2021年3月3日にAmazonCloudWatchでAWSCertificateManagerの証明書の有効期限の監視を提供しました。以下公式ページです
AWS Certificate Manager が Amazon CloudWatch を介した証明書の有効期限の監視の提供を開始
AWS Certificate Managerとは
AWS Certificate
Manager(ACM)とはSSL/TLS証明書のプロビジョニング、管理、デプロイをしてくれるサービスです。主に2つの機能があり、AWS側で発行された証明書を利用する機能と、自分で用意した証明書をデプロイする機能です。前者の機能ではマネージド型の証明書なので、AWS側が自動で更新を行ってくれます。後者の機能では自分で用意した証明書をACMにデプロイしてELBなどのサービスに適用することが出来ます。
詳しくは公式ページを御覧ください。AWS Certificate Manager
Amazon CloudWatchとは
Amazon
CloudWatchとはモニタリングサービスです。アプリケーションを監視してシステム全体におけるパフォーマンスの変化に対して、リソース使用率の最適化を行います。CloudWatchはログ、メトリクス、イベントと言う形式でモニタリングデータと運用データを収集しデータを確認することが出来ます。環境内における異常動作の検知、アラームの設定、ログとメトリクスを並行させた視覚化、自動化されたアクションの実行、問題のトラブルシューティング、およびインサイトの検出を行い、アプリケーションのスムーズな実行を維持することができます。
詳しきは公式ページを御覧ください。Amazon
CloudWatch
何が出来るようになったか
ACMにインポートした証明書の有効期限をCloudWatchが監視してくれるようになりました。
SSL/TLS証明書には有効期限があり、継続して使用するためには失効前に証明書を更新する必要があります。ACMにはユーザー(我々顧客)が発行した証明書をインポートする機能があります。この機能にはインポートされた証明書を自動的に更新する機能はついていません。証明書の有効期限が切れ、証明書が更新されないと安全な接続ではありませんという表示が出てユーザーが安心してサービスを使用できなくなったり、Webサイトやアプリケーションにアクセスできなくなってしまいます。
CloudWatchを介してACM証明書のメトリクスとして「有効期限までの日数」を監視出来ます。またAmazon EventBridgeを利用して有効期限イベントを指定することが出でき証明書を監視するアラームを作成したりLambda関数の呼び出しなどのアクションをトリガーすることが出来ます。
まとめ
今回のアップデートにより証明書の監視が通知され、Lambda関数の実行のトリガーにすることも出来るようになりした。期限がきれそうなことをSlackに通知したり、LambdaでLet’s Encryptの証明書を自動で作成しインポートすることもできそうですね。自動化が進みそうです。