Monitore AWS Private CA com CloudWatch eventos - AWS Private Certificate Authority
Sucesso ou falha ao criar uma CA privadaSucesso ou falha ao emitir um certificadoSucesso ao revogar um certificadoSucesso ou falha ao gerar uma CRLÊxito ou falha ao criar um relatório de auditoria da CA

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Monitore AWS Private CA com CloudWatch eventos

Você pode usar o Amazon CloudWatch Events para automatizar seus AWS serviços e responder automaticamente a eventos do sistema, como problemas de disponibilidade de aplicativos ou alterações de recursos. Os eventos dos AWS serviços são entregues aos CloudWatch Eventos quase em tempo real. Você pode escrever regras simples para indicar quais eventos são de seu interesse e as ações automatizadas a serem tomadas quando um evento corresponde a uma regra. CloudWatch Os eventos são publicados pelo menos uma vez. Para obter mais informações, consulte Criação de uma regra de CloudWatch eventos que é acionada em um evento.

CloudWatch Os eventos são transformados em ações usando a Amazon EventBridge. Com EventBridge, você pode usar eventos para acionar alvos, incluindo AWS Lambda funções, AWS Batch trabalhos, tópicos do Amazon SNS e muitos outros. Para obter mais informações, consulte O que é a Amazon EventBridge?

Sucesso ou falha ao criar uma CA privada

Esses eventos são acionados pela CreateCertificateAuthorityoperação.

Bem-sucedida

Em caso de sucesso, a operação retorna o ARN da nova CA.

{
   "version":"0",
   "id":"event_ID",
   "detail-type":"ACM Private CA Creation",
   "source":"aws.acm-pca",
   "account":"account",
   "time":"2019-11-04T19:14:56Z",
   "region":"region",
   "resources":[
      "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   ],
   "detail":{
      "result":"success"
   }
}
Falha

Em caso de falha, a operação retorna um ARN para a CA. Usando o ARN, você pode ligar DescribeCertificateAuthoritypara determinar o status da CA.

{
   "version":"0",
   "id":"event_ID",
   "detail-type":"ACM Private CA Creation",
   "source":"aws.acm-pca",
   "account":"account",
   "time":"2019-11-04T19:14:56Z",
   "region":"region",
   "resources":[
      "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   ],
   "detail":{
      "result":"failure"
   }
}

Sucesso ou falha ao emitir um certificado

Esses eventos são acionados pela IssueCertificateoperação.

Bem-sucedida

Em caso de sucesso, a operação retorna o ARNs da CA e do novo certificado.

{
   "version":"0",
   "id":"event_ID",
   "detail-type":"ACM Private CA Certificate Issuance",
   "source":"aws.acm-pca",
   "account":"account",
   "time":"2019-11-04T19:57:46Z",
   "region":"region",
   "resources":[
      "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
      "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
   ],
   "detail":{
      "result":"success"
   }
}
Falha

Em caso de falha, a operação retorna o ARN de um certificado e o ARN da CA. Com o certificado ARN, você pode ligar GetCertificatepara ver o motivo da falha.

{
   "version":"0",
   "id":"event_ID",
   "detail-type":"ACM Private CA Certificate Issuance",
   "source":"aws.acm-pca",
   "account":"account",
   "time":"2019-11-04T19:57:46Z",
   "region":"region",
   "resources":[
      "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
      "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
   ],
   "detail":{
      "result":"failure"
   }
}

Sucesso ao revogar um certificado

Esse evento é acionado pela RevokeCertificateoperação.

Nenhum evento será enviado se a revogação falhar ou se o certificado já tiver sido revogado.

Bem-sucedida

Em caso de sucesso, a operação retorna o ARNs da CA e do certificado revogado.

{
   "version":"0",
   "id":"event_ID",
   "detail-type":"ACM Private CA Certificate Revocation",
   "source":"aws.acm-pca",
   "account":"account",
   "time":"2019-11-05T20:25:19Z",
   "region":"region",
   "resources":[
      "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
      "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
   ],
   "detail":{
      "result":"success"
   }
}

Sucesso ou falha ao gerar uma CRL

Esses eventos são acionados pela RevokeCertificateoperação, o que deve resultar na criação de uma lista de revogação de certificados (CRL).

Bem-sucedida

Em caso de sucesso, a operação retorna o ARN da CA associada à CRL.

{
   "version":"0",
   "id":"event_ID",
   "detail-type":"ACM Private CA CRL Generation",
   "source":"aws.acm-pca",
   "account":"account",
   "time":"2019-11-04T21:07:08Z",
   "region":"region",
   "resources":[
      "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   ],
   "detail":{
      "result":"success"
   }
}
Falha 1: a CRL não pôde ser salva no Amazon S3 devido a um erro de permissão

Verifique as permissões do bucket do Amazon S3 caso esse erro ocorra. 

{
   "version":"0",
   "id":"event_ID",
   "detail-type":"ACM Private CA CRL Generation",
   "source":"aws.acm-pca",
   "account":"account",
   "time":"2019-11-07T23:01:25Z",
   "region":"region",
   "resources":[
      "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   ],
   "detail":{
      "result":"failure",
      "reason":"Failed to write CRL to S3. Check your S3 bucket permissions."
   }
}
Falha 2: a CRL não pôde ser salva no Amazon S3 devido a um erro interno

Tente a operação novamente caso esse erro ocorra.

{
   "version":"0",
   "id":"event_ID",
   "detail-type":"ACM Private CA CRL Generation",
   "source":"aws.acm-pca",
   "account":"account",
   "time":"2019-11-07T23:01:25Z",
   "region":"region",
   "resources":[
      "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   ],
   "detail":{
      "result":"failure",
      "reason":"Failed to write CRL to S3. Internal failure."
   }
}
Falha 3 — CA privada da AWS falha ao criar uma CRL

Para solucionar esse erro, verifique as Métricas do CloudWatch .

{
   "version":"0",
   "id":"event_ID",
   "detail-type":"ACM Private CA CRL Generation",
   "source":"aws.acm-pca",
   "account":"account",
   "time":"2019-11-07T23:01:25Z",
   "region":"region",
   "resources":[
      "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   ],
   "detail":{
      "result":"failure",
      "reason":"Failed to generate CRL. Internal failure."
   }
}

Êxito ou falha ao criar um relatório de auditoria da CA

Esses eventos são acionados pela CreateCertificateAuthorityAuditReportoperação.

Bem-sucedida

Em caso de sucesso, a operação retorna o ARN da CA e o ID do relatório de auditoria.

{
   "version":"0",
   "id":"event_ID",
   "detail-type":"ACM Private CA Audit Report Generation",
   "source":"aws.acm-pca",
   "account":"account",
   "time":"2019-11-04T21:54:20Z",
   "region":"region",
   "resources":[
      "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
      "audit_report_ID"
   ],
   "detail":{
      "result":"success"
   }
}
Falha

Um relatório de auditoria pode falhar quando CA privada da AWS não há PUT permissões em seu bucket do Amazon S3, quando a criptografia está habilitada no bucket ou por outros motivos.

{
   "version":"0",
   "id":"event_ID",
   "detail-type":"ACM Private CA Audit Report Generation",
   "source":"aws.acm-pca",
   "account":"account",
   "time":"2019-11-04T21:54:20Z",
   "region":"region",
   "resources":[
      "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
      "audit_report_ID"
   ],
   "detail":{
      "result":"failure"
   }
}