AWS Certificate Manager 証明書の有効期限までの残り日数メトリクス(DaysToExpiry)のチェック頻度を調査した
以下の記事で紹介されていますとおり、AWS Certificate Manager(ACM)で管理されている証明書の有効期限をCloudWatchから確認でき、有効期限に対してアラート設定ができます。
CloudWatchが証明書の有効期限をチェックする頻度について調べる機会がありましたのでまとめておきます。
有効期限までの残り日数
ACMに登録されている証明書はCloudWatchにDaysToExpiryというメトリクスが自動で取得されています。DaysToExpiryは証明書の有効期限までの残り日数が記録されています。
日付の確認なのでメトリクスを高頻度で取得することはないだろうという予想のもと確認してみました。
DaysToExpiryの取得間隔
ACMに登録されている証明書で取得済みのDaysToExiryメトリクスを確認しました。以下にわかったことをまとめます。
- 12時間間隔でメトリクスを取得
- 2回/日の頻度
- 証明書ごとにメトリクスを取得するタイミング(時間帯)は異なる
- ACMで発行した証明書と、外部で発行した証明書をACMへインポートした場合でも頻度は同じ
実際のメトリクスを線グラフで表示
有効期限の残り日数が記録されるため、時間経過と共に右肩下がりの線を描いています。同日にポイントが2個あります。サンプルで2021年7月4日前後を例に確認します。
2021年7月3日 21時40分にメトリクスが取得されています。
2021年7月4日 9時40分にメトリクスが取得されています。日付は変わり12時間後です。
2021年7月4日 21時40分にメトリクスが取得されています。同日の12時間後です。
2021年7月5日 9時40分にメトリクスが取得されています。日付は変わり12時間後です。
次に別の証明書も同じ傾向が見られるか確認します。さきほど証明書は外部で発行した証明書をACMへインポートしたものでした。今度はACMで発行した証明書を確認してみます。
2021年7月4日 9時55分にメトリクスが取得されています。グラフの形からして同じ傾向が見られそうです。
2021年7月4日 21時55分にメトリクスが取得されています。同日の12時間後です。
日に2回、12時間間隔でチェックし、メトリクスが取得されていることがわかりました。
おわりに
ドキュメントを確認しても確認頻度がわからなかったので調べてまとめました。日に2回取得されていたんですね。いちいちCloudWatchをみて確認しなくても、検索してこの記事が引っかかり確認する手間が省けることを願っています。
![[Auth0] Route 53+ACM+CloudFrontでAuth0にカスタムドメインとリバースプロキシを設定してみた](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-e37cf03c5caac969de0f633e4738977d/1862834d1806cb03b64a8000a5a1a39e/Auth0ByOkta.jpg)
