Wie werde ich benachrichtigt, wenn meine importierten ACM-Zertifikate bald ablaufen?

Kurzbeschreibung

Verwende eine der folgenden Methoden, um eine Benachrichtigung zu erhalten, dass dein Zertifikat bald abläuft:

• Konfiguriere das Ereignis „ACM Certificate Approaching Expiration“ (ACM-Zertifikat läuft bald ab).
• Erstelle eine benutzerdefinierte Amazon-EventBridge-Regel und eine AWS-Config-Regel.
• Erstelle einen Amazon-CloudWatch-Alarm.

Standardmäßig sendet das Ereignis ACM Certificate Approaching Expiration 45 Tage vor Ablauf eines Ereignisses Benachrichtigungen. Du kannst den Tag ändern, aber du kannst 45 Tage nicht überschreiten. Um Benachrichtigungen mehr als 45 Tage vor Ablauf eines Ereignisses einzurichten, verwende eine benutzerdefinierte EventBridge-Regel oder einen CloudWatch-Alarm.

Lösung

Konfiguriere das Ereignis „ACM Certificate Approaching Expiration“ in EventBridge

Voraussetzung: Wenn du kein Amazon Simple Notification Service (Amazon SNS)-Thema hast, erstelle ein Thema. 

Gehe wie folgt vor:

1. Öffne die EventBridge-Konsole.
2. Wähle im Navigationsbereich Regeln und dann Regel erstellen aus.
3. Gib einen Namen für die Regel ein.
   Anmerkung: Du musst Regeln, die sich in derselben AWS-Region und auf demselben Event Bus befinden, eindeutig benennen.
4. Wähle für Event Bus den Event Bus aus. Um die Regel mit Ereignissen aus dem AWS-Konto abzugleichen, wähle den AWS-Standard-Event Bus aus, sodass das Ereignis an den Standard-Event Bus deines Kontos weitergeleitet wird.
5. Wähle als Typ der Regel Regel mit einem Ereignismuster und dann Nächster Schritt aus.
6. Wähle als Ereignisquelle AWS-Veranstaltungen oder EventBridge-Partnerveranstaltungen aus.
7. Wähle für Methode der Erstellung die Option Musterformular verwenden.
8. Führe im Abschnitt Ereignismuster die folgenden Schritte aus:
   Wähle als Ereignisquelle die Option AWS-Services aus.
   Wähle für AWS-Service Certificate Manager aus.
   Wähle als Ereignistyp die Option ACM Certificate Approaching Expiration aus.
9. Wähle Weiter aus.
10. Wähle als Zieltypen AWS-Service aus.
11. Wähle für Ein Ziel auswählen die Option SNS-Thema und dann das Amazon-SNS-Thema aus.
12. Wähle Weiter aus.
13. (Optional) Füge Tags hinzu.
14. Wähle Weiter aus.
15. Überprüfe die Details der Regel und wähle dann Regel erstellen aus.

Nachdem du die Regel erstellt hast, kannst du das Datum ändern, an dem du die Benachrichtigung über den Ablauf erhältst. Gib in der ACM-API-Operation PutAccountConfiguration einen Wert zwischen 1 und 45 für DaysBeforeExpiry ein.

Eine benutzerdefinierte EventBridge-Regel und eine AWS-Config-Regel erstellen

Voraussetzung: Wenn du kein Amazon-SNS-Thema hast, erstelle ein Thema. 

Verwende ein benutzerdefiniertes Ereignismuster mit einer EventBridge-Regel, die der von AWS Config verwalteten Regel acm-certificate-expiration-check entspricht. Leite die Antwort dann an ein Amazon-SNS-Thema weiter. Das Amazon-SNS-Thema muss sich in derselben AWS-Region wie der AWS-Config-Service befinden.

Anmerkung: Wenn du AWS Config verwendest, fallen Gebühren an. Weitere Informationen findest du unter AWS-Config-Preisgestaltung. 

Die EventBridge-Regel erstellen

Gehe wie folgt vor:

1. Öffne die EventBridge-Konsole.

2. Wähle Regeln und dann Regel erstellen aus.

3. Gib unter Name einen Namen für die Regel ein.

4. Wähle als Typ der Regel Regel mit einem Ereignismuster und dann Nächster Schritt aus.

5. Wähle als Ereignisquelle AWS-Veranstaltungen oder EventBridge-Partnerveranstaltungen aus.

6. Wähle für Ereignismuster die Option Benutzerdefiniertes Muster (JSON-Editor) aus.

7. Gib im Vorschaufenster Ereignismuster das folgende Ereignismuster ein:

   {  "source": [    "aws.config"
     ],
     "detail-type": [
       "Config Rules Compliance Change"
     ],
     "detail": {
       "messageType": [
         "ComplianceChangeNotification"
       ],
       "configRuleName": [
         "acm-certificate-expiration-check"
       ],
       "resourceType": [
         "AWS::ACM::Certificate"
       ],
       "newEvaluationResult": {
         "complianceType": [
           "NON_COMPLIANT"
         ]
       }
     }
   }

8. Wähle Weiter aus.

9. Wähle unter Ein Ziel auswählen die Option SNS-Thema aus.

10. Wähle unter Thema dein SNS-Thema aus.

11. Wähle in der Dropdown-Liste Zieleingabe konfigurieren die Option Eingabe-Transformer aus.

12. Wähle Eingabe-Transformer konfigurieren aus.

13. Gib im Textfeld Eingabepfad den folgenden Pfad ein:

{  "awsRegion": "$.detail.awsRegion",  "resourceId": "$.detail.resourceId",
  "awsAccountId": "$.detail.awsAccountId",
  "compliance": "$.detail.newEvaluationResult.complianceType",
  "rule": "$.detail.configRuleName",
  "time": "$.detail.newEvaluationResult.resultRecordedTime",
  "resourceType": "$.detail.resourceType"
}

14. Gib in das Textfeld Vorlage die folgende Vorlage ein:

"On example_time AWS Config rule example_rule evaluated the example_resourceType with Id example_resourceId in the account example_awsAccountId region example_awsRegion as example_compliancetype.""For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=awsRegion#/timeline/resourceType/resourceId/configuration."

Anmerkung: Ersetze die Beispielwerte durch deine Werte. Wähle Bestätigen und dann Nächster Schritt aus. Wähle erneut Nächster Schritt und dann Regel erstellen aus.

Wenn ACM einen Ereignistyp aktiviert, erhältst du eine SNS-E-Mail-Benachrichtigung.

Die AWS-Config-Regel erstellen

Gehe wie folgt vor, um die AWS-Config-Regel zu erstellen:

1. Öffne die AWS-Config-Konsole.
2. Wähle im Navigationsbereich Regeln und dann Regel hinzufügen aus.
3. Wähle unter Regeltyp auswählen die Option Von AWS verwaltete Regel hinzufügen aus.
4. Wähle für AWS-verwaltete Regeln die Option acm-certificate-expiration-check und dann Weiter aus.
5. Gib auf der Seite Parameter für Wert im Schlüssel daysToExpiration die Anzahl der Tage ein, an denen die Regel aufgerufen werden soll.
   Anmerkung: Wenn Zertifikate aufgrund der von dir eingegebenen Anzahl von Tagen fast das Ablaufdatum erreicht haben, identifiziert die Regel acm-certificate-expiration-check die Regel als NON_COMPLIANT.
6. Wähle Weiter und dann Regel hinzufügen.

Einen CloudWatch-Alarm auf der Grundlage eines statischen Schwellenwerts erstellen

Gehe wie folgt vor:

1. Öffne die CloudWatch-Konsole.
2. Wähle im Navigationsbereich Alarme und dann Alle Alarme aus.
3. Wähle Alarm erstellen und dann Metrik auswählen aus.
4. Wähle Certificate Manager und dann Zertifikatsmetriken aus.
5. Wähle auf der Seite Metriken die Metrik aus und klicke dann auf Metrik auswählen.
6. Wähle auf der Seite Metrik und Bedingungen angeben für Statistik die Option Minimum aus.
7. Wähle für Zeitraum die Option 1 day (1 Tag) aus.
8. Wähle für Whenever DaysToExpiry is... (wann immer DaysToExpiry ... ist) Kleiner/Gleich und lege dann than... (als ,,,) auf die Anzahl der Tage fest, an denen der Alarm vor Ablauf ausgelöst werden soll.
9. Wähle Weiter aus.
10. Wähle unter Benachrichtigung die Option Im Alarm aus.
11. Wähle unter Send a notification to the following SNS topic (Eine Benachrichtigung an das folgende SNS-Thema senden) die Option Ein vorhandenes SNS-Thema wählen oder Neues Thema erstellen und dann Weiter aus.
12. Gib einen Alarmnamen ein und wähle Weiter.
13. Wähle Alarm erstellen aus.

Weitere Informationen findest du unter Einen CloudWatch-Alarm auf der Grundlage eines statischen Schwellenwerts erstellen.

Ähnliche Informationen

Zertifikat erneut importieren

Erste Schritte mit Zertifikaten von AWS Certificate Manager

Wie kann ich AWS Config verwenden, um benachrichtigt zu werden, wenn eine AWS-Ressource nicht konform ist?

Bewährte Sicherheitsmethoden für AWS Config