AWS Détection du gestionnaire de certificats

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • Détection dans le cloud utilise des modèles pour détecter les données de certificat gérées par le Amazon AWS Cloud gestionnaire de certificats (ACM). La détection de ces données nécessite l’installation et la mise à jour Modèles de détection et de mappage des services et Gestion et inventaires des certificats.

    Demander des applications dans l'App Store

    Visitez le site Web ServiceNow Store pour découvrir toutes les applications disponibles et pour obtenir des informations sur la procédure à suivre pour soumettre des demandes à la boutique. Pour obtenir des informations sur les notes de publication cumulatives pour toutes les applications publiées, consultez les ServiceNow Storenotes de publication relatives à l'historique des versions.

    Prérequis

    Vérifier la configuration d’un AWS compte
    Pour plus d'informations, voir Explorer Détection dans le cloud
    Vérifier l’installation des modules d’extension
    Gestion et inventaires des certificats (sn_disco_certmgmt) au moins 3.4.0
    Modèles de détection et de mappage des services (sn_itom_pattern) au moins 1.12.0
    Vérifiez qu’il Détection dans le cloud dispose des autorisations nécessaires pour détecter AWS
    Exécutez les commandes suivantes avec AWS l’interface de ligne de commande pour vérifier les autorisations et les politiques attachées à votre rôle IAM actif :
    • Répertorier les certificats

      AWS_PAGER='' AWS ACM List-Certificates --region <region>

    • Décrire les certificats

      AWS_PAGER='' awsacm describe-certificate --certificate-arnarn :aws :acm :<region> :<accout_id> :certificate/<certificate_id>

    • Obtenir des certificats

      AWS_PAGER='' awsacm get-certificate --certificate-arnarn :aws :acm :<region> :<account_id> :certificate/<certificate_id>

    • Obtenir des balises

      AWS_PAGER='' awsresourcegroupstagggingapi get-resources --tags-per-page 100 --resource-type-filters 'acm :certificat'

    Définir la configuration de la propriété système
    Lorsque la propriété sn_itom_pattern.issuer_certificate_search_by_idn système est définie sur faux, Découverte utilise les empreintes digitales du certificat pour trouver les émetteurs et les émetteurs racine.
    Vérifier les Serveur MID exigences
    Ils Serveur MID doivent avoir soit la capacité ALL, soit l’aptitude AWS.
    Vérifier la configuration du Détection dans le cloud calendrier
    Pour plus d'informations, voir Créer un calendrier de détection dans Espace de travail de détection dans le cloud

    Vérifier les autorisations de l’API REST

    Télécharger le Détection dans le cloud Feuille de calcul des autorisations de l’API REST afin que vous puissiez accorder aux utilisateurs les autorisations nécessaires à l’exécution des Découverte schémas. De nouveaux modèles sont disponibles tous les trimestres. Vérifiez donc régulièrement pour vous assurer que vous disposez de la dernière version de la feuille de calcul.

    Données collectées par Découverte lors d'une détection horizontale

    Le modèle Amazon AWS - Certificate Manager et la bibliothèque partagée Amazon AWS - Collecter les balises de certificats prennent en charge la détection de la table et des champs suivants.
    Champ Description
    Certificats uniques [cmdb_ci_certificate]
    Nom

    Nom d’hôte/domaine associé au certificat.

    Par exemple, *.service-now.com
    Empreinte digitale

    La valeur de hachage du certificat.

    Par exemple, d708c8583c78c176d5df1a4f01aac746294 e390a03038f280b0d8f5efbc8a0f
    Algorithme d'empreintes digitales

    L’algorithme utilisé pour effectuer le hachage du certificat. Par exemple, Découverte calcule les empreintes digitales par l’algorithme SHA-256, de sorte que la valeur renseignée est : SHA-256
    Numéro de série Le numéro de série du certificat. Par exemple, 70 d8 c9 52 77 1c 2d 54 97 00 0e 21 05 84 dd 76 b5 e8 c1 73
    Nom commun du sujet

    Nom d’hôte/domaine associé au certificat. Par exemple, *.service-now.com
    Nom unique du sujet

    Nom unique de l’entité à laquelle le certificat est délivré.

    Le nom unique du sujet se compose des éléments suivants
    • Nom commun (CN).
    • Organisation (O) : organisation qui possède le domaine auquel le certificat a été délivré.
    • Unité organisationnelle (OU) : l’unité organisationnelle qui possède le domaine pour lequel le certificat est émis.
    Nom commun de l'émetteur

    Nom usuel de l’émetteur du certificat. Par exemple, Entrust Certification Authority.
    Nom unique de l'émetteur

    Nom unique de l’émetteur du certificat.

    Le nom unique de l’émetteur se compose des éléments suivants
    • Nom commun (NC) : l’autorité qui a délivré le certificat. Par exemple, Entrust Certification Authority.
    • Organisation (O) : organisation qui a émis le certificat. Par exemple, « Entrust », Inc.
    • Unité organisationnelle (OU) : l’unité qui a les droits légaux d’émettre le certificat.
    Suivi de renouvellement

    Indique s'il convient de créer des tâches prioritaires 1 ou 3 pour les certificats arrivant à expiration.

    Découverte Définit le suivi de renouvellement sur priority3 lorsque le glide.discovery.certs.enable_renewal_task_creation_for_discovered_certificates de propriété système est défini sur vrai.
    Date de début de validité Le certificat est valide à partir de cette date (UTC). Par exemple, 25/09/2023 10:43:03
    Date de fin de validité

    Date d’expiration du certificat (UTC). Par exemple, 2024-09-24 10:43:03
    Organisation du sujet

    Organisation (O) à laquelle le certificat est délivré.
    Unité organisationnelle du sujet Unité organisationnelle (OU) à laquelle le certificat est délivré.
    Pays de l'objet Pays (C) de l’organisation à laquelle le certificat est délivré. Renseigné dans un code de pays à deux lettres.
    État du sujet Région, État (ST) ou province de l’organisation à laquelle le certificat est délivré. Renseigné avec un code à deux lettres.
    Localité du sujet Ville, emplacement (L) de l’organisation à laquelle le certificat est délivré.
    E-mail du sujet Adresse e-mail de l’organisation à laquelle le certificat est délivré.
    Émetteur Référence à l’entité qui a signé et délivré le certificat. La référence est disponible si le certificat émis fait partie de la même charge utile.
    Émetteur racine Référence au certificat racine. La référence est disponible si le certificat émis fait partie de la même charge utile.
    Nom alternatif du sujet Nom de l’enregistrement du domaine de certificat.

    Relations CI

    Le modèle Amazon AWS - Gestionnaire de certificats et la bibliothèque partagée Amazon AWS - Collecter les balises de certificats prennent en charge la détection des relations suivantes :

    CI Relation CI
    Certificat unique [cmdb_ci_certificate] Hosts::Hosted on Centre de données AWS [cmdb_ci_aws_datacenter]
    Certificat unique [cmdb_ci_certificate] Hosts::Hosted on Compte de services dans le cloud [cmdb_ci_cloud_service_account]
    Valeur clé [cmdb_key_value] Référence Certificat unique [cmdb_ci_certificate]