Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour ACM
Ces contrôles Security Hub évaluent le service et les ressources AWS Certificate Manager (ACM).
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.
[ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée
Exigences connexes : NIST.800-53.r5 SC-2 8 (3), NIST.800-53.r5 SC-7 (16), PCI DSS v4.0.1/4.2.1
Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit
Gravité : Moyenne
Type de ressource : AWS::ACM::Certificate
Règle AWS Config : acm-certificate-expiration-check
Type de calendrier : changement déclenché et périodique
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
|
|
Nombre de jours pendant lesquels le ACM certificat doit être renouvelé |
Entier |
|
|
Ce contrôle vérifie si un certificat AWS Certificate Manager (ACM) est renouvelé dans le délai spécifié. Il vérifie à la fois les certificats importés et les certificats fournis par ACM. Le contrôle échoue si le certificat n'est pas renouvelé dans le délai spécifié. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de renouvellement, Security Hub utilise une valeur par défaut de 30 jours.
ACMpeut automatiquement renouveler les certificats qui utilisent DNS la validation. Pour les certificats qui utilisent la validation par e-mail, vous devez répondre à un e-mail de validation de domaine. ACMne renouvelle pas automatiquement les certificats que vous importez. Vous devez renouveler manuellement les certificats importés.
Correction
ACMfournit un renouvellement géré pour vos TLS certificatsSSL/émis par Amazon. Cela signifie ACM soit que vos certificats sont renouvelés automatiquement (si vous utilisez la DNS validation), soit qu'il vous envoie des notifications par e-mail lorsque l'expiration des certificats approche. Ces services sont fournis pour les ACM certificats publics et privés.
- Pour les domaines validés par e-mail
-
Lorsqu'un certificat arrive à expiration dans un délai de 45 jours, ACM envoie au propriétaire du domaine un e-mail pour chaque nom de domaine. Pour valider les domaines et terminer le renouvellement, vous devez répondre aux notifications par e-mail.
Pour plus d'informations, consultez la section Renouvellement pour les domaines validés par e-mail dans le guide de AWS Certificate Manager l'utilisateur.
- Pour les domaines validés par DNS
-
ACMrenouvelle automatiquement les certificats qui utilisent DNS la validation. 60 jours avant l'expiration, ACM vérifie que le certificat peut être renouvelé.
S'il ne parvient pas à valider un nom de domaine, il ACM envoie une notification indiquant qu'une validation manuelle est requise. Il envoie ces notifications 45 jours, 30 jours, 7 jours et 1 jour avant l'expiration.
Pour plus d'informations, consultez la section Renouvellement pour les domaines validés par DNS dans le Guide de AWS Certificate Manager l'utilisateur.
[ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
Exigences connexes : PCI DSS v4.0.1/4.2.1
Catégorie : Identifier > Inventaire > Services d'inventaire
Gravité : Élevée
Type de ressource : AWS::ACM::Certificate
Règle AWS Config : acm-certificate-rsa-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les RSA certificats gérés par AWS Certificate Manager utilisent une longueur de clé d'au moins 2 048 bits. Le contrôle échoue si la longueur de la clé est inférieure à 2 048 bits.
La puissance du chiffrement est directement liée à la taille de la clé. Nous recommandons des longueurs de clé d'au moins 2 048 bits pour protéger vos AWS ressources à mesure que la puissance de calcul diminue et que les serveurs deviennent plus avancés.
Correction
La longueur de clé minimale pour les RSA certificats émis par ACM est déjà de 2 048 bits. Pour obtenir des instructions sur l'émission de nouveaux RSA certificats avecACM, consultez la section Émission et gestion des certificats dans le guide de AWS Certificate Manager l'utilisateur.
Bien qu'il vous ACM permette d'importer des certificats dont la longueur de clé est plus courte, vous devez utiliser des clés d'au moins 2 048 bits pour passer ce contrôle. Vous ne pouvez pas modifier la longueur de la clé après avoir importé un certificat. Vous devez plutôt supprimer les certificats dont la longueur de clé est inférieure à 2 048 bits. Pour plus d'informations sur l'importation de certificats dansACM, consultez la section Conditions préalables à l'importation de certificats dans le Guide de l'AWS Certificate Manager utilisateur.
[ACM.3] ACM les certificats doivent être étiquetés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::ACM::Certificate
AWS Config règle : tagged-acm-certificate (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si un certificat AWS Certificate Manager (ACM) possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le certificat ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le certificat n'est associé à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un ACM certificat, consultez la section Marquage des AWS Certificate Manager certificats dans le guide de l'AWS Certificate Manager utilisateur.
