Amazon CloudFront
開発者ガイド (API バージョン 2016-09-29)

CloudFront で SSL/TLS 証明書を使用することの制限 (ビューワーと CloudFront との間でのみ HTTPS)

CloudFront での SSL/TLS 証明書の使用に関して以下の制限があります。これらの制限は、AWS Certificate Manager (ACM) を使ってプロビジョニングした SSL/TLS 証明書、またはビューワーと CloudFront との間の HTTPS 通信のために ACM にインポートした、または IAM 証明書ストアにアップロードした SSL/TLS 証明書にのみ適用されます。

CloudFront ディストリビューションあたりの証明書の最大数

各 CloudFront ディストリビューションに関連付けることができる SSL/TLS 証明書は最大 1 個です。

ACM にインポート可能な、または IAM 証明書ストアにアップロード可能な証明書の最大数

サードパーティー認証機関から SSL/TLS 証明書を取得した場合、次のいずれかの場所に証明書を格納する必要があります。

  • AWS Certificate Manager – ACM 証明書の数に関する現在の制限については、AWS Certificate Manager ユーザーガイド制限を参照してください。一覧表示されている制限は、ACM を使用してプロビジョニングした証明書や ACM にインポートした証明書を含む合計です。

  • IAM 証明書ストア – AWS アカウントの IAM 証明書ストアにアップロードできる証明書の数の現在の制限については、IAM ユーザーガイドIAM エンティティとオブジェクトに関する制限を参照してください。制限の引き上げを要求するには、「IAM 制限の増加を要求する」を参照してください。

AWS アカウントごとの証明書の最大数 (専用 IP アドレスのみ)

専用 IP アドレスを使用して HTTPS リクエストを供給する場合は、以下の点に注意してください。

  • デフォルトの場合、CloudFront では 1 つの AWS アカウントで 2 つの証明書を使用する許可が与えられます。1 つは日常的に使用する証明書で、もう 1 つは複数のディストリビューションで証明書を更新する必要がある場合の証明書です。

  • この機能をすでに使用しており、AWS アカウントで使用できる独自 SSL/TLS 証明書の数を増やす必要がある場合は、サポートセンターにアクセスし、サポートケースを作成してください。使用するためのアクセス許可が必要な証明書の数と状況をリクエストに記載してください。AWS は可能な限り速やかにお客様のアカウントを更新します。

異なる AWS アカウントで作成された CloudFront ディストリビューションに同じ証明書を使用する

サードパーティーの認証機関を使用しており、異なる AWS アカウントを使用して作成した複数の CloudFront ディストリビューションで同じ証明書を使用する場合、AWS アカウントごとに証明書を ACM にインポートするか、IAM 証明書ストアにアップロードする必要があります。

ACM が提供する証明書を使用している場合、別の AWS アカウントで作成された証明書を CloudFront が使用するように設定することはできません。

CloudFront と他の AWS サービスで同じ証明書を使用する (IAM 証明書ストアのみ)

信頼された認証機関 (Comodo、DigiCert、Symantec など) から証明書を購入した場合、CloudFront や他の AWS のサービスで同じ証明書を使用できます。ACM に証明書をインポートする場合、1 度インポートするだけで複数の AWS サービスで使用できます。

ACM が提供した証明書を使用している場合、証明書は ACM に格納されています。

複数の CloudFront ディストリビューションでの同じ証明書の使用

HTTPS リクエストに対応するために使用している一部またはすべての CloudFront ディストリビューションで同じ証明書を使用できます。次の点に注意してください。

  • 専用 IP アドレスを使用したリクエストの処理と SNI を使用したリクエストの処理の両方に同じ証明書を使用できます。

  • 各ディストリビューションに 1 個のみ証明書を関連付けることができます。

  • 各ディストリビューションには、証明書の共通名フィールドまたはサブジェクト代替名フィールドにも表示される 1 つ以上の代替ドメイン名を含める必要があります。

  • 専用 IP アドレスを使用して HTTPS リクエストを処理し、同じ AWS アカウントを使用してすべてのディストリビューションを作成した場合、すべてのディストリビューションで同じ証明書を使用することによりコストを大幅に削減できます。CloudFront はディストリビューションごとではなく、証明書ごとに課金します。

    たとえば、同じ AWS アカウントを使用して 3 つのディストリビューションを作成し、3 つのディストリビューションすべてに対して同じ証明書を使用するとします。専用 IP アドレスの使用に対する 1 つの料金のみが発生します。

    ただし、専用 IP アドレスを使用して HTTPS リクエストを処理していて、同じ証明書を使用して異なる AWS アカウントに CloudFront ディストリビューションを作成している場合、専用 IP アドレスを使用する料金が各アカウントに発生しきます。たとえば、3 つの異なる AWS アカウントを使用して 3 つのディストリビューションを作成し、3 つのすべてのディストリビューションに同じ証明書を使用する場合、専用 IP アドレスを使用するための料金全額が各アカウントに課金されます。