

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 的 Security Hub CSPM 控制項 AWS Certificate Manager
<a name="acm-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 AWS Certificate Manager (ACM) 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【ACM.1】 匯入和 ACM 發行的憑證應在指定的期間之後續約
<a name="acm-1"></a>

**相關要求：**NIST.800-53.r5 SC-28(3)、NIST.800-53.r5 SC-7(16)、NIST.800-171.r2 3.13.15、PCI DSS v4.0.1/4.2.1

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::ACM::Certificate`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html)

**排程類型：**變更已觸發和定期

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `daysToExpiration`  |  必須續約 ACM 憑證的天數  |  Integer  |  `14` 至 `365`  |  `30`  | 

此控制項會檢查 AWS Certificate Manager (ACM) 憑證是否在指定的期間內續約。它會檢查匯入的憑證和 ACM 提供的憑證。如果未在指定的期間內續約憑證，則控制項會失敗。除非您提供續約期間的自訂參數值，否則 Security Hub CSPM 會使用預設值 30 天。

ACM 可以自動續約使用 DNS 驗證的憑證。對於使用電子郵件驗證的憑證，您必須回應網域驗證電子郵件。ACM 不會自動續約您匯入的憑證。您必須手動更新匯入的憑證。

### 修補
<a name="acm-1-remediation"></a>

ACM 為 Amazon 發行的 SSL/TLS 憑證提供受管續約。這表示 ACM 會自動續約您的憑證 （如果您使用 DNS 驗證），或在憑證過期接近時傳送電子郵件通知給您。這些服務可供公有和私有 ACM 憑證使用。

**對於透過電子郵件驗證的網域**  
當憑證過期後 45 天，ACM 會為每個網域名稱傳送電子郵件給網域擁有者。若要驗證網域並完成續約，您必須回應電子郵件通知。  
如需詳細資訊，請參閱*AWS Certificate Manager 《 使用者指南*》中的[透過電子郵件驗證的網域續約](https://docs.aws.amazon.com/acm/latest/userguide/email-renewal-validation.html)。

**對於 DNS 驗證的網域**  
ACM 會自動續約使用 DNS 驗證的憑證。在過期前 60 天，ACM 會驗證憑證是否可以續約。  
如果無法驗證網域名稱，則 ACM 會傳送通知，告知需要手動驗證。它會在過期前 45 天、30 天、7 天和 1 天傳送這些通知。  
如需詳細資訊，請參閱*AWS Certificate Manager 《 使用者指南*》中的 [DNS 驗證的網域續約](https://docs.aws.amazon.com/acm/latest/userguide/dns-renewal-validation.html)。

## 【ACM.2】 由 ACM 管理的 RSA 憑證應使用至少 2，048 位元的金鑰長度
<a name="acm-2"></a>

**相關要求：**PCI DSS v4.0.1/4.2.1

**類別：**識別 > 庫存 > 庫存服務

**嚴重性：**高

**資源類型：** `AWS::ACM::Certificate`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查由 管理的 RSA 憑證是否 AWS Certificate Manager 使用至少 2，048 位元的金鑰長度。如果金鑰長度小於 2，048 位元，則控制項會失敗。

加密強度與金鑰大小直接相關。我們建議您使用至少 2，048 位元的金鑰長度來保護您的 AWS 資源，因為運算能力變得較不昂貴，且伺服器變得更先進。

### 修補
<a name="acm-2-remediation"></a>

ACM 發行之 RSA 憑證的金鑰長度下限已經是 2，048 位元。如需使用 ACM 發行新 RSA 憑證的說明，請參閱*AWS Certificate Manager 《 使用者指南*》中的[發行和管理憑證](https://docs.aws.amazon.com/acm/latest/userguide/gs.html)。

雖然 ACM 可讓您匯入金鑰長度較短的憑證，但您必須使用至少 2，048 位元的金鑰才能傳遞此控制項。您無法在匯入憑證後變更金鑰長度。相反地，您必須刪除金鑰長度小於 2，048 位元的憑證。如需將憑證匯入 ACM 的詳細資訊，請參閱*AWS Certificate Manager 《 使用者指南*》中的[匯入憑證的先決條件](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html)。

## 【ACM.3】 ACM 憑證應加上標籤
<a name="acm-3"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::ACM::Certificate`

**AWS Config rule：**`tagged-acm-certificate`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 AWS Certificate Manager (ACM) 憑證是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果憑證沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤金鑰是否存在，如果憑證未標記任何金鑰，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="acm-3-remediation"></a>

若要將標籤新增至 ACM 憑證，請參閱*AWS Certificate Manager 《 使用者指南*》中的[標記 AWS Certificate Manager 憑證](https://docs.aws.amazon.com/acm/latest/userguide/tags.html)。