【ACM】証明書の有効期限をモニタリングできるようになりました。

記事タイトルとURLをコピーする

こんにちは。AWS CLIが好きな福島です。

昨日、AWS Certificate Managerで管理している証明書の有効期限を Amazon CloudWatchからモニタリングできるようになりました。

また、Amazon EventBridgeにもイベントが連携されますので、これを使い、証明書の有効期限が近づいたら、通知を行うことも可能になりました。

aws.amazon.com

CloudWatchから証明書の有効期限を確認してみた

ということで実際に証明書の有効期限をCloudWatchから確認してみたいと思います。

f:id:swx-fukushima:20210304221956p:plain

f:id:swx-fukushima:20210304222139p:plain

DaysToExpiryというメトリクスで証明書の有効期限が残り268日であることが確認できました。

Amazon EventBridgeのルールを作成してみた

では次に、Amazon EventBridgeを使い、メール通知設定を行います。

※補足
デフォルトでは、証明書の有効期限から 45 日前に最初のイベントが発行され、その後有効期限が切れるまで 1 日に 1 つのイベントが発行されます。

そのため、45日をきると毎日、1通メールが飛んでくることになるかと思います...
この45日という値は変更できるため、その方法は後ほど記載いたします。

Amazon EventBridgeを開き、「ルールの作成」を押下します。 f:id:swx-fukushima:20210304222851p:plain

名前と説明およびパターンを定義を以下の画面の通り、設定します。 f:id:swx-fukushima:20210304223112p:plain

連携したいターゲットを選択し、「作成」を押下します。 f:id:swx-fukushima:20210304223205p:plain

メール通知結果

証明書の有効期限のイベントが発生すると以下のようなメールが飛んでくるかと思います。
※少し見づらいですが、後7日で証明書がきれることが分かります。

f:id:swx-fukushima:20210305103055p:plain

イベントが発行する証明書の有効期限日の変更

デフォルトでは、証明書の有効期限から 45 日前に最初のイベントが発行されると記載いたしましたが、 以下の方法でこの値は、変更できます。

f:id:swx-fukushima:20210304224009p:plain

f:id:swx-fukushima:20210304224055p:plain

この値は、1~45の値を設定できるようです。

(おまけ)AWS CLIで有効期限を確認してみた

AWS CLIが好きということでAWS CLIでも、有効期限を表示してみました。

aws acm list-certificates --query "CertificateSummaryList[].CertificateArn" --output text | tr "\t" "\n" | while read cert_arn
do 
   aws acm describe-certificate --certificate-arn $cert_arn --query "Certificate.[DomainName,NotAfter,Issuer]" --output text
done |  sort -Vk 2 | column -t
  • 実行結果
www.hoge.work             2021-03-12T21:00:00+09:00  Amazon
www.hoge.tk             2021-04-23T21:00:00+09:00  Amazon
*.hoge.tk               2021-05-22T21:00:00+09:00  Amazon
fk.hoge.tk         2021-05-26T21:00:00+09:00  Amazon
fk-test-client.hogetk  2021-09-21T21:00:00+09:00  Amazon
www.hoge.cf             2021-10-27T21:00:00+09:00  Amazon
nitro-enclaves.hoge.cf  2021-11-28T08:59:59+09:00  Amazon

ちなみに

この証明書の有効期限に関する情報をSecurity Hubに連携する方法が 以下ドキュメントで紹介されていたため、興味がある方は、確認してみると良いかと存じます。

docs.aws.amazon.com

終わりに

今回のアップデートでACMで管理している証明書の有効期限をモニタリングできるようになりました。 証明書の有効期限が切れると、Webサイトまたはアプリケーションが使用できなくなる可能性があるので、 本機能を使い、ぜひ、モニタリングしてみてはいかがでしょうか。

福島 和弥 (記事一覧)

SRE3課

2019/10 入社

AWS CLIが好きです。