亚马逊 EventBridge 支持 ACM - Amazon 证书 Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

亚马逊 EventBridge 支持 ACM

本主题列出并描述了 Amazon 支持的ACM相关事件 EventBridge。

ACM证书即将到期事件

ACM从到期前 45 天开始发送所有有效证书(公共、私有和导入)的每日到期事件。可以使用的PutAccountConfiguration操作来更改此时间ACMAPI。

ACM自动启动其颁发的符合条件的证书的续订,但是导入的证书需要在到期之前重新签发并重新导入,以避免中断。有关更多信息,请参阅重新导入证书。您可以使用到期事件来设置自动化,以便将ACM证书重新导入。有关使用自动化的示例 Amazon Lambda,请参阅 EventBridge 在 Amazon 中触发操作 ACM

ACM证书即将到期的事件具有以下结构。

{ "version": "0", "id": "id", "detail-type": "ACM Certificate Approaching Expiration", "source": "aws.acm", "account": "account", "time": "2020-09-30T06:51:08Z", "region": "region", "resources": [ "arn:aws:acm:region:account:certificate/certificate_ID" ], "detail": { "DaysToExpiry": 31, "CommonName": "example.com" } }

ACM证书过期事件

客户可以监听此事件,以便在其账户中ACM已颁发的公共或私有证书到期时提醒他们。证书过期事件不适用于导入的证书不符合续订条件的托管证书。

ACM证书过期事件具有以下结构。

{ "version": "0", "id": "id", "detail-type": "ACM Certificate Expired", "source": "aws.acm", "account": "account", "time": "2019-12-22T18:43:48Z", "region": "region", "resources": [ "arn:aws:acm:region:account:certificate/certificate_ID" ], "detail": { "CertificateType" : "AMAZON_ISSUED" | "PRIVATE", "CommonName": "example.com", "DomainValidationMethod" : "EMAIL" | "DNS", "CertificateCreatedDate" : "2018-12-22T18:43:48Z", "CertificateExpirationDate" : "2019-12-22T18:43:48Z", "InUse" : TRUE | FALSE, "Exported" : TRUE | FALSE } }

ACM证书可用事件

客户可以侦听此事件,以便在托管的公有或私有证书准备就绪时收到通知。该事件将在颁发、续订和导入时发布。对于私有证书,一旦它可用,仍然需要客户操作才能将其部署到主机。

ACM证书可用事件具有以下结构。

{ "version": "0", "id": "id", "detail-type": "ACM Certificate Available", "source": "aws.acm", "account": "account", "time": "2019-12-22T18:43:48Z", "region": "region", "resources": [ "arn:aws:acm:region:account:certificate/certificate_ID" ], "detail": { “Action” : "ISSUANCE" | "RENEWAL" | "IMPORT" | "REIMPORT", "CertificateType" : "AMAZON_ISSUED" | "PRIVATE" | "IMPORTED", "CommonName": "example.com", "DomainValidationMethod" : "EMAIL" | "DNS", "CertificateCreatedDate" : "2019-12-22T18:43:48Z", "CertificateExpirationDate" : "2019-12-22T18:43:48Z", "DaysToExpiry" : 395, "InUse" : TRUE | FALSE, "Exported" : TRUE | FALSE } }

ACM需要执行证书续订操作事件

注意

“需要执行证书续订操作”事件不适用于导入的证书

客户可以侦听此事件,以便在必须采取客户操作后才能续订证书时收到提醒。例如,如果客户添加了ACM阻止续订证书的CAA记录,则会在到期前 45 天自动续订失败时ACM发布此事件。如果客户未采取任何行动,ACM则在 30 天、15 天、3 天和 1 天后再次尝试续订,或者直到客户采取行动,证书将过期,或者证书不再符合续订资格。每次续订尝试都会发布一个事件。

ACM证书续订操作必填事件具有以下结构。

{ "version": "0", "id": "id", "detail-type": "ACM Certificate Renewal Action Required", "source": "aws.acm", "account": "account", "time": "2019-12-22T18:43:48Z", "region": "region", "resources": [ "arn:aws:acm:region:account:certificate/certificate_ID" ], "detail": { "CertificateType" : "AMAZON_ISSUED" | "PRIVATE", "CommonName": "example.com", "DomainValidationMethod" : "EMAIL" | "DNS", "RenewalStatusReason" : "CAA_ERROR" | "PENDING_DOMAIN_VALIDATION" | "NO_AVAILABLE_CONTACTS" | "ADDITIONAL_VERIFICATION_REQUIRED" | "DOMAIN_NOT_ALLOWED" | "INVALID_PUBLIC_DOMAIN" | "DOMAIN_VALIDATION_DENIED" | "PCA_LIMIT_EXCEEDED" | "PCA_INVALID_ARN" | "PCA_INVALID_STATE" | "PCA_REQUEST_FAILED" | "PCA_NAME_CONSTRAINTS_VALIDATION" | "PCA_RESOURCE_NOT_FOUND" | "PCA_INVALID_ARGS" | "PCA_INVALID_DURATION" | "PCA_ACCESS_DENIED" | "SLR_NOT_FOUND" | "OTHER", "DaysToExpiry": 30, "CertificateExpirationDate" : "2019-12-22T18:43:48Z", "InUse" : TRUE | FALSE, "Exported" : TRUE | FALSE } }

Amazon 健康事件

Amazon 系统会为符合续订条件的ACM证书生成健康事件。有关续订资格的信息,请参阅Amazon Certificate Manager 中的托管式证书续订

系统会在两种情况下生成运行状况事件:

  • 成功续订公有或私有证书时。

  • 何时客户必须完成操作后才能成功续订。这可能意味着需要点击电子邮件中的链接(用于通过电子邮件进行验证的证书),或者解决某个错误。每个事件都包含以下事件类型代码中的一个。这些代码以变量的形式公开,供您用于筛选。

    • AWS_ACM_RENEWAL_STATE_CHANGE(证书已续订、已过期或即将过期)

    • CAA_CHECK_FAILURE(CAA检查失败)

    • AWS_ACM_RENEWAL_FAILURE(由私有 CA 签名的证书)

运行状况事件具有如下结构。在此示例中,AWS_ACM_RENEWAL_STATE_CHANGE 事件已生成。

{ "source":[ "aws.health" ], "detail-type":[ "AWS Health Event" ], "detail":{ "service":[ "ACM" ], "eventTypeCategory":[ "scheduledChange" ], "eventTypeCode":[ "AWS_ACM_RENEWAL_STATE_CHANGE" ] } }