AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post

ACM にインポートした証明書の有効期限が近づいたときに通知を受けるにはどうすればよいですか?

所要時間3分
1

AWS Certificate Manager (ACM) 証明書をインポートしましたが、有効期限が切れる前に証明書を再インポートするリマインダーを受け取りたいと考えています。

簡単な説明

ACM は、インポートされた証明書のマネージド更新を提供しません。インポートされた証明書を更新するには、まず、証明書発行者に新しい証明書をリクエストします。次に、証明書を ACM に手動で再インポートします

証明書の有効期限が近づいているという通知を受け取るには、次のいずれかの方法を使用します。

  • Amazon EventBridge の ACM API を使用して、ACM 証明書の有効期限が近づいているイベントを設定します。
  • EventBridge のカスタムルールを作成して、証明書の有効期限が近づいたときにメール通知を受信します。
  • AWS Config を使用して、有効期限が近い証明書を確認します。
  • 証明書の有効期限が近づいたら、静的しきい値に基づいて Amazon CloudWatch アラームを作成します。

解決策

イベントブリッジで「ACM 証明書の有効期限が近づいている」イベントを設定する

ACM は、有効期限が近づいているイベントの通知を CloudWatch を通じて送信します。デフォルトでは、ACM 証明書の有効期限が近づいているイベントは、イベントの有効期限の 45 日前に通知を送信します。この通知のタイミングを設定するには、まずこのイベントをルールとして EventBridge に追加します。

次の手順を実行します。

  1. EventBridge コンソールを開きます。
  2. ナビゲーションペインで、ルールルールを作成の順に選択します。
  3. ルールの 名前 を入力します。説明フィールドはオプションです。
    **注:**同じ AWS リージョンおよび同じイベントバスにあるルールには、一意の名前を付ける必要があります。
  4. イベントバスで、イベントバスを選択します。このルールを AWS アカウントからのイベントと一致させるには、AWS デフォルトイベントバスを選択して、イベントがアカウントのデフォルトイベントバスに送信されるようにします。
  5. ルールタイプで、イベントパターンを含むルールを選択し、次へを選択します。
  6. イベントソースで、AWS イベントまたは EventBridge パートナーイベントを選択します。
  7. 作成方法で、パターンフォームを使用するオプションを選択します。
  8. イベントパターンセクションで、次の手順を実行します。
    イベントソースで、AWS のサービスを選択します。
    AWS サービスでは、証明書マネージャーを選択します。
    イベントタイプ で、ACM 証明書の有効期限が近づいているを選択します。
  9. 次へを選択します。
  10. ターゲットタイプ には、AWS サービス を選択します。
  11. ターゲットの選択SNS トピックを選択し、次に Amazon Simple Notification Service (Amazon SNS) を選択します。
  12. 次へを選択します。
  13. (オプション) タグを追加します。
  14. 次へを選択します。
  15. ルールの詳細を確認して、ルールを作成を選択します。

このルールを作成したら、有効期限通知のタイミングを変更できます。ACM API の PutAccount Configuration アクションで、DaysBeforeExpiry に 1~45 の値を入力します。

**注:**イベントの有効期限が切れる 45 日以上前に通知を設定する場合は、次の代替方法を使用してください。

カスタムのイベントブリッジルールを作成する

EventBridge ルールのカスタムイベントパターンを使用して、AWS Config マネージドルール acm-certificate-expiration-checkに一致させます。次に、レスポンスを Amazon SNS トピックにルーティングします。

次の手順を実行します。

  1. Amazon SNS トピックを作成していない場合は、作成してください
    **注:**Amazon SNS トピックは、AWS Config サービスと同じ AWS リージョンにある必要があります。

  2. EventBridge コンソールを開きます。

  3. ルールをクリックし、ルールの作成を選択します。

  4. 名前 に、ルール名を入力します。

  5. ルールタイプで、イベントパターンを含むルールを選択し、次へを選択します。

  6. イベントソースで、AWS イベントまたは EventBridge パートナーイベントを選択します。

  7. イベントパターンカスタムパターン (JSON エディター)] を選択します

  8. イベントパターンのプレビューペインで、次のイベントパターンを入力します。

    {  "source": [
    "aws.config"
  ],
  "detail-type": [
    "Config Rules Compliance Change"
  ],
  "detail": {
    "messageType": [
      "ComplianceChangeNotification"
    ],
    "configRuleName": [
      "acm-certificate-expiration-check"
    ],
    "resourceType": [
      "AWS::ACM::Certificate"
    ],
    "newEvaluationResult": {
      "complianceType": [
        "NON_COMPLIANT"
      ]
    }
  }
}

  9. 次へを選択します。

  10. ターゲットを選択で、SNS トピックを選択します。

  11. トピックで、SNS トピックを選択します。

  12. ターゲットの入力の設定ドロップダウンリストで、入力トランスフォーマーを選択します。

  13. 入力トランスフォーマーを設定を選択します。

  14. 入力パス テキストボックスに、次のパスを入力します。

{  "awsRegion": "$.detail.awsRegion",
  "resourceId": "$.detail.resourceId",
  "awsAccountId": "$.detail.awsAccountId",
  "compliance": "$.detail.newEvaluationResult.complianceType",
  "rule": "$.detail.configRuleName",
  "time": "$.detail.newEvaluationResult.resultRecordedTime",
  "resourceType": "$.detail.resourceType"
}
  1. 入力テンプレート テキストボックスに、次のテンプレートを入力します。
"On <time> AWS Config rule <rule> evaluated the <resourceType> with Id <resourceId> in the account <awsAccountId> region <awsRegion> as <compliance>."
"For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=<awsRegion>#/timeline/<resourceType>/<resourceId>/configuration."
  1. 確認次への順に選択します。
  2. もう一度、次へを選択してから、ルールの作成を選択します。

イベントタイプが開始すると、ステップ 14 で入力したカスタムフィールドをが記載された SNS メール通知を受け取ります。

メール通知の例:

"On ExampleTime AWS Config rule ExampleRuleName evaluated the ExampleResourceType with Id ExampleResource_ID in the account ExampleAccount_Id in Region ExampleRegion as ExamplecomplianceType.
詳細については、https://console.aws.amazon.com/config/home?region=ExampleRegion#/timeline/ExampleResourceType/ExampleResource_ID/configuration にある AWS Config コンソールを開いてください。

AWS Config ルールを作成する

まず、Amazon SNS トピックEventBridge ルールを作成して、準拠していない証明書が有効期限前に通知を呼び出せるようにします。

**注:**AWS Config を使用すると、料金が発生します。詳細については、「AWS Config 料金表」を参照してください。

AWS Config ルールを作成するには、以下の手順を実行します。

  1. AWS Config コンソールを開きます。
  2. ルールを選択し、ルールを追加を選択します。
  3. ルールタイプの選択で、AWS マネージドルールの追加を選択します。
  4. AWS マネージドルールで、acm-certificate-expiration-check を選択し、次へを選択します。
  5. パラメータページので、daysToExpiration キーにルールを起動する日数を入力します。
    注:入力した日数の有効期限が近づいている証明書の場合、acm-certificate-expiration-check AWS Config ルールは非準拠としてマークされます。
  6. 次へを選択し、完了 を選択します。

静的しきい値に基づいて CloudWatch アラームを作成する

次の手順を実行します。

  1. CloudWatch コンソールを開きます。
  2. ナビゲーションペインでアラームを選択し、次にすべてのアラームを選択します。
  3. アラームの作成 を選択し、メトリクスの選択 を選択します。
  4. 証明書マネージャーを選択し、使用法を選択します。
  5. メトリクス ページでメトリクスを選択してから、メトリクスの選択を選択します。
  6. メトリクスと条件の指定ページの統計で、最小を選択します。
  7. 期間には 1 日を選択します。
  8. Whenever AllCount is... では、Lower/Equal を選択し、than... に、有効期限が切れる前にアラームを実行させたい日数を設定します。
  9. 次へを選択します。
  10. 通知アラーム中を選択します。
  11. 次の SNS トピックに通知を送信するで、既存の SNS トピックを選択する、または新しいトピックを作成するを選択し、次へを選択します。
  12. アラーム名を入力し、次へを選択します。
  13. アラームを作成を選択します。

詳細については、「静的しきい値に基づいて CloudWatch アラームを作成する」を参照してください。

関連情報

証明書を発行して管理する

AWS リソースが準拠していない場合に AWS Config を使用して通知を受けるにはどうすればよいですか?

AWS Config のセキュリティのベストプラクティス

トピック
セキュリティ、アイデンティティ、コンプライアンス
タグ
AWS Certificate Manager
言語
日本語
AWS公式
AWS公式更新しました 1年前
コメントはありません

関連するコンテンツ