AWS Certificate Manager commandes - AWS Security Hub
[ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits[ACM.3] Les certificats ACM doivent être balisés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Certificate Manager commandes

Ces contrôles sont liés aux ressources ACM.

Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour plus d’informations, consultez Disponibilité des contrôles par région.

[ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée

Exigences connexes : NIST.800-53.R5 SC-28 (3), NIST.800-53.R5 SC-7 (16)

Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit

Gravité : Moyenne

Type de ressource : AWS::ACM::Certificate

Règle AWS Config  : acm-certificate-expiration-check

Type de calendrier : changement déclenché et périodique

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub

daysToExpiration

Nombre de jours pendant lesquels le certificat ACM doit être renouvelé

Entier

14 sur 365

30

Ce contrôle vérifie si un certificat AWS Certificate Manager (ACM) est renouvelé dans le délai spécifié. Il vérifie à la fois les certificats importés et les certificats fournis par ACM. Le contrôle échoue si le certificat n'est pas renouvelé dans le délai spécifié. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de renouvellement, Security Hub utilise une valeur par défaut de 30 jours.

ACM peut renouveler automatiquement les certificats qui utilisent la validation DNS. Pour les certificats qui utilisent la validation par e-mail, vous devez répondre à un e-mail de validation de domaine. ACM ne renouvelle pas automatiquement les certificats que vous importez. Vous devez renouveler manuellement les certificats importés.

Correction

ACM assure le renouvellement géré de vos certificats SSL/TLS émis par Amazon. Cela signifie qu'ACM renouvelle automatiquement vos certificats (si vous utilisez la validation DNS) ou qu'elle vous envoie des notifications par e-mail lorsque l'expiration des certificats approche. Ces services s'appliquent aux certificats ACM publics et privés.

Pour les domaines validés par e-mail

Lorsqu'un certificat arrive à expiration dans un délai de 45 jours, ACM envoie au propriétaire du domaine un e-mail pour chaque nom de domaine. Pour valider les domaines et terminer le renouvellement, vous devez répondre aux notifications par e-mail.

Pour plus d'informations, consultez la section Renouvellement pour les domaines validés par e-mail dans le guide de AWS Certificate Manager l'utilisateur.

Pour les domaines validés par DNS

ACM renouvelle automatiquement les certificats qui utilisent la validation DNS. 60 jours avant l'expiration, ACM vérifie que le certificat peut être renouvelé.

S'il ne parvient pas à valider un nom de domaine, ACM envoie une notification indiquant qu'une validation manuelle est requise. Il envoie ces notifications 45 jours, 30 jours, 7 jours et 1 jour avant l'expiration.

Pour plus d'informations, consultez la section Renouvellement pour les domaines validés par DNS dans le Guide de AWS Certificate Manager l'utilisateur.

[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits

Catégorie : Identifier > Inventaire > Services d'inventaire

Gravité : Élevée

Type de ressource : AWS::ACM::Certificate

Règle AWS Config  : acm-certificate-rsa-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si les certificats RSA gérés par AWS Certificate Manager utilisent une longueur de clé d'au moins 2 048 bits. Le contrôle échoue si la longueur de la clé est inférieure à 2 048 bits.

La puissance du chiffrement est directement liée à la taille de la clé. Nous recommandons des longueurs de clé d'au moins 2 048 bits pour protéger vos AWS ressources à mesure que la puissance de calcul diminue et que les serveurs deviennent plus avancés.

Correction

La longueur de clé minimale pour les certificats RSA émis par ACM est déjà de 2 048 bits. Pour obtenir des instructions sur l'émission de nouveaux certificats RSA avec ACM, consultez la section Émission et gestion des certificats dans le guide de l'AWS Certificate Manager utilisateur.

ACM vous permet d'importer des certificats dont la longueur de clé est plus courte, mais vous devez utiliser des clés d'au moins 2 048 bits pour passer ce contrôle. Vous ne pouvez pas modifier la longueur de la clé après avoir importé un certificat. Vous devez plutôt supprimer les certificats dont la longueur de clé est inférieure à 2 048 bits. Pour plus d'informations sur l'importation de certificats dans ACM, consultez la section Conditions préalables à l'importation de certificats dans le Guide de l'AWS Certificate Manager utilisateur.

[ACM.3] Les certificats ACM doivent être balisés

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::ACM::Certificate

AWS Config règle : tagged-acm-certificate (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub
requiredTagKeys Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. StringList Liste des tags répondant aux AWS exigences Aucune valeur par défaut

Ce contrôle vérifie si un certificat AWS Certificate Manager (ACM) possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le certificat ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le certificat n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.

Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.

Note

N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS

Correction

Pour ajouter des balises à un certificat ACM, consultez la section Marquage des AWS Certificate Manager certificats dans le guide de l'AWS Certificate Manager utilisateur.