Como posso ser notificado quando meus certificados importados do ACM estiverem prestes a expirar?

6 minuto de leitura

Importei um certificado do AWS Certificate Manager (ACM) e quero um lembrete para reimportar o certificado antes que ele expire.

Breve descrição

Para receber uma notificação de que seu certificado está prestes a expirar, use um dos seguintes métodos:

Configure o Evento de expiração do certificado ACM se aproximando.
Crie uma regra personalizada do Amazon EventBridge e uma regra do AWS Config.
Crie um alarme do Amazon CloudWatch.

Por padrão, o evento Expiração do certificado ACM se aproximando envia notificações 45 dias antes da expiração de um evento. É possível alterar o dia, mas não pode exceder 45 dias. Para configurar notificações para mais de 45 dias antes da expiração de um evento, use uma regra personalizada do EventBridge ou um alarme do CloudWatch.

Resolução

Configurar o evento Certificado do ACM prestes a expirar no EventBridge

Pré-requisito: se você não tiver um tópico do Amazon Simple Notification Service (Amazon SNS), crie um tópico.

Conclua as etapas a seguir:

Abra o console do EventBridge.
No painel de navegação, selecione Regras e, em seguida, clique em Criar regra.
Insira um Nome para sua regra.
Observação: você deve nomear de forma exclusiva as regras que estão na mesma região da AWS e no mesmo barramento de eventos.
Em Barramento de eventos, selecione o barramento de eventos. Para combinar a regra com os eventos da sua conta da AWS, selecione barramento de eventos padrão da AWS para que o evento vá para o barramento de eventos padrão da sua conta.
Em Tipo de regra, selecione Regra com um padrão de evento e, em seguida, clique em Próximo.
Em Origem do evento, selecione eventos da AWS ou eventos de parceiros do EventBridge.
Em Método de criação, selecione a opção Usar formulário de padrão.
Na seção Padrão de evento, conclua as seguintes etapas:
Em Origem do evento, selecione Serviços AWS.
Em Serviço AWS, clique em Certificate Manager.
Em Tipo de evento, selecione Expiração do certificado ACM se aproximando.
Clique em Próximo.
Em Tipos de destino, selecione Serviço da AWS.
Em Selecionar um destino, clique em tópico do SNS e, em seguida, selecione o tópico do Amazon SNS.
Clique em Próximo.
(Opcional) Adicione etiquetas.
Clique em Próximo.
Revise os detalhes da regra e clique em Criar regra.

Depois de criar a regra, é possível alterar a data de recebimento da notificação de expiração. Na operação PutAccountConfiguration da API do ACM, insira um valor entre 1–45 em DaysBeforeExpiry.

Crie uma regra personalizada do EventBridge e uma regra do AWS Config

Pré-requisito: se você não tiver um tópico do Amazon SNS, crie um tópico.

Use um padrão de evento personalizado com uma regra do EventBridge para corresponder à Regra gerenciada acm-certificate-expiration-check do AWS Config. Em seguida, encaminhe a resposta para um tópico do Amazon SNS. O tópico do Amazon SNS deve estar na mesma região da AWS que seu serviço do AWS Config.

Observação: ao usar o AWS Config, você acumula cobranças. Para obter mais informações, consulte Preços do AWS Config.

Crie a regra do EventBridge

Conclua as etapas a seguir:

Abra o console do EventBridge.
Selecione Regras e depois Criar regra.
Em Nome, insira um nome para sua regra.
Em Tipo de regra, clique em Regra com padrão de evento e depois em Próximo.
Em Origem do evento, selecione eventos da AWS ou eventos de parceiros do EventBridge.
Em Padrão de evento, clique em Padrões personalizados (editor JSON).

No painel de visualização Padrão de evento, insira o seguinte padrão de evento:

{  "source": [    "aws.config"
  ],
  "detail-type": [
    "Config Rules Compliance Change"
  ],
  "detail": {
    "messageType": [
      "ComplianceChangeNotification"
    ],
    "configRuleName": [
      "acm-certificate-expiration-check"
    ],
    "resourceType": [
      "AWS::ACM::Certificate"
    ],
    "newEvaluationResult": {
      "complianceType": [
        "NON_COMPLIANT"
      ]
    }
  }
}

Clique em Próximo.
Em Selecionar um destino, clique em Tópico do SNS.
Em Tópico, selecione seu tópico do SNS.
Na lista suspensa Configurar entrada de destino, selecione Transformador de entrada.
Clique em Configurar transformador de entrada.
Na caixa de texto Caminho de entrada, insira o seguinte caminho:

{  "awsRegion": "$.detail.awsRegion",  "resourceId": "$.detail.resourceId",
  "awsAccountId": "$.detail.awsAccountId",
  "compliance": "$.detail.newEvaluationResult.complianceType",
  "rule": "$.detail.configRuleName",
  "time": "$.detail.newEvaluationResult.resultRecordedTime",
  "resourceType": "$.detail.resourceType"
}

Na caixa de texto Modelo, insira o seguinte modelo:

"On example_time AWS Config rule example_rule evaluated the example_resourceType with Id example_resourceId in the account example_awsAccountId region example_awsRegion as example_compliancetype.""For more details open the AWS Config console at https://console.aws.amazon.com/config/home?region=awsRegion#/timeline/resourceType/resourceId/configuration."

Observação: substitua os valores de exemplo pelos seus valores. Clique em Confirmar e, em seguida, Próximo. Selecione Próximo novamente e depois clique em Criar regra.

Se o ACM ativar um tipo de evento, você receberá uma notificação por e-mail do SNS.

Crie a regra do AWS Config

Para criar a regra do AWS Config, conclua as seguintes etapas:

Abra o console do AWS Config.
No painel de navegação, clique em Regras e, em seguida, Adicionar regra.
Em Selecionar o tipo de regra, selecione Adicionar regra gerenciada pela AWS.
Em Regras gerenciadas da AWS, selecione acm-certificate-expiration-check e depois clique em Próximo.
Na página Parâmetros, em Valor, insira o número de dias que você deseja que a regra invoque na chave daysToExpiration.
Observação: se os certificados estiverem próximos da data de expiração do número de dias que você inserir, a regra acm-certificate-expiration-check identifica a regra como NON_COMPLIANT.
Clique em Próximo e depois em Adicionar regra.

Crie um alarme do CloudWatch com base em um limite estático

Conclua as etapas a seguir:

Abra o console do CloudWatch.
No painel de navegação, selecione Alarmes e depois Todos os alarmes.
Clique em Criar alarme e, depois, em Selecionar métrica.
Selecione Certificate Manager e, em seguida, Métricas do certificado.
Na página Métricas, selecione a métrica e clique em Selecionar métrica.
Na página Especificar métricas e condições, em Estatística, selecione Mínimo.
Em Período, clique em 1 dia.
Em Sempre que DaysToExpiry for..., selecione Menor/Igual a e depois defina que... como o número de dias em que você deseja que o alarme seja executado antes da expiração.
Clique em Próximo.
Em Notificação, selecione Em alarme.
Em Enviar uma notificação ao seguinte tópico do SNS, clique em Selecionar um tópico existente do SNS ou Criar novo tópico e clique em Próximo.
Insira um nome de alarme e clique em Próximo.
Selecione Criar alarme.

Para obter mais informações, consulte Criar um alarme do CloudWatch com base em um limite estático.

Informações relacionadas

Reimportar um certificado

Getting started with AWS Certificate Manager certificates (Introdução aos certificados do AWS Certificate Manager)

Como uso o AWS Config para ser notificado quando um recurso da AWS não estiver em conformidade?

Melhores práticas de segurança para AWS Config

Tópicos: Security, Identity, & Compliance
Tags: AWS Certificate Manager
Idioma: Português

AWS OFICIALAtualizada há 5 meses

Sem comentários

Conteúdo relevante

Erro ao configurar o route53 com Cloudfront
Leandro Garcia
feita há um ano
Como recuperar conta de certificação AWS com e-mail antigo deletado?
Abdala
feita há 7 meses
A AWS emite algum documento comprovando para fins legais que a gente tá usando a infraestrutura e serviços da AWS?
Resposta aceita
Marcos Abreu
feita há um ano
Minha certificação sumiu do portal.
User-9729023
feita há um ano
LoadBalancer para certificação SSL
Caio
feita há um ano
Como posso resolver erros de certificado expirado ou de “certificado inválido” ao invocar uma API da API Gateway usando um nome de domínio personalizado?
AWS OFICIALAtualizada há um ano
Por que não consigo importar um certificado SSL/TLS público de terceiros para o ACM?
AWS OFICIALAtualizada há 2 anos
Por que meu certificado ACM de confiança pública falhou na renovação gerenciada?
AWS OFICIALAtualizada há 4 anos
Por que o CloudFront está mostrando meu antigo certificado SSL emitido pela Amazon, mesmo depois de eu renovar ou reimportar o certificado?
AWS OFICIALAtualizada há 5 meses
Usando o CloudWatch e o AWS Shield para Monitoramento Eficaz de DDoS: Um Guia Técnico
ESPECIALISTA
Mateus Prado
publicada há 9 meses