da sua conta, selecione AWS default event bus (Barramento de eventos padrão da AWS). Nesse caso, quando um serviço da AWS na sua conta emite um evento, ele sempre vai para o barramento de eventos padrão da sua conta.

5. Em Rule type (Tipo de regra), escolha Rule with an event pattern, (Regra com um padrão de eventos) e depois escolha Next (Avançar).

6. Em Origem do evento, escolha Eventos da AWS ou Eventos de parceiros do EventBridge.

7. Em Creation method (Método de criação),selecione a opção Use pattern form (Usar formulário padrão).

8. Na seção Event pattern (Padrão de eventos), preencha os seguintes campos conforme indicado:

Em Event source (Origem do evento), escolha AWS services (Serviços da AWS).

Para AWS service (Serviço da AWS), escolha Certificate Manager.

Em Event type (Tipo de evento), escolha ACM Certificate Approaching Expiration (Certificado do ACM se aproximando da expiração).

9. Escolha Next (Avançar).

10. Em Target types (Tipos de destino), escolha AWS Service (Serviço da AWS).

Em Select a target (Selecionar um destino), selecione SNS topic (Tópico do SNS) e, em seguida, selecione o tópico para o qual você deseja configurar as notificações de expiração.
Escolha Next (Próximo).

(Opcional) Adicione etiquetas.

13. Escolha Next (Próximo).

Revise os detalhes da regra e escolha Create rule (Criar regra).

Depois de criar essa regra, você poderá alterar o tempo da notificação de expiração. Insira um valor de 1 a 45 para DaysBeforeExpiry na ação PutAccountConfiguration da API ACM. Para obter mais informações, consulte Evento ACM Certificate Approaching Expiration (Certificado do ACM se aproximando da expiração).

Se quiser configurar notificações por mais de 45 dias antes da expiração de um evento, use os métodos alternativos a seguir.

Crie uma regra personalizada do EventBridge

Use um padrão de eventos personalizado com uma regra do EventBridge para corresponder à regra gerenciada do AWS Config acm-certificate-expiration-check. Em seguida, encaminhe a resposta para um tópico do Amazon Simple Notification Service.

1. Se você não criou um tópico do Amazon SNS, siga as instruções em Conceitos básicos do Amazon SNS.

Observação: o tópico do Amazon SNS deve estar na mesma região da AWS que o serviço AWS Config.

2. Abra o console do EventBridge e escolha Rules (Regras).

3. Selecione Create rule (Criar regra).

4. Em Name (Nome), insira um nome para a regra.

5. Em Rule type (Tipo de regra), escolha Rule with an event pattern (Regra com um padrão de eventos) e, em seguida, escolha Next (Próximo).

6. Em Event source (Origem do evento), escolha AWS events or EventBridge partner events (Eventos da AWS ou de parceiros do EventBridge).

7. Em Event pattern (Padrão de eventos), escolha Custom patterns (JSON editor) (Padrões personalizados [editor JSON]).

8. No painel de visualização Event pattern (Padrão de eventos), copie e cole o seguinte padrão:

{
  "source": [
    "aws.config"
  ],
  "detail-type": [
    "Config Rules Compliance Change"
  ],
  "detail": {
    "messageType": [
      "ComplianceChangeNotification"
    ],
    "configRuleName": [
      "acm-certificate-expiration-check"
    ],
    "resourceType": [
      "AWS::ACM::Certificate"
    ],
    "newEvaluationResult": {
      "complianceType": [
        "NON_COMPLIANT"
      ]
    }
  }
}

9. Escolha Next (Avançar).

10. Em Select a target (Selecionar destino), escolha SNS topic (Tópico do SNS).

Em Topic (Tópico), escolha seu tópico do SNS.

12. Na lista suspensa Configure target input (Configurar entrada de destino), escolha Input transformer (Transformador de entrada).

13. Escolha Configure input transformer (Configurar transformador de entrada).

14. Na caixa de texto Input path (Caminho de entrada), copie e cole o seguinte caminho:

{
  "awsRegion": "$.detail.awsRegion",
  "resourceId": "$.detail.resourceId",
  "awsAccountId": "$.detail.awsAccountId",
  "compliance": "$.detail.newEvaluationResult.complianceType",
  "rule": "$.detail.configRuleName",
  "time": "$.detail.newEvaluationResult.resultRecordedTime",
  "resourceType": "$.detail.resourceType"
}

15. Na caixa de texto Input Template (Modelo de entrada), copie e cole o seguinte modelo:

"On <time> AWS Config rule <rule> evaluated the <resourceType> with Id <resourceId> in the account <awsAccountId> region <awsRegion> as <compliance>."

"For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=<awsRegion>#/timeline/<resourceType>/<resourceId>/configuration."

16. Escolha Confirm (Confirmar), Next (Próximo), Next (Próximo) e Create rule (Criar regra).

17. Se um tipo de evento for iniciado, você receberá uma notificação por e-mail do SNS com os campos personalizados preenchidos da etapa 14, semelhante ao seguinte:

"On ExampleTime AWS Config rule ExampleRuleName evaluated the ExampleResourceType with Id ExampleResource_ID in the account ExampleAccount_Id in Region ExampleRegion as ExamplecomplianceType. 

For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=ExampleRegion#/timeline/ExampleResourceType/ExampleResource_ID/configuration"

Criar uma regra do AWS Config

1. Abra o console do AWS Config, escolha Rules (Regras) e, em seguida, escolha Add rule (Adicionar regra).

2. Em Select rule type (Selecionar tipo de regra), escolha Add AWS managed rule (Adicionar regra gerenciada da AWS).

3. Em AWS Managed Rules (Regras gerenciadas pela AWS), escolha acm-certificate-expiration-check e, em seguida, escolha Next (Próximo).

4. Em Parameters (Parâmetros), localize a chave daysToExpiration e, em Value (Valor), insira o número de dias antes da data de validade em que a regra deve ser acionada.

Observação: para certificados que se aproximam da data de expiração do número de dias inseridos, a regra do AWS Config acm-certificate-expiration-check é marcada como Noncompliant (Não compatível).

5. Escolha Next (Próximo) e Add rule (Adicionar regra).

Informações relacionadas

Emissão e gerenciamento de certificados

Como posso receber uma notificação quando um recurso da AWS estiver fora de conformidade usando o AWS Config?

Tópicos

Segurança, identidade e conformidade

Conteúdo relevante

Como o processo de renovação gerenciado pelo ACM funciona com certificados validados por e-mail?
AWS OFICIALAtualizada há 2 anos
Por que meu certificado do ACM está marcado como inelegível para renovação?
AWS OFICIALAtualizada há 9 meses
Por que a renovação do meu certificado ainda está pendente depois que eu validei meus nomes de domínio usando o processo de renovação gerenciado pelo ACM?
AWS OFICIALAtualizada há 2 anos
Por que meu certificado ACM de confiança pública falhou na renovação gerenciada?
AWS OFICIALAtualizada há 2 anos