AWS Certificate Manager (ACM)
Overview
AWS Certificate Managerは、HTTPS通信をするたに必要なSSL(Secure Sockets Layer)サーバー証明書をAWS自身が認証局となって発行するサービス。
SSLサーバー証明書が発行されると、SSL/TLS(Transport Layer Security)というデータを暗号化する規格を使用して通信が行われるようになるため、データの改ざんや盗聴、なりすまし・フィッシングを防ぐことができるようになり、通信の安全性が確保される。
また、ACMを利用すると、次のようなメリットがある。
- 証明書を無料で発行できる ACMを利用すると、Public SSL/TLS証明書を無料で発行することが可能。
- 有効期限を過ぎた証明書の自動更新(ACMの証明書の有効期限は13か月間) ACMによって発行された証明書は、自動的に更新される。これにより、手動での証明書更新の手間や証明書の有効期限切れによるサービスダウンを防ぐことができる。
- 証明書を一元管理 ACMの証明書は、Amazon CloudFront, Elastic Load Balancing, Amazon API Gateway, AWS CloudFormationなどのAWSサービスとシームレスに統合されて使用することが可能。
そして、ACMはRoute 53とは別のサービスです。しかし、ACMとRoute 53はよく連携して使用される。
たとえば、ACMで証明書を申請する際に、ドメインの所有権を証明するためにRoute 53のDNSレコードを利用することが可能。
また、Route 53で管理しているドメインに対して、ACMで取得したSSL/TLS証明書を簡単に関連付けることができる。
SSL証明書の種類
SSL証明書は認証局(Certificate Authority、CA)という組織によって管理されている。
認証には次の4種類がある。
- 自己証明 第三者機関による認証がなされていない、自身で電子署名をする認証。
- ドメイン認証(Domain Validation、DV) ドメインの使用権のみの認証
- 組織認証(Organization Validation、OV) ドメインの使用権に加え、認証局によって組織・企業の法的実在性が審査されたのち発行される認証
- 拡張認証(Extended Validation、EV) OVよりも厳格に審査が実施されたのち発行される認証 ACMで提供される認証はDVであり、企業が実在することを証明してもらうOVやEVのような認証レベルが高いものには対応していない点に留意しなければなりません。
ACM証明書がサポートされているサービス
ACMを利用して発行された証明書は次のサービスでサポートされている。
- ELB
- CloudFront
- API Gateway
- Cognito
- Elastic Beanstalk
- App Runner
- Nitro Enclaves
- CloudFormation
- Amplify
- OpenSearch Service