Contrôles Security Hub pour ACM - AWS Security Hub
[ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée[ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits[ACM.3] ACM les certificats doivent être étiquetés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles Security Hub pour ACM

Ces contrôles du Security Hub évaluent AWS Certificate Manager (ACM) service et ressources.

Il se peut que ces commandes ne soient pas disponibles dans tous les cas Régions AWS. Pour plus d'informations, consultezDisponibilité des contrôles par région.

[ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée

Exigences connexes : NIST.800-53.r5 SC-2 8 (3), NIST.800-53.r5 SC-7 (16)

Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit

Gravité : Moyenne

Type de ressource : AWS::ACM::Certificate

AWS Config règle : acm-certificate-expiration-check

Type de calendrier : changement déclenché et périodique

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub

daysToExpiration

Nombre de jours pendant lesquels le ACM certificat doit être renouvelé

Entier

14 sur 365

30

Ce contrôle vérifie si un AWS Certificate Manager (ACM) le certificat est renouvelé dans le délai spécifié. Il vérifie à la fois les certificats importés et les certificats fournis parACM. Le contrôle échoue si le certificat n'est pas renouvelé dans le délai spécifié. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de renouvellement, Security Hub utilise une valeur par défaut de 30 jours.

ACMpeut automatiquement renouveler les certificats qui utilisent DNS la validation. Pour les certificats qui utilisent la validation par e-mail, vous devez répondre à un e-mail de validation de domaine. ACMne renouvelle pas automatiquement les certificats que vous importez. Vous devez renouveler manuellement les certificats importés.

Correction

ACMfournit un renouvellement géré pour vos TLS certificatsSSL/émis par Amazon. Cela signifie ACM soit que vos certificats sont renouvelés automatiquement (si vous utilisez la DNS validation), soit qu'il vous envoie des notifications par e-mail lorsque l'expiration des certificats approche. Ces services sont fournis pour les ACM certificats publics et privés.

Pour les domaines validés par e-mail

Lorsqu'un certificat arrive à expiration dans un délai de 45 jours, ACM envoie au propriétaire du domaine un e-mail pour chaque nom de domaine. Pour valider les domaines et terminer le renouvellement, vous devez répondre aux notifications par e-mail.

Pour plus d'informations, consultez la section Renouvellement pour les domaines validés par e-mail dans le AWS Certificate Manager Guide de l'utilisateur.

Pour les domaines validés par DNS

ACMrenouvelle automatiquement les certificats qui utilisent DNS la validation. 60 jours avant l'expiration, ACM vérifie que le certificat peut être renouvelé.

S'il ne parvient pas à valider un nom de domaine, il ACM envoie une notification indiquant qu'une validation manuelle est requise. Il envoie ces notifications 45 jours, 30 jours, 7 jours et 1 jour avant l'expiration.

Pour plus d'informations, consultez la section Renouvellement pour les domaines validés par DNS AWS Certificate Manager Guide de l'utilisateur.

[ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits

Catégorie : Identifier > Inventaire > Services d'inventaire

Gravité : Élevée

Type de ressource : AWS::ACM::Certificate

AWS Config règle : acm-certificate-rsa-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si les RSA certificats sont gérés par AWS Certificate Manager utilisez une longueur de clé d'au moins 2 048 bits. Le contrôle échoue si la longueur de la clé est inférieure à 2 048 bits.

La puissance du chiffrement est directement liée à la taille de la clé. Nous recommandons une longueur de clé d'au moins 2 048 bits pour protéger votre AWS ressources à mesure que la puissance de calcul devient moins chère et que les serveurs deviennent plus avancés.

Correction

La longueur de clé minimale pour les RSA certificats émis par ACM est déjà de 2 048 bits. Pour obtenir des instructions sur l'émission de nouveaux RSA certificats avecACM, consultez la section Émission et gestion des certificats dans le AWS Certificate Manager Guide de l'utilisateur.

Bien qu'il vous ACM permette d'importer des certificats dont la longueur de clé est plus courte, vous devez utiliser des clés d'au moins 2 048 bits pour passer ce contrôle. Vous ne pouvez pas modifier la longueur de la clé après avoir importé un certificat. Vous devez plutôt supprimer les certificats dont la longueur de clé est inférieure à 2 048 bits. Pour plus d'informations sur l'importation de certificats dansACM, consultez la section Conditions préalables à l'importation de certificats dans le AWS Certificate Manager Guide de l'utilisateur.

[ACM.3] ACM les certificats doivent être étiquetés

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::ACM::Certificate

AWS Config règle : tagged-acm-certificate (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub
requiredTagKeys Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. StringList Liste des tags qui répondent AWS exigences Aucune valeur par défaut

Ce contrôle vérifie si un AWS Certificate Manager (ACM) le certificat possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le certificat ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le certificat n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.

Un tag est un label que vous attribuez à un AWS ressource, et elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ABAC sert AWS? dans le guide de IAM l'utilisateur.

Note

N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, y compris AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de votre AWS ressources dans le Références générales AWS.

Correction

Pour ajouter des balises à un ACM certificat, consultez la section Balisage AWS Certificate Manager certificats dans le AWS Certificate Manager Guide de l'utilisateur.