Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erkennen Sie Amazon RDS- und Aurora-Datenbank-Instances mit ablaufenden CA-Zertifikaten
*Stephen DiCato und Eugene Shifer, Amazon Web Services*
## Zusammenfassung
Aus Sicherheitsgründen wird empfohlen, Daten bei der Übertragung zwischen Anwendungsservern und relationalen Datenbanken zu verschlüsseln. Sie können SSL oder TLS verwenden, um eine Verbindung zu einer Datenbank-Instance oder einem Cluster zu verschlüsseln. Diese Protokolle tragen dazu bei, Vertraulichkeit, Integrität und Authentizität zwischen einer Anwendung und einer Datenbank sicherzustellen. Die Datenbank verwendet ein Serverzertifikat, das von einer [Zertifizierungsstelle (CA)](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html#UsingWithRDS.SSL.RegionCertificateAuthorities) ausgestellt wird und zur Überprüfung der Serveridentität verwendet wird. SSL oder TLS verifiziert die Echtheit des Zertifikats, indem es seine digitale Signatur validiert und sicherstellt, dass es nicht abgelaufen ist.
In der AWS-Managementkonsole bieten [Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Welcome.html) und [Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/CHAP_AuroraOverview.html) Benachrichtigungen über DB-Instances, für die Zertifikatsaktualisierungen erforderlich sind. Um nach diesen Benachrichtigungen zu suchen, müssen Sie sich jedoch bei jeder Benachrichtigung anmelden AWS-Konto und zur jeweiligen Servicekonsole navigieren. AWS-Region Diese Aufgabe wird komplexer, wenn Sie die Gültigkeit von Zertifikaten für viele Zertifikate überprüfen müssen AWS-Konten , die als Organisation verwaltet werden [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).
Durch die Bereitstellung der Infrastruktur als Code (IaC), die in diesem Muster bereitgestellt wird, können Sie ablaufende CA-Zertifikate für alle Amazon RDS- und Aurora-DB-Instances in Ihrem Unternehmen oder Ihrer AWS-Konto Organisation erkennen. AWS Die [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)Vorlage enthält eine AWS Config Regel, eine AWS Lambda Funktion und die erforderlichen Berechtigungen. Sie können sie als [Stack](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacks.html) in einem einzigen Konto oder als [Stack-Set](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) in der gesamten AWS Organisation bereitstellen.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktiver AWS-Konto
+ Wenn Sie die Bereitstellung in einem einzigen System durchführen AWS-Konto:
+ Stellen Sie sicher, dass Sie über die [Berechtigungen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-template.html) zum Erstellen von CloudFormation Stacks verfügen.
+ AWS Config Im Zielkonto [aktivieren](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html).
+ (Optional) AWS Security Hub CSPM Im Zielkonto [aktivieren](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html#securityhub-manual-setup-overview).
+ Wenn Sie die Bereitstellung in einer AWS Organisation durchführen:
+ Stellen Sie sicher, dass Sie über die [Berechtigungen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-template.html) zum Erstellen von CloudFormation Stack-Sets verfügen.
+ [Aktivieren Sie](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html#securityhub-orgs-setup-overview) Security Hub CSPM mit AWS Organizations Integration.
+ [Aktivieren](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html) Sie diese AWS Config Option in den Konten, in denen Sie diese Lösung bereitstellen.
+ Benennen Sie einen AWS-Konto zum delegierten Administrator für AWS Config und Security Hub CSPM.
**Einschränkungen**
+ Wenn Sie die Installation für ein einzelnes Konto durchführen, für das Security Hub CSPM nicht aktiviert ist, können Sie es verwenden, AWS Config um die Ergebnisse auszuwerten.
+ Wenn Sie in einer Organisation bereitstellen, die keinen delegierten Administrator für AWS Config Security Hub CSPM hat, müssen Sie sich bei den einzelnen Mitgliedskonten anmelden, um die Ergebnisse einzusehen.
+ Wenn Sie AWS Control Tower die Konten in Ihrer Organisation verwalten und verwalten, stellen Sie die IaC nach diesem Muster mithilfe von [Anpassungen](https://docs.aws.amazon.com/controltower/latest/userguide/cfct-overview.html) für (cFcT) bereit. AWS Control Tower Die Verwendung der CloudFormation Konsole führt dazu, dass die Konfiguration von den AWS Control Tower Vorgaben abweicht und Sie die Organisationseinheiten () oder verwalteten Konten erneut registrieren müssen. OUs
+ Einige AWS-Services sind nicht in allen verfügbar. AWS-Regionen Informationen zur regionalen Verfügbarkeit finden Sie auf der Seite [Dienstendpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html). Wählen Sie dort den Link für den Dienst aus.
## Architektur
**Bereitstellung für eine Einzelperson AWS-Konto**
Das folgende Architekturdiagramm zeigt den Einsatz der AWS Ressourcen innerhalb einer einzigen AWS-Konto. Es wird mithilfe einer CloudFormation Vorlage direkt über die CloudFormation Konsole implementiert. Wenn Security Hub CSPM aktiviert ist, können Sie die Ergebnisse entweder in Security Hub CSPM AWS Config oder in Security Hub CSPM anzeigen. Wenn Security Hub CSPM nicht aktiviert ist, können Sie die Ergebnisse nur in der AWS Config Konsole anzeigen.
![\[Bereitstellung der bereitgestellten CloudFormation Vorlage in einem einzigen Konto.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/d34fe1f1-6764-4485-b7a7-04e5861f1e9b/images/0b07133a-d4f8-4d87-8d00-2b5e2c453ece.png)
Das Diagramm zeigt die folgenden Schritte:
1. Sie erstellen einen CloudFormation Stapel. Dadurch werden eine Lambda-Funktion und eine AWS Config Regel bereitgestellt. Sowohl die Regel als auch die Funktion sind mit den AWS Identity and Access Management (IAM-) Berechtigungen eingerichtet, die für die Veröffentlichung von Ressourcenbewertungen in AWS Config und Protokollen erforderlich sind.
1. Die AWS Config Regel arbeitet im [Modus Detective Evaluation](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html#aws-config-rules-evaluation-modes) und wird alle 24 Stunden ausgeführt.
1. Security Hub CSPM erhält alle AWS Config Ergebnisse.
1. Sie können die Ergebnisse je nach Konfiguration des Kontos in Security Hub CSPM oder in AWS Config einsehen.
**Bereitstellung in einer Organisation AWS **
Das folgende Diagramm zeigt die Bewertung des Ablaufs von Zertifikaten für mehrere Konten, die über AWS Organizations und verwaltet werden AWS Control Tower. Sie stellen die CloudFormation Vorlage über CfCT bereit. Die Bewertungsergebnisse werden in Security Hub CSPM im delegierten Administratorkonto zentralisiert. Der im Diagramm dargestellte AWS CodePipeline Arbeitsablauf zeigt die Hintergrundschritte, die während der cFCT-Bereitstellung ablaufen.
![\[Bereitstellung der bereitgestellten CloudFormation Vorlage für mehrere Konten in einer AWS-Organisation.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/d34fe1f1-6764-4485-b7a7-04e5861f1e9b/images/8d870cbb-54cf-43ec-96f2-00730e0134af.png)
Das Diagramm zeigt die folgenden Schritte:
1. Je nach Konfiguration für CfCT übertragen Sie den IaC im Verwaltungskonto in ein AWS CodeCommit Repository oder laden eine komprimierte (ZIP-) Datei des IaC in einen Amazon Simple Storage Service (Amazon S3) -Bucket hoch.
1. Die CfCT-Pipeline entpackt die Datei, führt [cfn-nag](https://github.com/stelligent/cfn_nag) (GitHub) -Prüfungen durch und stellt sie als Stack-Set bereit. CloudFormation
1. Abhängig von der Konfiguration, die in der CFCT-Manifestdatei angegeben ist, CloudFormation StackSets werden Stacks für einzelne Konten bereitgestellt oder angegeben. OUs Dadurch werden eine Lambda-Funktion und eine AWS Config Regel in den Zielkonten bereitgestellt. Sowohl die Regel als auch die Funktion sind mit den IAM-Berechtigungen eingerichtet, die für die Veröffentlichung von Ressourcenbewertungen und Protokollen erforderlich sind. AWS Config
1. Die AWS Config Regel arbeitet im [Modus Detective Evaluation](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html#aws-config-rules-evaluation-modes) und wird alle 24 Stunden ausgeführt.
1. AWS Config leitet alle Ergebnisse an Security Hub CSPM weiter.
1. Die Ergebnisse des Security Hub CSPM werden im delegierten Administratorkonto zusammengefasst.
1. Sie können die Ergebnisse in Security Hub CSPM im delegierten Administratorkonto einsehen.
## Tools
**AWS-Services**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)hilft Ihnen dabei, AWS Ressourcen einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus regionsübergreifend AWS-Konten zu verwalten.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)bietet einen detaillierten Überblick über die Ressourcen in Ihrem System AWS-Konto und deren Konfiguration. Es hilft Ihnen zu erkennen, wie Ressourcen miteinander zusammenhängen und wie sich ihre Konfigurationen im Laufe der Zeit geändert haben. Eine AWS Config [Regel](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) definiert Ihre idealen Konfigurationseinstellungen für eine Ressource und AWS Config kann bewerten, ob Ihre AWS Ressourcen die Bedingungen in Ihren Regeln erfüllen.
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)hilft Ihnen dabei, eine Umgebung mit AWS mehreren Konten einzurichten und zu verwalten und dabei die vorgeschriebenen Best Practices zu befolgen. [Customizations for AWS Control Tower (cFCT)](https://docs.aws.amazon.com/controltower/latest/userguide/cfct-overview.html) hilft dir dabei, deine AWS Control Tower landing zone individuell anzupassen und dich an bewährte Methoden zu AWS halten. Anpassungen werden mithilfe von CloudFormation Vorlagen und Richtlinien zur Servicesteuerung () implementiert. SCPs
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Datenverarbeitungsservice, mit dem Sie Code ausführen können, ohne dass Sie Server bereitstellen oder verwalten müssen. Es führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)ist ein Kontoverwaltungsservice, mit dem Sie mehrere Konten zu einer Organisation AWS-Konten zusammenfassen können, die Sie erstellen und zentral verwalten.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)bietet einen umfassenden Überblick über Ihren Sicherheitsstatus in AWS. Es hilft Ihnen auch dabei, Ihre AWS Umgebung anhand der Sicherheitsstandards und bewährten Verfahren der Branche zu überprüfen.
**Andere Tools**
+ [Python](https://www.python.org/) ist eine Allzweck-Computerprogrammiersprache.
**Code-Repository**
Der Code für dieses Muster ist im Repository GitHub [Detect Amazon RDS-Instances with Expiring CA Certificates](https://github.com/aws-samples/config-rds-ca-expiry) verfügbar.
## Best Practices
Wir empfehlen Ihnen, sich an die bewährten Methoden in den folgenden Ressourcen zu halten:
+ [Bewährte Methoden für Organisationseinheiten mit AWS Organizations](https://aws.amazon.com/blogs/mt/best-practices-for-organizational-units-with-aws-organizations/) (AWS Cloud Operations & Migrations Blog)
+ [Leitfaden für die Einrichtung einer ersten Grundlage mithilfe von AWS Control Tower on AWS](https://aws.amazon.com/solutions/guidance/establishing-an-initial-foundation-using-control-tower-on-aws/) (AWS Solutions Library)
+ [Anleitung zum Erstellen und Ändern von AWS Control Tower Ressourcen](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-guidance.html) (AWS Control Tower Dokumentation)
+ [Überlegungen zur CfCT-Bereitstellung](https://docs.aws.amazon.com/controltower/latest/userguide/cfct-considerations.html) (AWS Control Tower Dokumentation)
## Epen
### Überprüfe die Lösung und den Code
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Bestimmen Sie Ihre Bereitstellungsstrategie. | Prüfen Sie die Lösung und den Code, um festzustellen, wie Sie sie in Ihrer AWS Umgebung einsetzen werden. Stellen Sie fest, ob Sie die Lösung für ein einzelnes Konto oder eine AWS Organisation bereitstellen möchten. | Inhaber der App, General AWS |
| Klonen Sie das Repository | Geben Sie den folgenden Befehl ein, um das Repository [Detect Amazon RDS-Instances mit ablaufenden CA-Zertifikaten](https://github.com/aws-samples/config-rds-ca-expiry) zu klonen.git clone https://github.com/aws-samples/config-rds-ca-expiry.git
| App-Entwickler, App-Besitzer |
| Validieren Sie die Python-Version. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/detect-rds-instances-expiring-certificates.html) | App-Entwickler, App-Besitzer |
### Bereitstellen der Lösung
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Stellen Sie die CloudFormation Vorlage bereit. | Stellen Sie die CloudFormation Vorlage in Ihrer AWS Umgebung bereit. Führen Sie eine der folgenden Aktionen aus:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/detect-rds-instances-expiring-certificates.html) | App-Entwickler, AWS-Administrator, Allgemeines AWS |
| Überprüfen Sie die Bereitstellung. | Stellen Sie in der [CloudFormation Konsole](https://console.aws.amazon.com/cloudformation/) sicher, dass der Stack oder das Stack-Set erfolgreich bereitgestellt wurde. | AWS-Administrator, App-Besitzer |
### Überprüfen Sie die Ergebnisse
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Sehen Sie sich die Ergebnisse AWS Config der Regel an. | Gehen Sie in Security Hub CSPM wie folgt vor, um eine Liste der einzelnen Ergebnisse anzuzeigen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/detect-rds-instances-expiring-certificates.html)Gehen Sie in Security Hub CSPM wie folgt vor, um eine Liste der Gesamtergebnisse anzuzeigen, gruppiert nach: AWS-Konto[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/detect-rds-instances-expiring-certificates.html)Um eine Liste der Ergebnisse einzusehen, folgen Sie den Anweisungen [unter Konformitätsinformationen und Bewertungsergebnisse anzeigen](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_view-compliance.html#evaluate-config_view-compliance-console) in der AWS Config Dokumentation. AWS Config | AWS-Administrator, AWS-Systemadministrator, Cloud-Administrator |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| CloudFormation Das Erstellen oder Löschen von Stack-Sets schlägt fehl | Wenn es bereitgestellt AWS Control Tower wird, setzt es die erforderlichen Schutzmaßnahmen durch und übernimmt die Kontrolle über AWS Config Aggregatoren und Regeln. Dazu gehört auch die Verhinderung direkter Änderungen durch. CloudFormation Um diese CloudFormation Vorlage, einschließlich aller zugehörigen Ressourcen, ordnungsgemäß bereitzustellen oder zu entfernen, müssen Sie CfCT verwenden. |
| CfCT kann die Vorlage nicht löschen CloudFormation | Wenn die CloudFormation Vorlage auch nach den erforderlichen Änderungen an der Manifestdatei und dem Entfernen der Vorlagendateien weiterhin besteht, stellen Sie sicher, dass die Manifestdatei den `enable_stack_set_deletion` Parameter enthält und dass der Wert auf gesetzt ist. `false` Weitere Informationen finden Sie in der CfCt-Dokumentation unter [Löschen eines Stack-Sets](https://docs.aws.amazon.com/controltower/latest/userguide/cfct-delete-stack.html). |
## Zugehörige Ressourcen
+ [Verwenden SSL/TLS , um eine Verbindung zu einer DB-Instance oder einem Cluster zu verschlüsseln](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html) (Amazon RDS-Dokumentation)
+ [AWS Config Benutzerdefinierte Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules.html) (AWS Config Dokumentation)