Come posso ricevere una notifica quando i miei certificati importati da ACM sono prossimi alla scadenza?

Breve descrizione

ACM non fornisce il rinnovo gestito per i certificati importati. Se desideri rinnovare un certificato importato, innanzitutto richiedine uno nuovo all'autorità di certificazione. Quindi, importa di nuovo manualmente il certificato in ACM.

Per ricevere una notifica che il certificato sta per scadere, utilizza uno dei seguenti metodi:

• Utilizza l'API ACM in Amazon EventBridge per configurare l'evento Certificato ACM prossimo alla scadenza.
• Puoi anche utilizzare Amazon EventBridge per ricevere notifiche e-mail quando i certificati si avvicinano alla scadenza.
• Puoi utilizzare AWS Config per verificare la presenza di certificati vicini alla scadenza.

Se utilizzi AWS Config per questa risoluzione, tieni presente quanto segue:

• Prima di configurare la regola AWS Config, crea l'argomento Servizio di notifica semplice Amazon (Amazon SNS) e la regola EventBridge. In questo modo tutti i certificati non conformi richiamano una notifica prima della data di scadenza.
• L'attivazione di AWS Config comporta un costo aggiuntivo in base all'utilizzo. Per ulteriori informazioni, consulta la pagina Prezzi di AWS Config.

Risoluzione

Configura l'evento “Certificato ACM prossimo alla scadenza” in EventBridge

ACM invia notifiche per eventi prossimi alla data di scadenza tramite Amazon CloudWatch. Per impostazione predefinita, l'evento Certificato ACM prossimo alla scadenza invia notifiche 45 giorni prima della scadenza di un evento. Per configurare la tempistica di questa notifica, aggiungi prima questo evento come regola in EventBridge:

1.    Apri la console di Amazon EventBridge.

2.    Nel riquadro di navigazione, scegli Ruoli e quindi Crea ruolo.

3.    Inserisci un Nome per la tua regola. Il campo Descrizione è facoltativo.

Nota: devi assegnare un nome univoco alle regole che si trovano nella stessa regione AWS e sullo stesso router di eventi.

4.    Come Router di eventi, scegli il router di eventi da associare a questa regola. Per far corrispondere questa regola agli eventi che provengono dal tuo account, seleziona il router di eventi predefinito di AWS. In questo caso, quando un servizio AWS all’interno del tuo account genera un evento, passa sempre al router di eventi predefinito del tuo account.

5.    In Tipo di regola seleziona Regola con uno schema di eventi, quindi scegli Avanti.

6.    In Event source (Origine evento), seleziona AWS events or EventBridge partner events (Eventi AWS o eventi dei partner EventBridge).

7.    Per Metodo di creazione,seleziona l'opzione Usa modello.

8.    Nella sezione Schema di eventi, completa i seguenti campi come indicato:

Per Origine evento, scegli Servizi AWS.

Per servizio AWS, scegli Gestione certificati.

Per Tipo di evento, scegli il Certificato ACM prossimo alla scadenza.

9.    Scegliere Next (Avanti).

10.    In Tipi di destinazione, seleziona Servizio AWS.

11.    In Seleziona una destinazione, seleziona l'argomento SNS, quindi seleziona l'argomento per cui desideri configurare le notifiche di scadenza.

12.    Scegli Avanti.

(Facoltativo) Aggiungi tag.

13.    Scegli Avanti.

14.    Esamina i dettagli della regola, quindi scegli Crea regola.

Dopo aver creato questa regola, puoi modificare la tempistica della notifica di scadenza. Inserisci un valore compreso tra 1 e 45 per DaysBeforeExpiry nell'azione PutAccountConfiguration dell'API ACM. Per ulteriori informazioni, consulta Evento di certificato ACM prossimo alla scadenza.

Se desideri impostare le notifiche per più di 45 giorni prima della scadenza di un evento, utilizza i seguenti metodi alternativi.

Crea una regola EventBridge personalizzata

Utilizza un modello di eventi personalizzato con una regola EventBridge in modo che corrisponda a quella gestita di AWS Config acm-certificate-expiration-check. Quindi, instrada la risposta a un argomento Amazon SNS.

1.    Se non hai creato un argomento Amazon SNS, segui le istruzioni per le Iniziare con Amazon SNS.

Nota: l'argomento Amazon SNS deve trovarsi nella stessa Regione AWS del servizio AWS Config.

2.    Apri la console EventBridge, quindi seleziona Rules (Regole).

3.    Scegli Create rule (Crea regola).

4.    Per Name (Nome), inserisci un nome per la regola.

5.    In Rule type (Tipo di regola), seleziona Rule with an event pattern (Regola con modello di eventi), quindi seleziona Next (Avanti).

6.    In Event source (Origine evento), seleziona AWS events or EventBridge partner events (Eventi AWS o eventi dei partner EventBridge).

7.    In Event pattern (Modello di eventi), seleziona Custom patterns (JSON editor) (Modelli personalizzati (editor JSON)).

8.    Nel riquadro di anteprima Event pattern (Modello di eventi), copia e incolla il seguente modello di eventi:

{
  "source": [
    "aws.config"
  ],
  "detail-type": [
    "Config Rules Compliance Change"
  ],
  "detail": {
    "messageType": [
      "ComplianceChangeNotification"
    ],
    "configRuleName": [
      "acm-certificate-expiration-check"
    ],
    "resourceType": [
      "AWS::ACM::Certificate"
    ],
    "newEvaluationResult": {
      "complianceType": [
        "NON_COMPLIANT"
      ]
    }
  }
}

9.    Scegliere Next (Avanti).

10.    In Seleziona una destinazione, scegli un Argomento SNS.

11.    Alla voce Argomento, seleziona il tuo argomento SNS.

12.    Nell'elenco a discesa Configura input di destinazione, seleziona Trasformatore di input.

13.    Seleziona Configura trasformatore di input.

14.    Nella casella di testo Percorso di input, copia e incolla il seguente percorso:

{
  "awsRegion": "$.detail.awsRegion",
  "resourceId": "$.detail.resourceId",
  "awsAccountId": "$.detail.awsAccountId",
  "compliance": "$.detail.newEvaluationResult.complianceType",
  "rule": "$.detail.configRuleName",
  "time": "$.detail.newEvaluationResult.resultRecordedTime",
  "resourceType": "$.detail.resourceType"
}

15.    Nella casella di testo Modello di input, copia e incolla il seguente modello:

"On <time> AWS Config rule <rule> evaluated the <resourceType> with Id <resourceId> in the account <awsAccountId> region <awsRegion> as <compliance>."

"For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=<awsRegion>#/timeline/<resourceType>/<resourceId>/configuration."

16.    Seleziona Conferma, Avanti, Conferma, Crea regola.

17.    Se viene attivato un tipo di evento, ricevi una notifica SNS via e-mail con i campi personalizzati compilati nel passaggio 14 in modo simile al seguente:

"On ExampleTime AWS Config rule ExampleRuleName evaluated the ExampleResourceType with Id ExampleResource_ID in the account ExampleAccount_Id in Region ExampleRegion as ExamplecomplianceType. 

For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=ExampleRegion#/timeline/ExampleResourceType/ExampleResource_ID/configuration"

Creazione di una regola AWS Config

1.    Apri la console di AWS Config, seleziona Rules (Regole), quindi Add rule (Aggiungi regola).

2.    In Select rule type (Seleziona tipo di regola), scegli Add AWS managed rule (Aggiungi regola gestita da AWS).

3.    In AWS Managed Rules (Regole gestite da AWS), scegli acm-certificate-expiration-check, quindi seleziona Next (Avanti).

4.    In Parametri, per la chiave daysToExpiration, in Valore, inserisci il numero di giorni antecedenti alla scadenza in cui desideri che la regola venga attivata.

La regola AWS Config acm-certificate-expiration-check è contrassegnata come Non conforme per i certificati in scadenza dal numero di giorni inserito nel passaggio 4.

5.    Seleziona Avanti, quindi Aggiungi regola.

---

Informazioni correlate

Rilascio e gestione dei certificati

How can I be notified when an AWS resource is non-compliant using AWS Config? (Come posso ricevere una notifica quando una risorsa AWS è non conforme utilizzando AWS Config?)

Security best practices for AWS Config (Best practice sulla sicurezza per AWS Config)