选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户

适用于 ACM 的 Security Hub 控件

PDF
RSS
聚焦模式
适用于 ACM 的 Security Hub 控件 - AWS Security Hub
[ACM.1] 导入的证书和 ACM 颁发的证书应在指定的时间段后续订[ACM.2] 由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度[ACM.3] 应标记 ACM 证书

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

这些 Security Hub 控件评估 AWS Certificate Manager (ACM) 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 按地区划分的控件可用性

[ACM.1] 导入的证书和 ACM 颁发的证书应在指定的时间段后续订

相关要求: NIST.800-53.r5 SC-28 (3)、 NIST.800-53.r5 SC-7 (16)、PCI DSS v4.0.1/4.2.1

类别:保护 > 数据保护 > 加密 data-in-transit

严重性:

资源类型:AWS::ACM::Certificate

AWS Config 规则:acm-certificate-expiration-check

计划类型:已触发更改且定期进行

参数:

参数 描述 类型 允许的自定义值 Security Hub 默认值

daysToExpiration

必须续订 ACM 证书的天数

整数

14365

30

此控件检查 AWS Certificate Manager (ACM) 证书是否在指定的时间段内续订。它会检查导入的证书和 ACM 提供的证书。如果证书未在指定的时间段内续订,则控制失败。除非您为续订期提供自定义参数值,否则 Security Hub 将使用默认值即 30 天。

ACM 可以自动续订使用 DNS 验证的证书。对于使用电子邮件验证的证书,您必须回复域验证电子邮件。ACM 不会自动续订您导入的证书。您必须手动续订导入的证书。

修复

ACM 为 Amazon 颁发的 SSL/TLS 证书提供托管续订。这意味着 ACM 要么自动续订您的证书(如果您使用 DNS 验证),要么在证书即将到期时向您发送电子邮件通知。对于公有和私有 ACM 证书,都提供这些服务。

对于通过电子邮件验证的域

当证书到期 45 天后,ACM 会向域所有者发送一封针对每个域名的电子邮件。要验证域名并完成续订,您必须回复电子邮件通知。

有关更多信息,请参阅 AWS Certificate Manager 用户指南中的续订通过电子邮件验证的域

对于通过 DNS 验证的域

ACM 自动续订使用 DNS 验证的证书。 到期前 60 天,ACM 验证证书是否可以续订。

如果无法验证域名,ACM 会发送需要手动验证的通知。它会在到期前 45 天、30 天、7 天和 1 天发送这些通知。

有关详细信息,请参阅 AWS Certificate Manager 用户指南中的通过 DNS 验证的域的续订

[ACM.2] 由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度

相关要求:PCI DSS v4.0.1/4.2.1

类别:识别 > 库存 > 库存服务

严重性:

资源类型:AWS::ACM::Certificate

AWS Config 规则:acm-certificate-rsa-check

计划类型:已触发变更

参数:

此控件检查管理的 RSA 证书是否 AWS Certificate Manager 使用至少 2,048 位的密钥长度。如果密钥长度小于 2,048 位,则控制失败。

加密的强度与密钥大小直接相关。我们建议密钥长度至少为 2,048 位,以保护您的 AWS 资源,因为计算能力变得越来越便宜,服务器也变得更加先进。

修复

ACM 颁发的 RSA 证书的最小密钥长度已经是 2,048 位。有关使用 ACM 颁发新 RSA 证书的说明,请参阅 AWS Certificate Manager 用户指南中的颁发和管理证书

虽然 ACM 允许您导入密钥长度较短的证书,但您必须使用至少 2,048 位的密钥才能通过此控制。导入证书后,您无法变更密钥长度。相反,您必须删除密钥长度小于 2,048 位的证书。有关将证书导入到 ACM 的更多信息,请参阅 AWS Certificate Manager 用户指南中的导入证书的先决条件

[ACM.3] 应标记 ACM 证书

类别:识别 > 清单 > 标记

严重性:

资源类型:AWS::ACM::Certificate

AWS Config 规则:tagged-acm-certificate(自定义 Security Hub 规则)

计划类型:已触发变更

参数:

参数 描述 类型 允许的自定义值 Security Hub 默认值
requiredTagKeys 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 StringList 符合 AWS 要求的标签列表 无默认值

此控件检查 AWS Certificate Manager (ACM) 证书是否具有参数requiredTagKeys中定义的特定密钥的标签。如果证书没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查标是否存在签密键,如果证书未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 AWS? 在 IAM 用户指南中。

注意

请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签AWS 一般参考

修复

要向 ACM 证书添加标签,请参阅AWS Certificate Manager 用户指南中的标记 AWS Certificate Manager 证书

本页内容

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。