本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

Security Hub 控件适用于 ACM

这些 Security Hub 控件会评估 AWS Certificate Manager (ACM) 服务和资源。

这些控件可能并非全部可用 AWS 区域。 有关更多信息，请参阅按地区划分的控件可用性。

[ACM.1] 导入和ACM签发的证书应在指定的时间段后续订

相关要求： NIST.800-53.r5 SC-28 (3)、 NIST.800-53.r5 SC-7 (16)

类别：保护 > 数据保护 > 加密 data-in-transit

严重性：中

资源类型：AWS::ACM::Certificate

AWS Config 规则：acm-certificate-expiration-check

计划类型：已触发变更和定期更改

参数：

此控件检查是否 AWS Certificate Manager (ACM) 证书在指定的时间段内续订。它会检查导入的证书和提供的证书ACM。如果证书未在指定的时间段内续订，则控制失败。除非您为续订期提供自定义参数值，否则 Security Hub 将使用默认值即 30 天。

ACM可以自动续订使用DNS验证的证书。对于使用电子邮件验证的证书，您必须回复域验证电子邮件。ACM不会自动续订您导入的证书。您必须手动续订导入的证书。

修复

ACM为您的SSL/Amazon 颁发的TLS证书提供托管续订。这意味着ACM要么自动续订您的证书（如果您使用DNS验证），要么在证书即将到期时向您发送电子邮件通知。这些服务既适用于公有证书，也适用于私有ACM证书。

[ACM.2] 由管理的RSA证书ACM应使用至少 2,048 位的密钥长度

类别：识别 > 库存 > 库存服务

严重性：高

资源类型：AWS::ACM::Certificate

AWS Config 规则：acm-certificate-rsa-check

计划类型：已触发变更

参数：无

此控件检查RSA证书是否由管理 AWS Certificate Manager 使用至少 2,048 位的密钥长度。如果密钥长度小于 2,048 位，则控制失败。

加密的强度与密钥大小直接相关。我们建议密钥长度至少为 2,048 位，以保护您的 AWS 资源，因为计算能力变得更便宜，服务器变得更先进。

修复

由颁发的RSA证书的最小密钥长度已ACM为 2,048 位。有关使用颁发新RSA证书的说明ACM，请参阅中的颁发和管理证书 AWS Certificate Manager 用户指南。

虽然ACM允许您导入密钥长度较短的证书，但必须使用至少 2,048 位的密钥才能通过此控制。导入证书后，您无法变更密钥长度。相反，您必须删除密钥长度小于 2,048 位的证书。有关将证书导入的更多信息ACM，请参阅中导入证书的先决条件 AWS Certificate Manager 用户指南。

[ACM.3] 应给ACM证书加标签

类别：识别 > 清单 > 标记

严重性：低

资源类型：AWS::ACM::Certificate

AWS Config 规则:tagged-acm-certificate（自定义 Security Hub 规则）

计划类型：已触发变更

参数：

此控件检查是否 AWS Certificate Manager (ACM) 证书具有参数中定义的特定密钥的标签requiredTagKeys。如果证书没有任何标签密钥或者没有参数中指定的所有密钥，则控件将失败requiredTagKeys。如果requiredTagKeys未提供该参数，则该控件仅检查标签密钥是否存在，如果证书未使用任何密钥进行标记，则该控件将失败。系统标签会自动应用并以其开头aws:，但会被忽略。

标签是您分配给的标签 AWS 资源，它由一个键和一个可选值组成。您可以创建标签，按用途、所有者、环境或其他标准对资源进行分类。标签可以帮助您识别、组织、搜索和筛选资源。标记还可以帮助您跟踪负责任的资源所有者的操作和通知。使用标记时，可以实现基于属性的访问控制 (ABAC) 作为一种授权策略，它根据标签定义权限。您可以将标签附加到IAM实体（用户或角色）和 AWS 资源的费用。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息，请参阅用ABAC途 AWS？ 在《IAM用户指南》中。

修复

要为ACM证书添加标签，请参阅标记 AWS Certificate Manager中的证书 AWS Certificate Manager 用户指南。