コンテンツにスキップ

AWS Certificate Manager (ACM)

1. サービス概要

AWS Certificate Manager (ACM) は、AWS のサービスおよびプライベートネットワークで使用する SSL/TLS 証明書のプロビジョニング、管理、デプロイを容易にするサービスである。
ユーザーは、証明書の取得、更新、管理を自動化し、アプリケーションのセキュリティを強化できる。
ACM は、証明書のライフサイクル全体を管理し、手動での証明書管理に伴う複雑さを軽減する。

主なユースケースとして、

Web サイトの HTTPS 化 API Gateway の HTTPS エンドポイント設定 ロードバランサーの HTTPS リスナー設定 CloudFront ディストリビューションの HTTPS 設定 プライベート CA の運用

などが挙げられます。
AWS Certificate Manager は、これらのユースケースに対応するための様々な機能と、AWS の他のサービスとの統合を提供する。

2. 主な特徴と機能

2.1 パブリック SSL/TLS 証明書

ACM は、AWS のサービス(ELB, CloudFront, API Gateway など)で使用するパブリック SSL/TLS 証明書を無料でプロビジョニング、管理できる。
証明書の取得、更新、デプロイを自動化し、手動での作業を削減できる。

2.2 プライベート SSL/TLS 証明書

AWS Private CA と連携して、プライベートネットワークで使用するプライベート SSL/TLS 証明書を発行できる。
これにより、企業内のシステムやアプリケーション間の通信を安全に保護できる。

2.3 自動更新

ACM は、パブリック SSL/TLS 証明書の更新を自動的に行います。
これにより、証明書の有効期限切れによるサービスの停止を防ぎ、証明書の管理負担を軽減できる。

2.4 証明書のインポート

他の認証局で取得した SSL/TLS 証明書を ACM にインポートして利用できる。
これにより、既存の証明書を AWS 環境で再利用できる。

2.5 証明書のデプロイ

ACM でプロビジョニングした証明書を、ロードバランサー、CloudFront ディストリビューション、API Gateway などの AWS サービスに簡単にデプロイできる。
証明書のデプロイは、数クリックで完了する。

2.6 検証方法

ACM は、DNS 検証とメール検証という 2 つの証明書検証方法をサポートしている。
DNS 検証は、CNAME レコードを追加することで証明書を検証する方法であり、メール検証は、指定したメールアドレスに送信されるメールを確認することで証明書を検証する方法である。

2.7 統合性と拡張性

AWS ACM は、Elastic Load Balancer (ELB), Amazon CloudFront, Amazon API Gateway, AWS Elastic Beanstalk などの AWS の他のサービスと密接に統合されています。
また、API を利用して、証明書の管理を自動化することもできる。

3. アーキテクチャおよび技術要素

  1. ユーザーは、AWS マネジメントコンソールまたは API を通じて、ACM に証明書をリクエスト。
  2. ACM は、証明書をプロビジョニングし、ドメインの所有権を検証(DNS 検証またはメール検証)。
  3. ACM は、プロビジョニングした証明書を、ロードバランサー、CloudFront、API Gateway などの AWS サービスにデプロイ。
  4. 証明書は、自動的に更新され、可用性とセキュリティを確保。

AWS ACM は、AWS のインフラ上に構築されており、高い可用性と信頼性を提供する。
証明書のプロビジョニング、管理、デプロイは AWS が行うため、ユーザーは手動で証明書を管理する必要はありません。

4. セキュリティと認証・認可

AWS Certificate Manager は、証明書と鍵のセキュリティを確保するために、以下の機能を提供する:

  • IAM 統合: AWS Identity and Access Management (IAM) を利用して、ACM へのアクセスを制御する。
  • データ暗号化: 秘密鍵は、ハードウェアセキュリティモジュール(HSM)で保護され、暗号化される。
  • アクセス制御: IAM ポリシーを通じて、ユーザーやグループごとに、ACM の操作権限を詳細に制御できる。
  • 監査ログ: CloudTrail を通じて、ACM の利用状況を監査できる。

これらのセキュリティ対策により、証明書とその鍵を安全に保護し、アプリケーションのセキュリティを確保する。

5. 料金形態

AWS Certificate Manager (ACM) は、パブリック SSL/TLS 証明書のプロビジョニング、管理、デプロイを、無料で利用できる。

ただし、AWS Private CA を利用してプライベート SSL/TLS 証明書を発行する場合は、AWS Private CA の利用料金が発生する。

6. よくあるアーキテクチャ・設計パターン

AWS Certificate Manager は、様々なセキュリティ要件に対応するために利用できる。一般的なパターンは以下の通りです:

  • Web サイトの HTTPS 化: ロードバランサーや CloudFront と連携し、Web サイトを HTTPS で安全に提供。
  • API Gateway の HTTPS エンドポイント設定: API Gateway のエンドポイントを HTTPS で保護。
  • ロードバランサーの HTTPS リスナー設定: Elastic Load Balancer (ELB) の HTTPS リスナーを設定し、クライアントとの通信を暗号化。
  • CloudFront ディストリビューションの HTTPS 設定: CloudFront ディストリビューションを HTTPS で提供し、コンテンツ配信を保護。
  • プライベート CA の運用: AWS Private CA を利用し、企業内ネットワークで使用するプライベート証明書を発行。
  • コンテナアプリケーションの HTTPS 設定: ECS や EKS で動作するコンテナアプリケーションに HTTPS 証明書を提供。

7. 設定・デプロイ手順(ハンズオン例)

  1. AWS マネジメントコンソールから AWS Certificate Manager を開き、証明書をリクエスト。
  2. 証明書の検証方法(DNS 検証またはメール検証)を選択し、ドメインの所有権を検証。
  3. ACM でプロビジョニングされた証明書を、ロードバランサー、CloudFront、API Gateway などのサービスにデプロイ。
  4. 証明書のステータスを確認し、自動更新が有効であることを確認。

8. 試験で問われやすいポイント

8.1 パブリック SSL/TLS 証明書

  • 提供: AWS のサービスで使用するパブリック SSL/TLS 証明書。
  • 料金: 無料でプロビジョニング、管理が可能。
  • 試験対策: パブリック証明書の利用方法、料金が問われる。

8.2 プライベート SSL/TLS 証明書

  • 連携: AWS Private CA と連携。
  • 利用: プライベートネットワークで使用する証明書を発行。
  • 試験対策: プライベート証明書の利用方法、Private CA との連携が問われる。

8.3 自動更新

  • 機能: パブリック証明書の更新を自動的に行う。
  • 目的: 証明書の有効期限切れによるサービスの停止を防ぐ。
  • 試験対策: 自動更新のメリット、設定方法が問われる。

8.4 証明書のデプロイ

  • 対象: ロードバランサー、CloudFront、API Gateway など。
  • 方法: 数クリックで簡単にデプロイ可能。
  • 試験対策: 証明書のデプロイ先サービス、方法が問われる。

8.5 検証方法

  • 種類: DNS 検証、メール検証。
  • 利用: ドメインの所有権を検証。
  • 試験対策: 各検証方法の特徴、利用シーンが問われる。

8.6 料金体系

  • 料金: パブリック証明書は無料。
  • 関連料金: Private CA を利用する場合は、Private CA の利用料金が発生。
  • 試験対策: 料金体系、Private CA の料金が問われる。

8.7 類似・関連サービスとの比較

  • AWS IAM: AWS リソースへのアクセス制御サービス。ACM は証明書管理に特化。
  • AWS Private CA: プライベート証明書を発行するサービス。ACM は Private CA と連携可能。

8.8 試験で頻出となる具体的な問われ方と答え

  • Q: AWS Certificate Manager (ACM) は何を提供するサービスですか?
  • A: AWS のサービスおよびプライベートネットワークで使用する SSL/TLS 証明書のプロビジョニング、管理、デプロイを容易にするサービスである。
  • Q: AWS Certificate Manager でプロビジョニングできる SSL/TLS 証明書には、どのような種類があるか?
  • A: パブリック SSL/TLS 証明書とプライベート SSL/TLS 証明書の 2 種類がある。
  • Q: AWS Certificate Manager は、どのようにパブリック SSL/TLS 証明書を更新するか?
  • A: 証明書の更新を自動的に行います。
  • Q: AWS Certificate Manager で証明書をデプロイできる AWS サービスは何ですか?
  • A: ロードバランサー、CloudFront ディストリビューション、API Gateway などのサービスにデプロイできる。
  • Q: AWS Certificate Manager の料金体系は?
  • A: パブリック SSL/TLS 証明書のプロビジョニング、管理、デプロイは無料で利用できる。