本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Certificate Manager 控件
这些控件与 ACM 资源相关。
这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 按地区划分的控件可用性。
[ACM.1] 导入的证书和 ACM 颁发的证书应在指定的时间段后续订
相关要求:NIST.800-53.r5 SC-28(3), NIST.800-53.r5 SC-7(16)
类别:保护 > 数据保护 > 加密 data-in-transit
严重性:中
资源类型:AWS::ACM::Certificate
AWS Config 规则:acm-certificate-expiration-check
计划类型:已触发变更和定期更改
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
|
|
必须续订 ACM 证书的天数 |
整数 |
|
|
此控件检查 AWS Certificate Manager (ACM) 证书是否在指定的时间段内续订。它会检查导入的证书和 ACM 提供的证书。如果证书未在指定的时间段内续订,则控制失败。除非您为续订期提供自定义参数值,否则 Security Hub 将使用默认值即 30 天。
ACM 可以自动续订使用 DNS 验证的证书。对于使用电子邮件验证的证书,您必须回复域验证电子邮件。ACM 不会自动续订您导入的证书。您必须手动续订导入的证书。
修复
ACM 为 Amazon 颁发的 SSL/TLS 证书提供托管续订。这意味着 ACM 要么自动续订您的证书(如果您使用 DNS 验证),要么在证书即将到期时向您发送电子邮件通知。对于公有和私有 ACM 证书,都提供这些服务。
- 对于通过电子邮件验证的域
-
当证书到期 45 天后,ACM 会向域所有者发送一封针对每个域名的电子邮件。要验证域名并完成续订,您必须回复电子邮件通知。
有关更多信息,请参阅 AWS Certificate Manager 用户指南中的续订通过电子邮件验证的域。
- 对于通过 DNS 验证的域
-
ACM 自动续订使用 DNS 验证的证书。 到期前 60 天,ACM 验证证书是否可以续订。
如果无法验证域名,ACM 会发送需要手动验证的通知。它会在到期前 45 天、30 天、7 天和 1 天发送这些通知。
有关详细信息,请参阅 AWS Certificate Manager 用户指南中的通过 DNS 验证的域的续订。
[ACM.2] 由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度
类别:识别 > 库存 > 库存服务
严重性:高
资源类型:AWS::ACM::Certificate
AWS Config 规则:acm-certificate-rsa-check
计划类型:已触发变更
参数:无
此控件检查管理的 RSA 证书是否 AWS Certificate Manager 使用至少 2,048 位的密钥长度。如果密钥长度小于 2,048 位,则控制失败。
加密的强度与密钥大小直接相关。我们建议密钥长度至少为 2,048 位,以保护您的 AWS 资源,因为计算能力变得越来越便宜,服务器也变得更加先进。
修复
ACM 颁发的 RSA 证书的最小密钥长度已经是 2,048 位。有关使用 ACM 颁发新 RSA 证书的说明,请参阅 AWS Certificate Manager 用户指南中的颁发和管理证书。
虽然 ACM 允许您导入密钥长度较短的证书,但您必须使用至少 2,048 位的密钥才能通过此控制。导入证书后,您无法变更密钥长度。相反,您必须删除密钥长度小于 2,048 位的证书。有关将证书导入到 ACM 的更多信息,请参阅 AWS Certificate Manager 用户指南中的导入证书的先决条件。
[ACM.3] 应标记 ACM 证书
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::ACM::Certificate
AWS Config 规则:tagged-acm-certificate(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
评估的资源必须包含的非系统标签密钥列表。标签键区分大小写。 | StringList | 符合AWS 要求的标签列表 | 无默认值 |
此控件检查 AWS Certificate Manager (ACM) 证书是否具有参数requiredTagKeys中定义的特定密钥的标签。如果证书没有任何标签密钥或者没有参数中指定的所有密钥,则控件将失败requiredTagKeys。如果requiredTagKeys未提供该参数,则该控件仅检查标签密钥是否存在,如果证书未使用任何密钥进行标记,则该控件将失败。系统标签会自动应用并以其开头aws:,但会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可以帮助您识别、组织、搜索和筛选资源。标记还可以帮助您跟踪负责任的资源所有者的操作和通知。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,该策略根据标签定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为您的 IAM 委托人创建单个 ABAC 策略或一组单独的策略。您可以将这些 ABAC 策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 AWS? 在 IAM 用户指南中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向 ACM 证书添加标签,请参阅AWS Certificate Manager 用户指南中的标记 AWS Certificate Manager 证书。
