设备证书期限检查 - AWS IoT Device Defender
详细信息配置设备证书期限检查

设备证书期限检查

当设备证书处于活动状态的天数大于或等于您指定的天数时,此审计检查会提醒您。此检查有助于您随时了解证书的状态,无论证书何时达到其使用寿命的终点,都能定期及时采取行动,通过降低证书泄露的风险来提高安全性。

证书期限检查阈值可以配置在 30 天(最短)到 3652 天(10 年,最长)之间,默认值为 365 天。

此检查在 CLI 和 API 中显示为 DEVICE_CERTIFICATE_AGE_CHECK。默认情况下,此检查处于禁用状态。严重性:

详细信息

此检查适用于状态为“ACTIVE”或“PENDING_TRANSFER”的设备证书。此检查发现不合规的设备证书时,会返回以下原因代码:

  • CERTIFICATE_PAST_AGE_THRESHOLD

配置设备证书期限检查

此配置可让您根据设备队列的特定需求定制证书轮换提醒,有助于您在所有设备上保持强大的安全态势。您可以使用 UpdateAccountAuditConfiguration API 配置此检查。例如,如果您希望在证书处于活动状态超过 365 天时收到提醒,可以按如下方式配置检查:


{
    "roleArn": "your-audit-role-arn",
    "auditCheckConfigurations": {
        "DEVICE_CERTIFICATE_AGE_CHECK": {
            "enabled": true,
            "configuration": {
                "CERT_AGE_THRESHOLD_IN_DAYS": "365"
            }
        }
    }
}