セキュリティ – AWS Certificate Manager (ACM)

2024年11月10日

AWS Certificate Manager (ACM): SSL/TLS証明書の簡単で安全な管理

AWS Certificate Manager（ACM）は、AWSが提供するSSL/TLS証明書の管理サービスで、ウェブサイトやアプリケーションに対して安全な通信を提供するために使用されます。ACMは、証明書の発行、デプロイ、更新を自動化し、運用負担を軽減します。

概要

ACMは、SSL/TLS証明書を簡単に発行し、AWSの各種サービスにデプロイできるマネージドサービスです。証明書の自動更新により、セキュリティと可用性を保ちながら、証明書管理の負担を減らすことができます。特に、ウェブサイトやAPIのセキュリティ向上を目的に広く利用されています。

主な特徴

証明書の自動発行と管理
ACMは、証明書のリクエスト、発行、更新を自動化するため、複雑な証明書管理作業が不要です。
無料のSSL/TLS証明書
AWSのサービスで使用する場合、ACMを通じて発行されるSSL/TLS証明書は無料です。追加のコストをかけずにウェブサイトやアプリケーションのセキュリティを強化できます。
複数のAWSサービスと統合
ACMは、Elastic Load Balancing、Amazon CloudFront、Amazon API Gateway、AWS App RunnerなどのAWSサービスとシームレスに統合し、証明書のデプロイが簡単です。
Amazon CloudFrontでカスタムドメイン名を使用してHTTPS通信を行うには、SSL/TLS証明書が必要です。この証明書は、AWS Certificate Manager (ACM) を利用する場合、米国東部（バージニア北部）リージョン（us-east-1）で発行またはインポートする必要があります。これは、CloudFrontがACM証明書を使用する際、us-east-1リージョンで発行されたもののみをサポートしているためです。AWS ドキュメントただし、サードパーティの認証機関（CA）から取得した証明書を使用する場合は、us-east-1リージョンに限定されず、他のリージョンで発行された証明書でもCloudFrontで利用可能です。この場合、証明書はX.509 PEM形式で作成されている必要があります。AWS ドキュメント。ACMを利用する場合はus-east-1リージョンで証明書を発行する必要がありますが、サードパーティの証明書を使用する場合はリージョンに制限はありません。

構成要素

サービスとの統合
ACMは、複数のAWSサービスと統合することで、SSL/TLS証明書の管理とデプロイを簡素化しています。例えば、CloudFrontやALB（アプリケーションロードバランサー）と組み合わせて、Webアプリケーションの通信を暗号化します。各サービスに証明書を直接デプロイでき、迅速なセキュリティ強化が可能です。
ACMワイルドカード証明書
ACMはワイルドカード証明書をサポートしており、単一の証明書で複数のサブドメインをカバーすることができます。例えば、*.example.comというワイルドカード証明書を取得すると、app.example.comやwww.example.comなどのサブドメインにも対応可能です。ワイルドカード証明書を利用することで、サブドメイン管理が簡素化されます。

活用シナリオ

ウェブサイトやアプリケーションの暗号化
EC2やElastic Load Balancerと連携し、ユーザーのブラウザとWebサーバー間の通信を暗号化するために使用されます。これにより、ユーザーのデータ保護と信頼性が向上します。
APIセキュリティの強化
Amazon API GatewayやApp Runnerを使用する際、SSL/TLS証明書を簡単に設定することで、API通信の暗号化とセキュリティレベルの向上が可能です。
企業ドメイン全体での一括証明書管理
複数のサブドメインを利用する場合、ワイルドカード証明書を活用することで、証明書の一括管理と更新が容易になります。

設定手順

証明書のリクエスト
AWSマネジメントコンソールでACMにアクセスし、新しいSSL/TLS証明書をリクエストします。ドメインを指定し、ドメイン認証の方法（DNSまたはメール認証）を選択します。
ドメイン認証の実施
指定したドメインの所有権を確認するため、DNSまたはメールでの認証が必要です。DNS認証を選択した場合、DNSレコードを追加することで自動的に所有権が確認されます。
AWSサービスへの証明書のデプロイ
証明書が発行されたら、Elastic Load BalancerやCloudFrontなどのAWSサービスに証明書をデプロイします。各サービスのSSL設定でACM証明書を選択するだけで、暗号化通信が有効になります。
証明書の自動更新
ACMによる証明書は自動的に更新されるため、設定後に特別なメンテナンスは不要です。これにより、証明書の期限切れリスクを防ぎ、運用負担が軽減されます。

ソリューションアーキテクトとしてのポイント

AWSサービスとの組み合わせによる最適化: ACMは、AWSの他のサービスとシームレスに統合されるため、SSL/TLSの設定が容易です。特に、CloudFrontやALBを使用する場合にACMを導入することで、セキュリティとパフォーマンスの最適化が図れます。
ワイルドカード証明書の活用: 複数のサブドメインに対して証明書を発行する場合、ACMのワイルドカード証明書が有効です。これにより、ドメイン全体での証明書管理が簡素化され、運用負荷を軽減できます。
セキュリティ自動化の推進: ACMによる証明書の自動更新機能は、証明書管理の自動化とセキュリティ維持に役立ちます。特にミッションクリティカルなシステムで、更新忘れによるリスクを防ぐために有用です。
DNS認証による柔軟なドメイン管理: DNS認証を選択することで、サブドメインやワイルドカード証明書を使用する際の管理が効率化されます。DNSを利用している場合、ACMでの証明書設定が迅速に完了し、追加作業が少なく済みます。