ACM에서 가져온 인증서 만료가 가까워지면 어떻게 알림을 받을 수 있습니까?

간략한 설명

ACM은 가져온 인증서에 대해 관리형 갱신을 제공하지 않습니다. 가져온 인증서를 갱신하려면 우선 인증서 발급자에게 새 인증서를 요청하세요. 그런 다음 인증서를 수동으로 ACM으로 다시 가져옵니다.

인증서가 곧 만료된다는 알림을 받으려면 다음 방법 중 하나를 사용하세요.

• Amazon EventBridge의 ACM API를 사용하여 ACM 인증서 만료 임박 이벤트를 구성합니다.
• 사용자 정의 Amazon EventBridge를 생성하여 인증서 만료 날짜가 가까워질 때 이메일 알림을 받을 수 있습니다.
• AWS Config를 사용하여 만료 날짜가 가까워지는 인증서를 확인합니다.

이 해결 방법으로 AWS Config를 사용하는 경우 다음 사항에 유의하세요.

• AWS Config 규칙을 설정하기 전에 Amazon Simple Notification Service(Amazon SNS) 주제와 EventBridge 규칙을 생성합니다. 이렇게 하면 모든 비준수 인증서가 만료 날짜 전에 알림을 호출합니다.
• AWS Config를 활성화하면 사용량에 따라 추가 비용이 발생합니다. 자세한 내용은 AWS Config 요금을 참조하세요.

해결 방법

EventBridge에서 “ACM 인증서 만료 임박” 이벤트 구성

ACM은 만료 날짜가 임박한 이벤트에 대해 Amazon CloudWatch를 통해 알림을 보냅니다. 기본적으로 ACM 인증서 만료 임박 이벤트는 이벤트 만료 45일 전에 알림을 보냅니다. 이 알림의 타이밍을 구성하려면 먼저 이 이벤트를 EventBridge에 규칙으로 추가하세요.

1.    Amazon EventBridge 콘솔을 엽니다.

2.    탐색 창에서 [Rules]를 선택하고 [Create rule]을 선택합니다.

3.    규칙의 **이름(Name)**을 입력합니다. 설명(Description) 필드는 선택 사항입니다.

참고: 동일한 AWS 리전과 동일한 이벤트 버스에 있는 규칙에는 고유한 이름을 지정해야 합니다.

4.    **이벤트 버스(Event bus)**에서 이 규칙과 연결할 이벤트 버스를 선택합니다. 이 규칙을 계정에서 오는 이벤트와 일치시키려면 **AWS 기본 이벤트 버스(AWS default event bus)**를 선택합니다. 이 경우, 계정의 AWS 서비스에서 이벤트를 발생시키면 항상 계정의 기본 이벤트 버스로 이동합니다.

5.    **규칙 유형(Rule type)**에서 **이벤트 패턴이 있는 규칙(Rule with an event pattern)**을 선택한 후 **다음(Next)**을 선택합니다.

6.    이벤트 소스에서 AWS 이벤트 또는 EventBridge 파트너 이벤트를 선택합니다.

7.    **생성 방법(Creation method)**에서 **패턴 양식 사용 옵션(Use pattern form option)**을 선택합니다.

8.    이벤트 패턴(Event pattern) 섹션에서 다음과 같이 해당 필드를 작성합니다.

**이벤트 소스(Event source)**에서 **AWS 서비스(AWS Services)**를 선택합니다.

**AWS 서비스(AWS service)**에서 **인증서 관리자(Certificate Manager)**를 선택합니다.

**이벤트 유형(Event type)**에서 **만료가 임박한 ACM 인증서(ACM Certificate Approaching Expiration)**를 선택합니다.

9.    [Next]를 선택합니다.

10.    **대상 유형(Target types)**에서 **AWS 서비스(AWS Service)**를 선택합니다.

11.    **대상 선택(Select a target)**에서 **SNS 주제(SNS topic)**를 선택한 다음 만료 알림을 구성하려는 주제를 선택합니다.

12.    **다음(Next)**을 선택합니다.

(선택 사항) 태그(tags)를 추가합니다.

13.    [다음]을 선택합니다.

14.    규칙의 세부 정보를 검토하고 **규칙 생성(Create rule)**을 선택합니다.

이 규칙을 생성한 후 만료 알림 시간을 변경할 수 있습니다. ACM API의 PutAccountConfiguration 작업에 DaysBeforeExpiry 값을 1~45로 입력합니다. 자세한 내용은 ACM 인증서 만료 임박 이벤트를 참조하세요.

이벤트가 만료되기 45일 이상 전에 알림을 설정하려면 다음 대체 방법을 사용하세요.

사용자 지정 EventBridge 규칙 생성

EventBridge 규칙과 함께 사용자 지정 이벤트 패턴을 사용하여 AWS Config 관리형 규칙 acm-certificate-expiration-check와 일치시킵니다. 그런 다음 응답을 Amazon Simple Notification Service 주제로 라우팅합니다.

1.    Amazon SNS 주제를 아직 생성하지 않은 경우에는 Amazon SNS 시작하기의 지침을 따릅니다.

참고: Amazon SNS 주제는 AWS Config 서비스와 동일한 AWS 리전에 있어야 합니다.

2.    EventBridge 콘솔을 열고 **규칙(Rules)**을 선택합니다.

3.    **규칙 생성(Create rule)**을 선택합니다.

4.    **이름(Name)**에 규칙 이름을 입력합니다.

5.    **규칙 유형(Rule type)**에서 **이벤트 패턴이 있는 규칙(Rule with an event pattern)**을 선택한 후 **다음(Next)**을 선택합니다.

6.    **이벤트 소스(Event source)**에서 **AWS 이벤트 또는 EventBridge 파트너 이벤트(AWS events or EventBridge partner events)**를 선택합니다.

7.    **이벤트 패턴(Event pattern)**에서 **사용자 지정 패턴(JSON 편집기)**을 선택합니다.

8.    이벤트 패턴(Event pattern) 미리보기 창에서 다음 이벤트 패턴을 복사하여 붙여 넣습니다.

{
  "source": [
    "aws.config"
  ],
  "detail-type": [
    "Config Rules Compliance Change"
  ],
  "detail": {
    "messageType": [
      "ComplianceChangeNotification"
    ],
    "configRuleName": [
      "acm-certificate-expiration-check"
    ],
    "resourceType": [
      "AWS::ACM::Certificate"
    ],
    "newEvaluationResult": {
      "complianceType": [
        "NON_COMPLIANT"
      ]
    }
  }
}

9.    [Next]를 선택합니다.

10.    대상 선택에서 SNS 주제를 선택합니다.

11.    **주제(Topic)**에서 원하는 SNS 주제를 선택합니다.

12.    대상 입력 구성(Configure target input) 드롭다운 목록에서 **입력 변환기(Input transformer)**를 선택합니다.

13.    **Configure input transformer(입력 변환기 구성)**을 선택합니다.

14.    입력 경로(Input Path) 텍스트 상자에 다음을 복사하여 붙여 넣습니다.

{
  "awsRegion": "$.detail.awsRegion",
  "resourceId": "$.detail.resourceId",
  "awsAccountId": "$.detail.awsAccountId",
  "compliance": "$.detail.newEvaluationResult.complianceType",
  "rule": "$.detail.configRuleName",
  "time": "$.detail.newEvaluationResult.resultRecordedTime",
  "resourceType": "$.detail.resourceType"
}

15.    입력 템플릿(Input Template) 텍스트 상자에 다음 템플릿을 복사하여 붙여 넣습니다.

"On <time> AWS Config rule <rule> evaluated the <resourceType> with Id <resourceId> in the account <awsAccountId> region <awsRegion> as <compliance>."

"For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=<awsRegion>#/timeline/<resourceType>/<resourceId>/configuration."

16.    확인(Confirm), 다음(Next), 다음(Next), **규칙 만들기(Create rule)**를 선택합니다.

17.    이벤트 유형이 시작된 경우, 다음과 같이 14단계에서 입력한 사용자 지정 필드가 포함된 SNS 이메일 알림을 수신합니다.

"On ExampleTime AWS Config rule ExampleRuleName evaluated the ExampleResourceType with Id ExampleResource_ID in the account ExampleAccount_Id in Region ExampleRegion as ExamplecomplianceType. 

For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=ExampleRegion#/timeline/ExampleResourceType/ExampleResource_ID/configuration"

AWS Config 규칙 삭제

1.    AWS Config 콘솔을 열고 규칙(Rules) 을 선택한 다음 **규칙 추가(Add rule)**를 선택합니다.

2.    **규칙 유형 선택(Select rule type)**에서 **AWS 관리형 규칙 추가(Add AWS managed rule)**를 선택합니다.

3.    **AWS 관리형 규칙(AWS Managed Rules)**에서 acm-certificate-expiration-check 을 선택한 후 **다음(Next)**을 선택합니다.

4.    **파라미터(Parameters)**의 DaysToExpiration 키의 **값(Value)**에 규칙이 만료되기 전에 트리거할 일 수를 입력합니다.

참고: AWS Config 규칙 acm-certificate-expiration-check는 입력한 일 수에서 만료 날짜가 가까워지는 인증서에 대해 **규정 미준수(Noncompliant)**로 표시됩니다.

5.    **다음(Next)**을 선택한 후 **규칙 추가(Add rule)**을 선택합니다.

---

관련 정보

인증서 발급 및 관리

AWS Config를 사용하여 AWS 리소스가 미준수 상태일 때 알림을 받으려면 어떻게 해야 합니까?

AWS Config의 보안 모범 사례