AWS Certificate Manager のアイコン

AWS Certificate Manager 基本

SSL/TLS 証明書のプロビジョニング・管理・更新を自動化するサービス

約 1 分で読めます

何ができるか

AWS Certificate Manager (ACM) は、SSL/TLS 証明書の発行・管理・自動更新を行うサービスです。ACM で発行したパブリック証明書は CloudFront、ELB、API Gateway などの AWS サービスに無料でデプロイできます。証明書の有効期限が近づくと自動的に更新されるため、証明書の期限切れによるサービス停止を防止できます。

どのような場面で使うか

Web サイトやアプリケーションの HTTPS 化、API Gateway のカスタムドメイン設定、CloudFront ディストリビューションへの SSL 証明書の適用などに利用されています。複数のドメインやサブドメインをまとめて管理する場合にも、ワイルドカード証明書の発行で効率的に対応できます。

身近な例え

不動産の登記手続きを代行してくれる司法書士に例えるとわかりやすいでしょう。Web サイトの身元を証明する証明書 (登記簿) の取得手続きを代行し、期限が来たら自動的に更新してくれます。自分で役所に行く手間がなくなり、うっかり期限切れになる心配もありません。

AWS Certificate Manager とは

AWS Certificate Manager (ACM) は、SSL/TLS 証明書のライフサイクルを一元管理するサービスです。SSL/TLS 証明書は Web サイトと利用者の間の通信を暗号化するために必要で、HTTPS 接続の基盤となります。従来は認証局から証明書を購入し、サーバーにインストールし、期限前に手動で更新する必要がありました。ACM はこれらの作業を自動化し、証明書管理の運用負荷を大幅に軽減します。

証明書の発行と検証

ACM でパブリック証明書を発行するには、ドメインの所有権を証明する検証が必要です。DNS 検証と E メール検証の 2 つの方法があり、DNS 検証が推奨されています。DNS 検証では ACM が指定する CNAME レコードをドメインの DNS に追加するだけで、以降の更新時にも自動的に検証が行われます。Route 53 を使用している場合は、コンソールからワンクリックで CNAME レコードを追加できます。ワイルドカード証明書 (*.example.com) も発行可能です。

自動更新と統合サービス

ACM で発行した証明書は有効期限の 60 日前から自動更新が試行されます。DNS 検証を使用していれば、人手を介さず更新が完了します。発行した証明書は CloudFront、Application Load Balancer、API Gateway、Elastic Beanstalk などに直接アタッチできます。なお、EC2 インスタンスに直接インストールすることはできないため、EC2 で SSL を終端する場合は前段に ALB を配置するか、別途証明書を用意する必要があります。

注意点

  • ACM で発行するパブリック証明書は無料だが、ACM にインポートした外部証明書や ACM Private CA で発行するプライベート証明書は有料
  • ACM 証明書は EC2 インスタンスに直接インストールできない。EC2 で使用する場合は ALB や CloudFront を前段に配置する
  • CloudFront で使用する証明書は us-east-1 リージョンで発行する必要がある。他のリージョンで発行した証明書は CloudFront にアタッチできない

この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。

同じカテゴリのサービス

IAM Access Analyzer のアイコン IAM Access Analyzer 専門 外部からアクセス可能なリソースと未使用のアクセス権限を検出するサービス AWS Certificate Manager のアイコン AWS Certificate Manager 専門 SSL/TLS 証明書のプロビジョニング、管理、デプロイを自動化するサービス AWS Artifact のアイコン AWS Artifact 専門 AWS のコンプライアンスレポートと契約書をオンデマンドで取得するサービス AWS Audit Manager のアイコン AWS Audit Manager 専門 コンプライアンス監査のエビデンス収集と評価を自動化するサービス AWS CloudHSM のアイコン AWS CloudHSM 専門 専用のハードウェアセキュリティモジュールで暗号鍵を管理するサービス Amazon Cognito のアイコン Amazon Cognito 人気 Web ・モバイルアプリケーションの認証・認可とユーザー管理を提供するサービス Amazon Detective のアイコン Amazon Detective 専門 セキュリティの検出結果を自動分析し、根本原因を調査するサービス AWS Directory Service のアイコン AWS Directory Service 専門 AWS でマネージド Active Directory を提供するサービス AWS Firewall Manager のアイコン AWS Firewall Manager 専門 AWS Organizations 全体のファイアウォールルールを一元管理するサービス Amazon GuardDuty のアイコン Amazon GuardDuty 人気 機械学習を活用した脅威検出サービス AWS IAM のアイコン AWS IAM 定番 AWS リソースへのアクセスを安全に管理するための認証・認可サービス AWS IAM Identity Center のアイコン AWS IAM Identity Center 人気 複数の AWS アカウントと SaaS アプリケーションへのシングルサインオンを提供するサービス Amazon Inspector のアイコン Amazon Inspector 人気 EC2 インスタンス、コンテナイメージ、Lambda 関数の脆弱性を自動スキャンするサービス AWS KMS のアイコン AWS KMS 定番 データの暗号化に使う鍵を安全に作成・管理できるマネージド暗号鍵サービス Amazon Macie のアイコン Amazon Macie 専門 S3 バケット内の機密データを機械学習で自動検出・保護するサービス AWS Network Firewall のアイコン AWS Network Firewall 専門 VPC のネットワークトラフィックをきめ細かく制御するマネージドファイアウォールサービス AWS Payment Cryptography のアイコン AWS Payment Cryptography 専門 決済処理に必要な暗号鍵の管理と暗号操作を提供するマネージドサービス AWS Private Certificate Authority のアイコン AWS Private Certificate Authority 専門 プライベート証明書の発行・管理を行うマネージド認証局サービス AWS Resource Access Manager のアイコン AWS Resource Access Manager 専門 AWS リソースを組織内の他のアカウントと安全に共有するサービス AWS Secrets Manager のアイコン AWS Secrets Manager 定番 データベースパスワードや API キーを安全に管理・自動ローテーションするサービス AWS Security Hub のアイコン AWS Security Hub 人気 AWS 環境のセキュリティ状態を一元管理し、ベストプラクティスへの準拠を自動チェックするサービス Amazon Security Lake のアイコン Amazon Security Lake 新サービス セキュリティデータを OCSF 形式で一元集約するデータレイクサービス AWS Shield のアイコン AWS Shield 専門 DDoS 攻撃からアプリケーションを保護するマネージドサービス AWS Signer のアイコン AWS Signer 専門 コードの署名と検証を行い、信頼されたコードのみがデプロイされることを保証するサービス AWS IAM Identity Center のアイコン AWS IAM Identity Center 基本 複数の AWS アカウントやビジネスアプリケーションへのシングルサインオンを提供するサービス Amazon Verified Permissions のアイコン Amazon Verified Permissions 新サービス Cedar ポリシー言語でアプリケーションの認可ロジックを外部化するサービス AWS WAF のアイコン AWS WAF 人気 Web アプリケーションを悪意のあるアクセスから保護するファイアウォールサービス