セキュリティ

AWS Certificate Manager

SSL/TLS 証明書のプロビジョニング、管理、自動更新を行うサービスで、CloudFront や ALB での HTTPS 化を無料の証明書で実現する

約 2 分で読めます

概要

AWS Certificate Manager (ACM) は、SSL/TLS 証明書の発行、管理、デプロイ、自動更新を提供するサービスです。ACM が発行するパブリック証明書は無料で、CloudFront、Elastic Load Balancing、API Gateway などの AWS サービスにワンクリックで関連付けできます。DNS 検証またはメール検証によるドメイン所有権の確認後、証明書が自動的に発行され、有効期限前に自動更新されるため、証明書の期限切れによるサービス障害を防止します。

証明書の発行フローと DNS 検証の仕組み

ACM でパブリック証明書を発行するには、まず対象のドメイン名 (例: example.com、*.example.com) を指定してリクエストを作成します。ドメインの所有権を証明するために DNS 検証またはメール検証を選択しますが、DNS 検証が強く推奨されます。DNS 検証では、ACM が指定する CNAME レコードをドメインの DNS に追加するだけで検証が完了し、このレコードが存在する限り証明書の自動更新も自動的に行われます。Route 53 を使用している場合は、ACM のコンソールからワンクリックで CNAME レコードを追加できます。メール検証はドメインの管理者メールアドレスに確認メールを送信する方式で、更新のたびにメール承認が必要になるため運用負荷が高くなります。ワイルドカード証明書 (*.example.com) を発行すれば、サブドメインごとに個別の証明書を管理する必要がなくなります。ACM が発行する証明書は Amazon Trust Services が認証局 (CA) として署名しており、主要なブラウザとオペレーティングシステムで信頼されています。Let's Encrypt も無料の証明書を提供していますが、ACM は AWS サービスとの統合と自動更新の信頼性で優位です。

AWS サービスへの証明書デプロイと自動更新の運用

ACM で発行した証明書は、CloudFront ディストリビューション、Application Load Balancer (ALB)、Network Load Balancer (NLB)、API Gateway のカスタムドメインに関連付けて使用します。CloudFront で使用する証明書は us-east-1 リージョンで発行する必要がある点は、よくある落とし穴です。ALB や NLB では証明書をリスナーに関連付け、HTTPS ターミネーションをロードバランサーで行う構成が標準です。1 つのリスナーに複数の証明書を関連付けることも可能で、SNI (Server Name Indication) により適切な証明書が自動選択されます。SSL 証明書の関連書籍 (Amazon) では、TLS の仕組みと証明書管理のベストプラクティスが解説されています。自動更新は証明書の有効期限の 60 日前から開始され、DNS 検証の CNAME レコードが正しく設定されていれば、人手の介入なしに更新が完了します。更新の成否は ACM のコンソールや EventBridge イベントで確認でき、更新失敗時にアラートを発報する仕組みを構築しておくことが推奨されます。

プライベート証明書と EC2 での証明書利用

ACM Private CA (Certificate Authority) を使うと、組織内部で使用するプライベート証明書を発行できます。マイクロサービス間の mTLS (相互 TLS) 認証、社内システムの HTTPS 化、IoT デバイスの証明書管理など、パブリック証明書では対応できないユースケースに対応します。プライベート CA の運用には月額料金が発生しますが、大量の証明書を一元管理できるメリットがあります。EC2 インスタンス上の Web サーバー (Nginx、Apache) で ACM の証明書を直接使用することはできません。EC2 で HTTPS を終端する場合は、ALB を前段に配置して ACM 証明書を ALB に関連付けるか、Nitro Enclaves 用の ACM 統合を利用する必要があります。CloudFormation での証明書管理では、AWS::CertificateManager::Certificate リソースで証明書を宣言的に定義できますが、DNS 検証の CNAME レコード作成は別途 Route 53 のリソースとして定義する必要があります。証明書の ARN をスタック間で共有する場合は、SSM Parameter Store にエクスポートしておくと、リージョンをまたいだ参照が容易になります。

共有するXB!

関連する用語

Amazon CloudFrontElastic Load BalancingAmazon API GatewayAmazon Route 53AWS KMS

関連するサービス

Amazon CloudFrontElastic Load BalancingAmazon API GatewayAmazon Route 53

関連する記事

Amazon Route 53 の DNS 設計 - ルーティングポリシーとヘルスチェックの実践エイリアスレコードと 7 種類のルーティングポリシーで高度なトラフィック制御を実現する。ヘルスチェックによるマルチリージョンフェイルオーバーの設計を紹介します。AWS Certificate Manager で自動化する SSL/TLS 証明書管理 - 発行からローテーションまでACM によるパブリック証明書の無料発行、DNS 検証、自動更新、ALB ・ CloudFront へのデプロイを解説します。AWS の Availability Zone 設計 - 物理的分離と障害隔離が生む信頼性の差AWS の AZ が物理的に独立したデータセンター群である設計思想を、Azure・GCP の可用性ゾーンと比較し、実際の障害事例から障害隔離の成熟度の違いを解説します。AWS のグローバルネットワークバックボーン - 専用海底ケーブルと 600 超の PoP が支える通信品質AWS が自社で敷設する海底ケーブル、専用ファイバーネットワーク、600 超のエッジロケーションによるグローバルネットワークの優位性を、GCP のプレミアムティアや Azure のネットワーク設計と比較します。AWS ネットワークサービスの深さ - VPC・Transit Gateway・PrivateLink が実現する企業ネットワーク設計AWS の VPC、Transit Gateway、PrivateLink、Direct Connect、Network Firewall を中心としたネットワークサービス群を、Azure VNet/ExpressRoute や GCP VPC/Cloud Interconnect と比較し、エンタープライズネットワーク設計における柔軟性の優位性を解説します。

内容が近い用語・記事

証明書管理と HTTPS 化 - AWS Certificate Manager による TLS 証明書の自動運用AWS Certificate Manager (ACM) を使った TLS/SSL 証明書の発行・自動更新・デプロイを解説。CloudFront ・ ALB ・ API Gateway との統合、DNS 検証、プライベート CA の活用まで紹介します。AWS Certificate Manager で自動化する SSL/TLS 証明書管理 - 発行からローテーションまでACM によるパブリック証明書の無料発行、DNS 検証、自動更新、ALB ・ CloudFront へのデプロイを解説します。AWS Certificate ManagerSSL/TLS 証明書のプロビジョニング、管理、デプロイを自動化するサービスAWS Private CA で構築するプライベート PKI - 証明書の自動発行とローテーションプライベート認証局を構築し、内部サービス間の mTLS 証明書を自動発行する。証明書のライフサイクル管理と CRL の設計を紹介します。AWS Private Certificate Authorityプライベート証明書の発行・管理を行うマネージド認証局サービス