翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Certificate Manager コントロール
これらのコントロールは ACM リソースに関連しています。
これらのコントロールは、すべての で利用できるとは限りません AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。
[ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります
関連する要件: NIST.800-53.r5 SC-28(3)、NIST.800-53.r5 SC-7(16)
カテゴリ: 保護 > データ保護 > の暗号化 data-in-transit
重要度: 中
リソースタイプ: AWS::ACM::Certificate
AWS Config ルール : acm-certificate-expiration-check
スケジュールタイプ: 変更がトリガーされ、定期的に行われる
パラメータ:
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
|
|
ACM 証明書を更新する必要がある日数 |
整数 |
|
|
このコントロールは、 AWS Certificate Manager (ACM) 証明書が指定された期間内に更新されているかどうかをチェックします。インポートした証明書と ACM によって提供された証明書の両方をチェックします。指定された期間内に証明書が更新されない場合、コントロールは失敗します。更新期間に対してカスタムパラメータ値を指定しない限り、Security Hub はデフォルト値の 30 日を使用します。
ACM は DNS 検証を使用する証明書を自動的に更新できます。E メール検証を使用する証明書の場合、ドメイン検証 E メールに応答する必要があります。ACM は、ユーザーがインポートした証明書を自動的に更新しません。インポートした証明書を手動で更新する必要があります。
修正
ACM は、Amazon 発行の SSL/TLS 証明書のマネージド更新が可能です。つまり、ACM は証明書を自動的に更新するか (DNS 検証を使用している場合)、有効期限が近づくと E メール通知を送信します。これらのサービスは、パブリック ACM 証明書とプライベート ACM 証明書の両方に対して提供されます。
- E メールで検証されたドメイン
-
証明書の有効期限まで 45 日間の時点で、ACM はドメイン所有者にドメイン名ごとに E メールを送信します。ドメインを検証して更新を完了するには、E メール通知に応答する必要があります。
詳細については、「AWS Certificate Manager ユーザーガイド」の「E メールで検証されたドメインの更新」を参照してください。
- DNS によって検証されたドメイン
-
ACM は DNS 検証を使用する証明書を自動的に更新します。有効期限の 60 日前に、ACM は証明書が更新できることを確認します。
ドメイン名を検証できない場合、ACM は手動検証が必要である旨の通知を送信します。これらの通知は、有効期限の 45 日、30 日、7 日、1 日前に送信されます。
詳細については、「AWS Certificate Manager ユーザーガイド」の「DNS によって検証されたドメインの更新」を参照してください。
[ACM.2] ACM によって管理される RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります
カテゴリ: 識別 > インベントリ > インベントリサービス
重要度: 高
リソースタイプ: AWS::ACM::Certificate
AWS Config ルール : acm-certificate-rsa-check
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、 によって管理される RSA 証明書が、少なくとも 2,048 ビットのキー長 AWS Certificate Manager を使用しているかどうかをチェックします。キーの長さが 2,048 ビットより小さい場合、コントロールは失敗します。
暗号化の強度はキーサイズと直接相関します。コンピューティング能力が低下し、サーバーがより高度になるため、 AWS リソースを保護するために 2,048 ビット以上のキー長をお勧めします。
修正
ACM が発行する RSA 証明書における最小のキーの長さは、既に 2,048 ビットです。ACM で新しい RSA 証明書を発行する手順については、「AWS Certificate Manager ユーザーガイド」の「証明書の発行と管理」を参照してください。
ACM では短いキーの長さで証明書をインポートできますが、この制御を行うには少なくとも 2,048 ビットのキーを使用する必要があります。証明書をインポートした後で、キーの長さを変更することはできません。代わりに、キーの長さが 2,048 ビット未満の証明書を削除する必要があります。ACM への証明書のインポートに関する詳細については、「AWS Certificate Manager ユーザーガイド」の「証明書をインポートするための前提条件」を参照してください。
[ACM.3] ACM 証明書にはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ: AWS::ACM::Certificate
AWS Config ルール: tagged-acm-certificate (カスタム Security Hub ルール)
スケジュールタイプ: 変更がトリガーされた場合
パラメータ:
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト | デフォルト値なし |
このコントロールは、 AWS Certificate Manager (ACM) 証明書にパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。証明書にタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、証明書にキーがタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。
タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一の ABAC ポリシーまたは個別のポリシーセットを作成できます。これらの ABAC ポリシーを設計して、プリンシパルの タグがリソースタグと一致するときにオペレーションを許可できます。詳細については、IAM ユーザーガイドの「 の ABAC とは AWS」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
ACM 証明書にタグを追加するには、「 AWS Certificate Manager ユーザーガイド」の AWS Certificate Manager 「証明書のタグ付け」を参照してください。
