【VPC外リージョンサービス】
ACM(AWS Certificate Manager)は、SSL/TLS証明書を無料で発行・更新・配布できるサービスです。ドメインの所有確認は、DNS検証またはEmail検証で行います。
パブリックCA(Certificate Authority:認証局)およびプライベートCAの両方に対応しており、ALB(Application Load Balancer)、CloudFront、API Gatewayなどで容易にHTTPS化を実現できます。
証明書は自動更新されるため、運用負荷の軽減と失効リスクの低減が可能です。鍵の安全な管理はAWS側で実施されるため、セキュリティと利便性を両立しています。
ALBやCloudFrontなどで複数ドメインを扱う場合は、SNI(Server Name Indication) に対応しており、1つのロードバランサーで複数証明書を柔軟に利用できます。
ACM Private CAを利用することで、内部システム向け証明書の階層的な管理も行えます。
重要用語
関連サービス
ユースケース
| HTTPS用サーバー証明書の自動管理 | ALBやCloudFront、API Gatewayなどに割り当てるSSL/TLSサーバー証明書をACMで発行・更新し、ブラウザとのHTTPS通信を安全に行う。 |
| 独自ドメインの証明書管理 | example.com や api.example.com などの独自ドメイン向け証明書をACMで一元管理し、有効期限切れリスクを低減する。 |
| クライアント証明書を使った相互TLS認証 | 特定クライアントだけにアクセスさせたいAPIなどで、ACM発行のクライアント証明書を使いmTLS(相互TLS)認証を実装する。 |
ベストプラクティス
| 証明書の自動更新利用 | ACM発行の証明書をALBやCloudFrontで利用し、更新作業を自動化する。 |
| ドメイン検証の一元管理 | DNS検証をRoute 53で行い、複数証明書の管理を簡素化する。 |
| プライベートCAの検討 | 社内システム向けにはACM PCAでプライベート証明書を発行する。 |
高可用性・バックアップ・リトライ
| 高可用性・バックアップ・リトライ設計のポイント |
|---|
| 【デフォルト】AWS内部で冗長化 ・証明書メタデータ ・証明書プライベートキー ・証明書発行・管理サービス ・証明書配布システム ・ACM Private CA |
セキュリティ
| 関連サービス | 設定内容 |
|---|---|
| CloudTrail(操作履歴の記録・監査・追跡) | 【自動記録】 作成・更新・削除・設定変更は自動記録される。(コントロールプレーンAPI) データ操作は追跡できない(データプレーンAPI) |
| Config(リソースの構成状態・設定変更を記録) | 【Configが有効な場合】 証明書有効期限チェック・TLS設定の準拠評価 |
| GuardDuty(脅威を自動検出) | 【GuardDutyが有効な場合】 証明書削除・発行のAPI異常検知 |
ログ・監視
標準メトリクス
| メトリクス名 | 説明 |
|---|---|
| DaysToExpiry | 証明書有効期限までの日数 |
制限値(固定値/ハードリミット/ソフトリミット)
| 固定値 | 制限値 |
|---|---|
| 証明書の有効期限 | 13ヶ月(公的認証局) |
| インポートした証明書の有効期限 | 任意(手動管理) |
| ソフトリミット | 制限値 |
|---|---|
| 証明書数/リージョン | 2,500 |
| ドメイン名数/証明書 | 10 |
AWS CLIのサンプルコード
CloudFormationのサンプルコード
Terraformのサンプルコード
料金計算
| 課金項目 | 説明 |
|---|---|
| パブリック証明書 | ACMが発行するパブリック証明書は無料 |
| プライベート証明書 | Private CAで発行する証明書は有料 |