裝置憑證存留期檢查 - AWS IoT Device Defender
詳細資訊設定裝置憑證存留期檢查

裝置憑證存留期檢查

此稽核檢查會在裝置憑證處於作用中狀態的天數大於或等於您指定的天數時提醒您。此檢查可協助您隨時了解憑證的狀態,並定期及時採取動作,無論憑證的生命週期何時結束,藉此降低憑證洩露的風險以提高安全性。

憑證存留期檢查閾值可以設定為最少 30 天到最多 3652 天 (10 年) 之間,預設值為 365 天。

此檢查會以 DEVICE_CERTIFICATE_AGE_CHECK 出現在 CLI 和 API 中。此檢查預設為停用狀態。嚴重性:

詳細資訊

此檢查適用於 ACTIVE 或 PENDING_TRANSFER 的裝置憑證。當此檢查發現不合規的裝置憑證時,將會傳回下列原因代碼:

  • CERTIFICATE_PAST_AGE_THRESHOLD

設定裝置憑證存留期檢查

此組態可讓您根據機群的特定需求量身打造憑證輪換提醒,協助您在所有裝置上維持強大的安全狀態。您可以使用 UpdateAccountAuditConfiguration API 來設定此檢查。例如,如果您想要在憑證持續作用中超過 365 天時收到提醒,您可以依照下述方式設定檢查:


{
    "roleArn": "your-audit-role-arn",
    "auditCheckConfigurations": {
        "DEVICE_CERTIFICATE_AGE_CHECK": {
            "enabled": true,
            "configuration": {
                "CERT_AGE_THRESHOLD_IN_DAYS": "365"
            }
        }
    }
}