Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Certificate Manager Steuerungen
Diese Kontrollen beziehen sich auf ACM-Ressourcen.
Diese Steuerelemente sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.
[ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden
Verwandte Anforderungen: NIST.800-53.R5 SC-28 (3), NIST.800-53.R5 SC-7 (16)
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit
Schweregrad: Mittel
Art der Ressource: AWS::ACM::Certificate
AWS Config -Regel: acm-certificate-expiration-check
Art des Zeitplans: Ausgelöste und periodische Änderung
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Anzahl der Tage, innerhalb derer das ACM-Zertifikat erneuert werden muss |
Ganzzahl |
|
|
Diese Kontrolle prüft, ob ein AWS Certificate Manager (ACM-) Zertifikat innerhalb des angegebenen Zeitraums erneuert wird. Es überprüft sowohl importierte Zertifikate als auch von ACM bereitgestellte Zertifikate. Die Kontrolle schlägt fehl, wenn das Zertifikat nicht innerhalb des angegebenen Zeitraums erneuert wird. Sofern Sie keinen benutzerdefinierten Parameterwert für den Verlängerungszeitraum angeben, verwendet Security Hub einen Standardwert von 30 Tagen.
ACM kann Zertifikate, die DNS-Validierung verwenden, automatisch verlängern. Bei Zertifikaten, die E-Mail-Validierung verwenden, müssen Sie auf eine E-Mail zur Domainvalidierung antworten. ACM erneuert Zertifikate, die Sie importieren, nicht automatisch. Sie müssen importierte Zertifikate manuell erneuern.
Abhilfe
ACM bietet eine verwaltete Verlängerung für Ihre von Amazon ausgestellten SSL/TLS-Zertifikate. Das bedeutet, dass ACM Ihre Zertifikate entweder automatisch erneuert (wenn Sie die DNS-Validierung verwenden) oder Ihnen E-Mail-Benachrichtigungen sendet, wenn der Ablauf des Zertifikats näher rückt. Diese Dienste werden sowohl für öffentliche als auch für private ACM-Zertifikate bereitgestellt.
- Für Domains, die per E-Mail validiert wurden
-
Wenn ein Zertifikat 45 Tage vor Ablauf abläuft, sendet ACM für jeden Domainnamen eine E-Mail an den Domaininhaber. Um die Domains zu validieren und die Verlängerung abzuschließen, müssen Sie auf die E-Mail-Benachrichtigungen antworten.
Weitere Informationen finden Sie im AWS Certificate Manager Benutzerhandbuch unter Verlängerung für per E-Mail validierte Domains.
- Für Domains, die durch DNS validiert wurden
-
ACM erneuert automatisch Zertifikate, die DNS-Validierung verwenden. 60 Tage vor Ablauf überprüft ACM, ob das Zertifikat erneuert werden kann.
Wenn ein Domainname nicht validiert werden kann, sendet ACM eine Benachrichtigung, dass eine manuelle Validierung erforderlich ist. Diese Benachrichtigungen werden 45 Tage, 30 Tage, 7 Tage und 1 Tag vor Ablauf gesendet.
Weitere Informationen finden Sie im AWS Certificate Manager Benutzerhandbuch unter Verlängerung für durch DNS validierte Domains.
[ACM.2] Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden
Kategorie: Identifizieren > Inventar > Inventarservices
Schweregrad: Hoch
Art der Ressource: AWS::ACM::Certificate
AWS Config -Regel: acm-certificate-rsa-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob RSA-Zertifikate, die mit verwaltet werden, eine Schlüssellänge von mindestens 2.048 Bit AWS Certificate Manager verwenden. Die Steuerung schlägt fehl, wenn die Schlüssellänge kleiner als 2.048 Bit ist.
Die Stärke der Verschlüsselung korreliert direkt mit der Schlüsselgröße. Wir empfehlen Schlüssellängen von mindestens 2.048 Bit, um Ihre AWS Ressourcen zu schützen, da Rechenleistung immer günstiger wird und Server immer fortschrittlicher werden.
Abhilfe
Die Mindestschlüssellänge für von ACM ausgestellte RSA-Zertifikate beträgt bereits 2.048 Bit. Anweisungen zur Ausstellung neuer RSA-Zertifikate mit ACM finden Sie unter Ausstellen und Verwalten von Zertifikaten im Benutzerhandbuch.AWS Certificate Manager
Mit ACM können Sie zwar Zertifikate mit kürzeren Schlüssellängen importieren, Sie müssen jedoch Schlüssel mit mindestens 2.048 Bit verwenden, um diese Kontrolle zu bestehen. Sie können die Schlüssellänge nach dem Import eines Zertifikats nicht ändern. Stattdessen müssen Sie Zertifikate mit einer Schlüssellänge von weniger als 2.048 Bit löschen. Weitere Informationen zum Importieren von Zertifikaten in ACM finden Sie unter Voraussetzungen für den Import von Zertifikaten im AWS Certificate Manager Benutzerhandbuch.
[ACM.3] ACM-Zertifikate sollten mit einem Tag versehen werden
Kategorie: Identifizieren > Inventar > Kennzeichnung
Schweregrad: Niedrig
Art der Ressource: AWS::ACM::Certificate
AWS Config Regel: tagged-acm-certificate (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob ein AWS Certificate Manager (ACM-) Zertifikat Tags mit den spezifischen Schlüsseln enthält, die im Parameter requiredTagKeys definiert sind. Die Kontrolle schlägt fehl, wenn das Zertifikat keine Tagschlüssel hat oder wenn es nicht alle im Parameter requiredTagKeys angegebenen Schlüssel enthält. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn das Zertifikat mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem ACM-Zertifikat finden Sie unter Kennzeichnen von AWS Certificate Manager Zertifikaten im Benutzerhandbuch.AWS Certificate Manager
