AWS Certificate Manager 証明書有効期限の残り日数をCloudWatchから確認できないときのチェックポイント

証明書の有効期限をACMの画面からは確認できるけど、CloudWatchからDaysToExpiry見ても何も表示されないじゃん!と思ったらまず最初にご確認いただきたいポイントです。
2021.07.10

以下の記事で紹介されていますとおり、AWS Certificate Manager(ACM)で管理されている証明書の有効期限をCloudWatchから確認でき、有効期限に対してアラート設定ができます。

CloudWatchから証明書有効期限の残り日数を表示できないときの基本的なCloudWatchグラフ操作と、チェックポイントについてご紹介します。

CloudWatchのグラフ操作

CloudWatchからCertificateManagerのメトリクスを確認します。

有効期限の残り日数を確認したいACMに登録した証明書のARNを選択します。有効期限は何日という数値で確認したいです。線グラフから数値に変更します。

有効期限の残り日数が表示されません。表示されない理由を考えていきましょう。

表示するメトリクスの期間を確認します。デフォルトの期間設定の幅が狭く、設定されていた期間内に残り日数のメトリクスが存在していない可能性があります。

以下の様に期間を1日へ変更すると、有効期限の残り日数が表示されました。対象の期間内に復数の有効期限の日付があった場合、統計は平均より最小の方が好ましいので変更しています。

以上、CloudWatchで証明書有効期限の残り日数が表示れないときのチェックポイントでした。

証明書のARN確認方法

特定の証明書に対してCloudWatchで証明書有効期限の残り日数のメトリクス(DaysToExpiry)が取得できているか確認したいときの方法です。

ACM(AWS Certificate Manager)の管理画面から対象の証明書を展開してARNを確認します。ARNをコピーします。

CloudWatchの画面にコピーしたARNをペーストして検索できます。チェックを入れ適切な期間が設定されていると残り日数を表示でき、DaysToExpiryのメトリクスが取得できているか確認できます。

CloudWatchに対象のARNが存在していない場合は、ACMで証明書の発行直後や、外部の証明書インポート直後は初回のメトリクス取得が実行されていない可能性があります。時間を置いてから確認してみてください。

初回のメトリクス取得タイミングは不明なのですが、定期的なチェック頻度は下記ブロブポストをご参照ください。

おわりに

普段からCloudWatchのグラフを操作していないと、どこを設定して良いかわからなくなりますよね。AWS初心者だと尚の事わからないですよね、気持ちわかります。