AWS Certificate Manager (ACM)

☘️ はじめに

本ページは、AWS に関する個人の勉強および勉強会で使用することを目的に、AWS ドキュメントなどを参照し作成しておりますが、記載の誤り等が含まれる場合がございます。

最新の情報については、AWS 公式ドキュメントをご参照ください。

👀 Contents

• AWS Certificate Manager とは
• リージョナルサービスであること
• 使用可能なサービス
• パブリック証明書とプライベート証明書
• インポートされた証明書
• 📖 まとめ

AWS Certificate Manager とは

AWS Certificate Manager (ACM) を使用して、AWS サービスと内部接続リソースで使用するパブリックおよびプライベート SSL/TLS 証明書をプロビジョニング、管理するサービスです。

【AWS Black Belt Online Seminar】AWS Certificate Manager(YouTube)(0:57:12)

AWS Certificate Manager サービス概要

AWS Certificate Manager ドキュメント

AWS Certificate Manager よくある質問

AWS Certificate Manager の料金

リージョナルサービスであること

ACM はリージョンごとのサービスであるということを意識する必要があります。
他の AWS サービスで利用する場合は、リージョンの関係を意識しないといけません。

特に、CloudFront で利用する場合は、バージニア北部リージョン で証明書を発行する必要があります。

サポートされるリージョン

Amazon CloudFront で ACM 証明書を使用するには、米国東部 (バージニア北部) リージョン の証明書をリクエスト (またはインポート) していることを確認します。

ALB に使用する場合は、ALB のリージョンで発行します。

Elastic Load Balancing で証明書を使用するには...(略)...リージョンごとに証明書の各ドメイン名を取得する必要があることを意味します。リージョン間で証明書をコピーすることはできません。

使用可能なサービス

Elastic Load Balancing、CloudFront、Cognito、Elastic Beanstalk、App Runner、API Gateway、CloudFormation などで利用できます。

詳細は、サービスと AWS Certificate Manager の統合 を参照します。

パブリック証明書とプライベート証明書

FAQ の Q: パブリック証明書とプライベート証明書の違いは何ですか? に記載があります。

パブリック証明書は厳しい審査をクリアしているパブリック認証局から発行しているのに対し、プライベート証明書は審査を受けていない認証局から発行するもので、ざっくりいうと、インターネットからアクセスするようなサービスの場合は、パブリック証明書で、組織内などのプライベートネットワークの場合は、プライベート証明書という使い分けです。

パブリック証明書とプライベート証明書は有効期限が近づくと、自動更新されます。

インポートされた証明書

サードパーティーの証明書を使う場合はインポートすることで、CloudFront、ELB、API Gateway で利用することができます。
ただし、自動更新は行われないため、証明書が切れる前に手動でインポートする必要があります。
自動更新は行われませんが、ACM CloudWatch メトリクスで証明書の有効期限を監視することはできます。

DaysToExpiry は証明書が切れるまでの残り日数になっているので、このように減少していきます。

📖 まとめ