CloudFront で SSL/TLS 証明書を使用する場合のクォータ (ビューワーと CloudFront との間の HTTPS のみ) - Amazon CloudFront

CloudFront で SSL/TLS 証明書を使用する場合のクォータ (ビューワーと CloudFront との間の HTTPS のみ)

CloudFront で SSL/TLS 証明書を使用する場合は、以下のクォータに注意してください。これらのクォータは、AWS Certificate Manager (ACM) を使ってプロビジョニングした SSL/TLS 証明書や、ビューワーと CloudFront との間の HTTPS 通信のために ACM にインポートしたか IAM 証明書ストアにアップロードした SSL/TLS 証明書にのみ適用されます。

詳細については、「SSL/TLS 証明書のクォータを引き上げる」を参照してください。

CloudFront ディストリビューションあたりの証明書の最大数

各 CloudFront ディストリビューションに関連付けることができる SSL/TLS 証明書は最大 1 個です。

ACM へのインポートまたは IAM 証明書ストアへのアップロードが可能な証明書の最大数

サードパーティー認証機関から SSL/TLS 証明書を取得した場合、次のいずれかの場所に証明書を保存する必要があります。

  • AWS Certificate Manager - ACM 証明書数に対する現在のクォータについては、AWS Certificate Manager ユーザーガイドの「クォータ」を参照してください。一覧表示されているクォータは、ACM を使用してプロビジョニングした証明書や ACM にインポートした証明書を含む合計です。

  • IAM 証明書ストア – AWS アカウントの IAM 証明書ストアにアップロードできる証明書の数の現在のクォータ (以前は制限と呼ばれていました) については、IAM ユーザーガイドの「IAM および STS の制限」を参照してください。クォータの引き上げは、Service Quotas コンソールでリクエストできます。

AWS アカウントごとの証明書の最大数 (専用 IP アドレスのみ)

専用 IP アドレスを使用して HTTPS リクエストを供給する場合は、以下の点に注意してください。

  • デフォルトの場合、CloudFront では 1 つの AWS アカウントで 2 つの証明書を使用する許可が与えられます。1 つは日常的に使用する証明書で、もう 1 つは複数のディストリビューションで証明書を更新する必要がある場合の証明書です。

  • 単一の AWS アカウントに複数のカスタム SSL/TLS 証明書が必要な場合は、Service Quotas コンソールでクォータの引き上げをリクエストできます。

複数の異なる AWS アカウントを使用して作成した CloudFront ディストリビューションに同じ証明書を使用する

サードパーティーの認証機関を使用しており、異なる AWS アカウントを使用して作成した複数の CloudFront ディストリビューションで同じ証明書を使用する場合は、AWS アカウントごとに証明書を ACM にインポートするか、IAM 証明書ストアにアップロードする必要があります。

ACM から提供される証明書を使用している場合、別の AWS アカウントで作成された証明書が CloudFront で使用されるように設定することはできません。

CloudFront と AWS の他のサービスに同じ証明書を使用する

信頼された認証機関 (Comodo、DigiCert、Symantec など) から証明書を購入した場合、CloudFront や他の AWS のサービスで同じ証明書を使用できます。ACM に証明書をインポートする場合、一度インポートするだけで複数の AWS サービスで使用できます。

ACM が提供した証明書を使用している場合、証明書は ACM に格納されています。

複数の CloudFront ディストリビューションに同じ証明書を使用する

HTTPS リクエストに対応するために使用している一部またはすべての CloudFront ディストリビューションで同じ証明書を使用できます。次の点に注意してください。

  • 専用 IP アドレスを使用したリクエストの処理と SNI を使用したリクエストの処理の両方に同じ証明書を使用できます。

  • 各ディストリビューションに 1 個のみ証明書を関連付けることができます。

  • 各ディストリビューションには、証明書の共通名フィールドまたはサブジェクト代替名フィールドにも表示される 1 つ以上の代替ドメイン名を含める必要があります。

  • 専用 IP アドレスを使用して HTTPS リクエストを処理し、同じ AWS アカウントを使用してすべてのディストリビューションを作成した場合、すべてのディストリビューションで同じ証明書を使用することによりコストを大幅に削減できます。CloudFront での課金は、ディストリビューションごとではなく、証明書ごとに行われます。

    たとえば、同じ AWS アカウントを使用して 3 つのディストリビューションを作成し、3 つのディストリビューションすべてに対して同じ証明書を使用するとします。専用 IP アドレスの使用に対する 1 つの料金のみが発生します。

    ただし、専用 IP アドレスを使用して HTTPS リクエストを処理していて、同じ証明書を使用して異なる AWS アカウントに CloudFront ディストリビューションを作成している場合は、専用 IP アドレスを使用する料金が各アカウントに発生します。たとえば、3 つの異なる AWS アカウントを使用して 3 つのディストリビューションを作成し、3 つのすべてのディストリビューションに同じ証明書を使用する場合、専用 IP アドレスを使用するための料金全額が各アカウントに課金されます。