Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Controlli CSPM Security Hub per AWS Certificate Manager
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse AWS Certificate Manager (ACM). I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato
**Requisiti correlati:** NIST.800-53.r5 SC-2 8 (3), NIST.800-53.r5 SC-7 (16), NIST.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1
**Categoria**: Protezione > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::ACM::Certificate`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html)
**Tipo di pianificazione:** modifica attivata e periodica
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `daysToExpiration` | Numero di giorni entro i quali il certificato ACM deve essere rinnovato | Numero intero | `14` Da a `365` | `30` |
Questo controllo verifica se un certificato AWS Certificate Manager (ACM) viene rinnovato entro il periodo di tempo specificato. Controlla sia i certificati importati che i certificati forniti da ACM. Il controllo fallisce se il certificato non viene rinnovato entro il periodo di tempo specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di rinnovo, Security Hub CSPM utilizza un valore predefinito di 30 giorni.
ACM può rinnovare automaticamente i certificati che utilizzano la convalida DNS. Per i certificati che utilizzano la convalida e-mail, è necessario rispondere a un'e-mail di convalida del dominio. ACM non rinnova automaticamente i certificati importati. È necessario rinnovare manualmente i certificati importati.
### Correzione
ACM offre un rinnovo gestito per i tuoi SSL/TLS certificati emessi da Amazon. Ciò significa che ACM rinnova i certificati automaticamente (se utilizzi la convalida DNS) oppure ti invia notifiche via e-mail quando si avvicina la scadenza del certificato. Questi servizi sono forniti sia per i certificati ACM pubblici che privati.
**Per i domini convalidati tramite e-mail**
Quando mancano 45 giorni alla scadenza di un certificato, ACM invia al proprietario del dominio un'e-mail per ogni nome di dominio. Per convalidare i domini e completare il rinnovo, devi rispondere alle notifiche e-mail.
*Per ulteriori informazioni, consulta [Rinnovo per domini convalidati tramite e-mail](https://docs.aws.amazon.com/acm/latest/userguide/email-renewal-validation.html) nella Guida per l'utente.AWS Certificate Manager *
**Per i domini convalidati dal DNS**
ACM rinnova automaticamente i certificati che utilizzano la convalida DNS. 60 giorni prima della scadenza, ACM verifica che il certificato possa essere rinnovato.
Se non è in grado di convalidare un nome di dominio, ACM invia una notifica indicante che è necessaria la convalida manuale. Invia queste notifiche 45 giorni, 30 giorni, 7 giorni e 1 giorno prima della scadenza.
*Per ulteriori informazioni, consulta [Rinnovo per i domini convalidati dal DNS](https://docs.aws.amazon.com/acm/latest/userguide/dns-renewal-validation.html) nella Guida per l'AWS Certificate Manager utente.*
## [ACM.2] I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit
**Requisiti** correlati: PCI DSS v4.0.1/4.2.1
**Categoria: Identificazione > Inventario > Servizi** di inventario
**Gravità:** alta
**Tipo di risorsa:** `AWS::ACM::Certificate`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se i certificati RSA gestiti da AWS Certificate Manager utilizzano una lunghezza di chiave di almeno 2.048 bit. Il controllo ha esito negativo se la lunghezza della chiave è inferiore a 2.048 bit.
La forza della crittografia è direttamente correlata alla dimensione della chiave. Consigliamo una lunghezza delle chiavi di almeno 2.048 bit per proteggere AWS le risorse in quanto la potenza di calcolo diventa meno costosa e i server diventano più avanzati.
### Correzione
La lunghezza minima delle chiavi per i certificati RSA emessi da ACM è già di 2.048 bit. *Per istruzioni sull'emissione di nuovi certificati RSA con ACM, consulta Emissione e gestione dei certificati nella Guida per [l'](https://docs.aws.amazon.com/acm/latest/userguide/gs.html)utente.AWS Certificate Manager *
Sebbene ACM consenta di importare certificati con chiavi di lunghezza inferiore, è necessario utilizzare chiavi di almeno 2.048 bit per passare questo controllo. Non è possibile modificare la lunghezza della chiave dopo aver importato un certificato. È invece necessario eliminare i certificati con una lunghezza di chiave inferiore a 2.048 bit. *Per ulteriori informazioni sull'importazione di certificati in ACM, consulta [Prerequisiti per l'importazione dei certificati nella Guida per l'](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html)utente.AWS Certificate Manager *
## [ACM.3] I certificati ACM devono essere etichettati
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::ACM::Certificate`
**AWS Config regola:** `tagged-acm-certificate` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un certificato AWS Certificate Manager (ACM) contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo ha esito negativo se il certificato non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il certificato non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a un certificato ACM, consulta [Taggare i AWS Certificate Manager certificati](https://docs.aws.amazon.com/acm/latest/userguide/tags.html) nella Guida per l'utente.AWS Certificate Manager *