Amazon Certificate Manager 控件 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Certificate Manager 控件

这些控件与 ACM 资源相关。

这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性

[ACM.1] 导入的证书和 ACM 颁发的证书应在指定的时间段后续订

相关要求:NIST.800-53.r5 SC-28(3), NIST.800-53.r5 SC-7(16)

类别:保护 > 数据保护 > 传输中数据加密

严重性:

资源类型:AWS::ACM::Certificate

Amazon Config 规则:acm-certificate-expiration-check

计划类型:已触发变更和定期更改

参数:

参数 描述 类型 允许的自定义值 Security Hub 默认值

daysToExpiration

必须续订 ACM 证书的天数

整数

14365

30

此控件检查 Amazon Certificate Manager (ACM) 证书是否在指定的时间段内续订。它会检查导入的证书和 ACM 提供的证书。如果证书未在指定的时间段内续订,则控制失败。除非您为续订期提供自定义参数值,否则 Security Hub 将使用默认值即 30 天。

ACM 可以自动续订使用 DNS 验证的证书。对于使用电子邮件验证的证书,您必须回复域验证电子邮件。ACM 不会自动续订您导入的证书。您必须手动续订导入的证书。

修复

ACM 为 Amazon 颁发的 SSL/TLS 证书提供托管续订。这意味着 ACM 要么自动续订您的证书(如果您使用 DNS 验证),要么在证书即将到期时向您发送电子邮件通知。对于公有和私有 ACM 证书,都提供这些服务。

对于通过电子邮件验证的域

当证书到期 45 天后,ACM 会向域所有者发送一封针对每个域名的电子邮件。要验证域名并完成续订,您必须回复电子邮件通知。

有关更多信息,请参阅 Amazon Certificate Manager 用户指南中的续订通过电子邮件验证的域

对于通过 DNS 验证的域

ACM 自动续订使用 DNS 验证的证书。 到期前 60 天,ACM 验证证书是否可以续订。

如果无法验证域名,ACM 会发送需要手动验证的通知。它会在到期前 45 天、30 天、7 天和 1 天发送这些通知。

有关详细信息,请参阅 Amazon Certificate Manager 用户指南中的通过 DNS 验证的域的续订

[ACM.2] 由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度

类别:识别 > 库存 > 库存服务

严重性:

资源类型:AWS::ACM::Certificate

Amazon Config 规则:acm-certificate-rsa-check

计划类型:已触发变更

参数:

此控件检查管理的 RSA 证书是否 Amazon Certificate Manager 使用至少 2,048 位的密钥长度。如果密钥长度小于 2,048 位,则控制失败。

加密的强度与密钥大小直接相关。我们建议密钥长度至少为 2,048 位,以保护您的 Amazon 资源,因为计算能力变得越来越便宜,服务器也变得更加先进。

修复

ACM 颁发的 RSA 证书的最小密钥长度已经是 2,048 位。有关使用 ACM 颁发新 RSA 证书的说明,请参阅 Amazon Certificate Manager 用户指南中的颁发和管理证书

虽然 ACM 允许您导入密钥长度较短的证书,但您必须使用至少 2,048 位的密钥才能通过此控制。导入证书后,您无法变更密钥长度。相反,您必须删除密钥长度小于 2,048 位的证书。有关将证书导入到 ACM 的更多信息,请参阅 Amazon Certificate Manager 用户指南中的导入证书的先决条件