AWS Certificate Manager コントロール - AWS Security Hub
[ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります[ACM.2] ACM によって管理される RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Certificate Manager コントロール

これらのコントロールは ACM リソースに関連しています。

これらのコントロールは、 AWS リージョン一部では使用できない場合があります。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります

関連する要件: NIST.800-53.r5 SC-28(3)、NIST.800-53.r5 SC-7(16)

カテゴリ: 保護 > データ保護 > 転送中のデータの暗号化

重要度:

リソースタイプ: AWS::ACM::Certificate

AWS Config ルール : acm-certificate-expiration-check

スケジュールの種類:変更トリガー型と定期型

パラメータ:

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値

daysToExpiration

ACM 証明書を更新する必要がある日数

整数

14365

30

このコントロールは、 AWS Certificate Manager (ACM) 証明書が指定された期間内に更新されるかどうかを確認します。インポートした証明書と ACM によって提供された証明書の両方をチェックします。指定された期間内に証明書が更新されない場合、コントロールは失敗します。更新期間に対してカスタムパラメータ値を指定しない限り、Security Hub はデフォルト値の 30 日を使用します。

ACM は DNS 検証を使用する証明書を自動的に更新できます。E メール検証を使用する証明書の場合、ドメイン検証 E メールに応答する必要があります。ACM は、ユーザーがインポートした証明書を自動的に更新しません。インポートした証明書を手動で更新する必要があります。

修正

ACM は、Amazon 発行の SSL/TLS 証明書のマネージド更新が可能です。つまり、ACM は証明書を自動的に更新するか (DNS 検証を使用している場合)、有効期限が近づくと E メール通知を送信します。これらのサービスは、パブリック ACM 証明書とプライベート ACM 証明書の両方に対して提供されます。

E メールで検証されたドメイン

証明書の有効期限まで 45 日間の時点で、ACM はドメイン所有者にドメイン名ごとに E メールを送信します。ドメインを検証して更新を完了するには、E メール通知に応答する必要があります。

詳細については、「AWS Certificate Manager ユーザーガイド」の「E メールで検証されたドメインの更新」を参照してください。

DNS によって検証されたドメイン

ACM は DNS 検証を使用する証明書を自動的に更新します。有効期限の 60 日前に、ACM は証明書が更新できることを確認します。

ドメイン名を検証できない場合、ACM は手動検証が必要である旨の通知を送信します。これらの通知は、有効期限の 45 日、30 日、7 日、1 日前に送信されます。

詳細については、「AWS Certificate Manager ユーザーガイド」の「DNS によって検証されたドメインの更新」を参照してください。

[ACM.2] ACM によって管理される RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります

カテゴリ: 識別 > インベントリ > インベントリサービス

重要度:

リソースタイプ: AWS::ACM::Certificate

AWS Config ルール : acm-certificate-rsa-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、が管理する RSA 証明書が 2,048 AWS Certificate Manager ビット以上のキー長を使用しているかどうかをチェックします。キーの長さが 2,048 ビットより小さい場合、コントロールは失敗します。

暗号化の強度はキーサイズと直接相関します。計算能力が低くなり、サーバーがより高度になるにつれて、 AWS リソースを保護するために、キーの長さは少なくとも 2,048 ビットにすることをお勧めします。

修正

ACM が発行する RSA 証明書における最小のキーの長さは、既に 2,048 ビットです。ACM で新しい RSA 証明書を発行する手順については、「AWS Certificate Manager  ユーザーガイド」の「証明書の発行と管理」を参照してください。

ACM では短いキーの長さで証明書をインポートできますが、この制御を行うには少なくとも 2,048 ビットのキーを使用する必要があります。証明書をインポートした後で、キーの長さを変更することはできません。代わりに、キーの長さが 2,048 ビット未満の証明書を削除する必要があります。ACM への証明書のインポートに関する詳細については、「AWS Certificate Manager ユーザーガイド」の「証明書をインポートするための前提条件」を参照してください。