翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ACM の Security Hub コントロール
これらの Security Hub コントロールは、 AWS Certificate Manager (ACM) サービスとリソースを評価します。
これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。
〔ACM.1] インポートされた証明書と ACM発行の証明書は、指定された期間後に更新する必要があります
関連する要件: NIST.800-53.r5 SC-28 (3)、 NIST.800-53.r5 SC-7(16)PCIDSS、v4.0.1/4.2.1
カテゴリ: 保護 > データ保護 > の暗号化 data-in-transit
重要度: 中
リソースタイプ : AWS::ACM::Certificate
AWS Config ルール : acm-certificate-expiration-check
スケジュールタイプ: 変更がトリガーされ、定期的に行われる場合
[パラメータ:]
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
|
|
ACM 証明書を更新する必要がある日数 |
整数 |
|
|
このコントロールは、 AWS Certificate Manager (ACM) 証明書が指定された期間内に更新されているかどうかを確認します。インポートした証明書と ACM によって提供された証明書の両方をチェックします。指定された期間内に証明書が更新されない場合、コントロールは失敗します。更新期間に対してカスタムパラメータ値を指定しない限り、Security Hub はデフォルト値の 30 日を使用します。
ACM は、DNS検証を使用する証明書を自動的に更新できます。E メール検証を使用する証明書の場合、ドメイン検証 E メールに応答する必要があります。 ACMはインポートした証明書を自動的に更新しません。インポートした証明書を手動で更新する必要があります。
修正
ACM は、Amazon によって発行された SSL/TLS 証明書のマネージド更新を提供します。つまり、 は証明書を自動的にACM更新するか (DNS検証を使用する場合)、証明書の有効期限が近づいたときに E メール通知を送信します。これらのサービスは、パブリック証明書とプライベートACM証明書の両方に対して提供されます。
- E メールで検証されたドメイン
-
証明書の有効期限から 45 日後、 はドメイン名ごとに E メールをドメイン所有者ACMに送信します。ドメインを検証して更新を完了するには、E メール通知に応答する必要があります。
詳細については、「AWS Certificate Manager ユーザーガイド」の「E メールで検証されたドメインの更新」を参照してください。
- によって検証されたドメインの場合 DNS
-
ACM は、DNS検証を使用する証明書を自動的に更新します。有効期限の 60 日前に、 ACM は証明書を更新できることを確認します。
ドメイン名を検証できない場合、 は手動検証が必要であるという通知ACMを送信します。これらの通知は、有効期限の 45 日、30 日、7 日、1 日前に送信されます。
詳細については、「 AWS Certificate Manager ユーザーガイド」の「 によって検証されたドメインの更新DNS」を参照してください。
〔ACM.2] によって管理されるRSA証明書ACMは、少なくとも 2,048 ビットのキー長を使用する必要があります
関連する要件: PCI DSS v4.0.1/4.2.1
カテゴリ: 識別 > インベントリ > インベントリサービス
重要度: 高
リソースタイプ : AWS::ACM::Certificate
AWS Config ルール : acm-certificate-rsa-check
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、 によって管理されるRSA証明書が、少なくとも 2,048 ビットのキー長 AWS Certificate Manager を使用しているかどうかを確認します。キーの長さが 2,048 ビットより小さい場合、コントロールは失敗します。
暗号化の強度はキーサイズと直接相関します。コンピューティング能力が安価になり、サーバーがより高度になるため、 AWS リソースを保護するために、キーの長さは 2,048 ビット以上をお勧めします。
修正
によって発行されたRSA証明書の最小キー長ACMはすでに 2,048 ビットです。で新しいRSA証明書を発行する手順についてはACM、「 ユーザーガイド」の「証明書の発行と管理」を参照してください。 AWS Certificate Manager
ACM では、キーの長さが短い証明書をインポートできますが、このコントロールを渡すには、少なくとも 2,048 ビットのキーを使用する必要があります。証明書をインポートした後で、キーの長さを変更することはできません。代わりに、キーの長さが 2,048 ビット未満の証明書を削除する必要があります。への証明書のインポートの詳細についてはACM、「 AWS Certificate Manager ユーザーガイド」の「証明書をインポートするための前提条件」を参照してください。
〔ACM.3] ACM証明書にはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::ACM::Certificate
AWS Config ルール: tagged-acm-certificate (カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト | デフォルト値なし |
このコントロールは、 AWS Certificate Manager (ACM) 証明書にパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。証明書にタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、証明書にキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。プリンシIAMパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、「 IAMユーザーガイド」の「 とは AWS ABAC」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
ACM 証明書にタグを追加するには、「 AWS Certificate Manager ユーザーガイド」の AWS Certificate Manager 「証明書のタグ付け」を参照してください。
