こんにちは。AWS CLIが好きな福島です。
昨日、AWS Certificate Managerで管理している証明書の有効期限を Amazon CloudWatchからモニタリングできるようになりました。
また、Amazon EventBridgeにもイベントが連携されますので、これを使い、証明書の有効期限が近づいたら、通知を行うことも可能になりました。
- CloudWatchから証明書の有効期限を確認してみた
- Amazon EventBridgeのルールを作成してみた
- メール通知結果
- イベントが発行する証明書の有効期限日の変更
- (おまけ)AWS CLIで有効期限を確認してみた
- ちなみに
- 終わりに
CloudWatchから証明書の有効期限を確認してみた
ということで実際に証明書の有効期限をCloudWatchから確認してみたいと思います。
DaysToExpiryというメトリクスで証明書の有効期限が残り268日であることが確認できました。
Amazon EventBridgeのルールを作成してみた
では次に、Amazon EventBridgeを使い、メール通知設定を行います。
※補足
デフォルトでは、証明書の有効期限から 45 日前に最初のイベントが発行され、その後有効期限が切れるまで 1 日に 1 つのイベントが発行されます。
そのため、45日をきると毎日、1通メールが飛んでくることになるかと思います...
この45日という値は変更できるため、その方法は後ほど記載いたします。
Amazon EventBridgeを開き、「ルールの作成」を押下します。
名前と説明およびパターンを定義を以下の画面の通り、設定します。
連携したいターゲットを選択し、「作成」を押下します。
メール通知結果
証明書の有効期限のイベントが発生すると以下のようなメールが飛んでくるかと思います。
※少し見づらいですが、後7日で証明書がきれることが分かります。
イベントが発行する証明書の有効期限日の変更
デフォルトでは、証明書の有効期限から 45 日前に最初のイベントが発行されると記載いたしましたが、 以下の方法でこの値は、変更できます。
この値は、1~45の値を設定できるようです。
(おまけ)AWS CLIで有効期限を確認してみた
AWS CLIが好きということでAWS CLIでも、有効期限を表示してみました。
aws acm list-certificates --query "CertificateSummaryList[].CertificateArn" --output text | tr "\t" "\n" | while read cert_arn do aws acm describe-certificate --certificate-arn $cert_arn --query "Certificate.[DomainName,NotAfter,Issuer]" --output text done | sort -Vk 2 | column -t
- 実行結果
www.hoge.work 2021-03-12T21:00:00+09:00 Amazon www.hoge.tk 2021-04-23T21:00:00+09:00 Amazon *.hoge.tk 2021-05-22T21:00:00+09:00 Amazon fk.hoge.tk 2021-05-26T21:00:00+09:00 Amazon fk-test-client.hogetk 2021-09-21T21:00:00+09:00 Amazon www.hoge.cf 2021-10-27T21:00:00+09:00 Amazon nitro-enclaves.hoge.cf 2021-11-28T08:59:59+09:00 Amazon
ちなみに
この証明書の有効期限に関する情報をSecurity Hubに連携する方法が 以下ドキュメントで紹介されていたため、興味がある方は、確認してみると良いかと存じます。
終わりに
今回のアップデートでACMで管理している証明書の有効期限をモニタリングできるようになりました。 証明書の有効期限が切れると、Webサイトまたはアプリケーションが使用できなくなる可能性があるので、 本機能を使い、ぜひ、モニタリングしてみてはいかがでしょうか。