Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Security Hub-Steuerungen für ACM
Diese Security Hub-Steuerelemente bewerten den AWS Certificate Manager (ACM) Service und die Ressourcen.
Diese Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.
[ACM.1] ACM Importierte und ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden
Verwandte Anforderungen: NIST.800-53.r5 SC-2 8 (3), NIST.800-53.r5 SC-7 (16), v4.0.1/4.2.1 PCI DSS
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit
Schweregrad: Mittel
Art der Ressource: AWS::ACM::Certificate
AWS Config -Regel: acm-certificate-expiration-check
Art des Zeitplans: Ausgelöste und periodische Änderung
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Anzahl der Tage, innerhalb derer das ACM Zertifikat erneuert werden muss |
Ganzzahl |
|
|
Diese Kontrolle prüft, ob ein AWS Certificate Manager (ACM) Zertifikat innerhalb des angegebenen Zeitraums erneuert wird. Es überprüft sowohl importierte Zertifikate als auch Zertifikate, die von ACM bereitgestellt werden. Die Kontrolle schlägt fehl, wenn das Zertifikat nicht innerhalb des angegebenen Zeitraums erneuert wird. Sofern Sie keinen benutzerdefinierten Parameterwert für den Verlängerungszeitraum angeben, verwendet Security Hub einen Standardwert von 30 Tagen.
ACMkann Zertifikate, die eine DNS Validierung verwenden, automatisch erneuern. Bei Zertifikaten, die E-Mail-Validierung verwenden, müssen Sie auf eine E-Mail zur Domainvalidierung antworten. ACMerneuert importierte Zertifikate nicht automatisch. Sie müssen importierte Zertifikate manuell erneuern.
Abhilfe
ACMbietet eine verwaltete Verlängerung für Ihre SSL TLS /-Zertifikate, die von Amazon ausgestellt wurden. Das bedeutet, dass Ihre Zertifikate ACM entweder automatisch erneuert werden (wenn Sie die DNS Validierung verwenden) oder dass Sie per E-Mail benachrichtigt werden, wenn das Zertifikat bald abläuft. Diese Dienste werden sowohl für öffentliche als auch für private ACM Zertifikate bereitgestellt.
- Für Domains, die per E-Mail validiert wurden
-
Wenn ein Zertifikat 45 Tage vor Ablauf abläuft, wird dem Domaininhaber für jeden Domainnamen eine E-Mail ACM gesendet. Um die Domains zu validieren und die Verlängerung abzuschließen, müssen Sie auf die E-Mail-Benachrichtigungen antworten.
Weitere Informationen finden Sie im AWS Certificate Manager Benutzerhandbuch unter Verlängerung für per E-Mail validierte Domains.
- Für Domains, die validiert wurden von DNS
-
ACMerneuert automatisch Zertifikate, für die eine DNS Validierung erforderlich ist. ACM Überprüft 60 Tage vor Ablauf, ob das Zertifikat erneuert werden kann.
Wenn ein Domainname nicht validiert werden kann, wird eine Benachrichtigung ACM gesendet, dass eine manuelle Überprüfung erforderlich ist. Diese Benachrichtigungen werden 45 Tage, 30 Tage, 7 Tage und 1 Tag vor Ablauf gesendet.
Weitere Informationen finden Sie DNS im AWS Certificate Manager Benutzerhandbuch unter Verlängerung für Domains, die von validiert wurden.
[ACM.2] RSA Zertifikate, die von verwaltet werden, ACM sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden
Verwandte Anforderungen: v4.0.1/4.2.1 PCI DSS
Kategorie: Identifizieren > Inventar > Inventardienstleistungen
Schweregrad: Hoch
Art der Ressource: AWS::ACM::Certificate
AWS Config -Regel: acm-certificate-rsa-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob RSA Zertifikate, die von verwaltet werden, eine Schlüssellänge von mindestens 2.048 Bit AWS Certificate Manager verwenden. Die Steuerung schlägt fehl, wenn die Schlüssellänge kleiner als 2.048 Bit ist.
Die Stärke der Verschlüsselung korreliert direkt mit der Schlüsselgröße. Wir empfehlen Schlüssellängen von mindestens 2.048 Bit, um Ihre AWS Ressourcen zu schützen, da Rechenleistung immer günstiger wird und Server immer fortschrittlicher werden.
Abhilfe
Die Mindestschlüssellänge für RSA Zertifikate, die von ausgestellt wurden, ACM beträgt bereits 2.048 Bit. Anweisungen zur Ausstellung neuer RSA Zertifikate mit ACM finden Sie unter Zertifikate ausstellen und verwalten im AWS Certificate Manager Benutzerhandbuch.
Sie ACM können zwar Zertifikate mit kürzeren Schlüssellängen importieren, Sie müssen jedoch Schlüssel mit mindestens 2.048 Bit verwenden, um diese Kontrolle zu bestehen. Sie können die Schlüssellänge nach dem Import eines Zertifikats nicht ändern. Stattdessen müssen Sie Zertifikate mit einer Schlüssellänge von weniger als 2.048 Bit löschen. Weitere Informationen zum Importieren von Zertifikaten in ACM finden Sie unter Voraussetzungen für den Import von Zertifikaten im AWS Certificate Manager Benutzerhandbuch.
[ACM.3] ACM Zertifikate sollten mit einem Tag versehen werden
Kategorie: Identifizieren > Inventar > Kennzeichnung
Schweregrad: Niedrig
Art der Ressource: AWS::ACM::Certificate
AWS Config Regel: tagged-acm-certificate (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob ein AWS Certificate Manager (ACM) -Zertifikat Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Das Steuerelement schlägt fehl, wenn das Zertifikat keine Tagschlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel enthältrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn das Zertifikat mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributbasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.
Anmerkung
Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem ACM Zertifikat finden Sie unter Kennzeichnen von AWS Certificate Manager Zertifikaten im AWS Certificate Manager Benutzerhandbuch.
