代替ドメイン名と HTTPS を設定する
ファイルの URL で代替ドメイン名を使用し、ビューワーと CloudFront との間で HTTPS を使用するには、該当する手順を実行します。
SSL/TLS 証明書を取得する
SSL/TLS 証明書を取得します (まだ取得していない場合)。詳細については、該当するドキュメントを参照してください。
-
AWS Certificate Manager (ACM) が提供する証明書を使用するには、AWS Certificate Manager ユーザーガイドを参照してください。その後、CloudFront ディストリビューションを更新するに進みます。
注記
ACM を使用して AWS が管理するリソースに SSL/TLS 証明書のプロビジョニング、管理、デプロイを行うことをお勧めします。米国東部 (バージニア北部) リージョンで ACM 証明書をリクエストする必要があります。
-
サードパーティー認証機関 (CA) から証明書を取得するには、認証機関から提供されたドキュメントを参照してください。証明書を取得した後、次の手順に進んでください。
SSL/TLS 証明書をインポートする
サードパーティー認証機関から証明書を取得した場合、証明書を ACM にインポートするか、IAM 証明書ストアにアップロードします。
- ACM (推奨)
-
ACM では、ACM コンソールから、またはプログラムによってサードパーティー証明書をインポートできます。ACM への証明書のインポートについては、AWS Certificate Manager ユーザーガイドの「AWS Certificate Manager への証明書のインポート」を参照してください。米国東部 (バージニア北部) リージョンで証明書をインポートする必要があります。
- IAM 証明書ストア
-
(非推奨) 次の AWS CLI コマンドを使用してサードパーティー証明書を IAM 証明書ストアにアップロードします。
aws iam upload-server-certificate \ --server-certificate-nameCertificateName\ --certificate-body file://public_key_certificate_file\ --private-key file://privatekey.pem\ --certificate-chain file://certificate_chain_file\ --path /cloudfront/path/次の点に注意してください。
-
AWS アカウント - 証明書は、CloudFront ディストリビューションを作成するために使用した AWS アカウントと同じアカウントを使用して IAM 証明書ストアにアップロードする必要があります。
-
--path パラメータ – 証明書を IAM にアップロードする場合、
--pathパラメータ (証明書のパス) の値が/cloudfront/で始まる必要があります (/cloudfront/production/、/cloudfront/test/など)。パスは / で終わる必要があります。 -
既存の証明書 –
--server-certificate-nameおよび--pathパラメータには、既存の証明書に関連付けられている値とは異なる値を指定する必要があります。 -
CloudFront コンソールの使用 –
--server-certificate-nameで AWS CLI パラメータに指定する値 (myServerCertificateなど) は、CloudFront コンソールの [SSL Certificate] (SSL 証明書) リストに表示されます。 -
CloudFront API の使用 – AWS CLI から返される英数字の文字列 (
AS1A2M3P4L5E67SIIXR3Jなど) を書き留めておきます。これは、IAMCertificateIdエレメントに指定する値です。CLI から返される IAM ARN を書き留めておく必要はありません。
AWS CLI の詳細については、AWS Command Line Interface ユーザーガイドおよび AWS CLI コマンドリファレンスを参照してください。
-
CloudFront ディストリビューションを更新する
ディストリビューションの設定を更新するには、以下の手順を実行します。
代替ドメイン名用に CloudFront ディストリビューションを構成するには
AWS Management Consoleにサインインし、https://console.aws.amazon.com/cloudfront/v4/home
で CloudFront コンソールを開きます。 -
更新するディストリビューションの ID を選択します。
-
[General] タブで、[Edit] を選択します。
-
以下の値を更新します。
- 代替ドメイン名 (CNAME)
-
[項目を追加] を選択して、該当する代替ドメイン名を追加します。ドメイン名をコンマで区切るか、新しい行にドメイン名を 1 つずつ入力します。
- カスタム SSL 証明書
-
ドロップダウンリストから証明書を選択します。
100 個までの証明書がここに一覧表示されます。100 個を超える証明書があり、追加する証明書が表示されない場合には、フィールドに証明書の ARN を入力して選択できます。
IAM 証明書ストアに証明書をアップロードしたが、一覧に表示されず、フィールドに入力しても選択できない場合には、「SSL/TLS 証明書をインポートする」の手順を参照して、証明書を正しくアップロードしたかを確認します。
重要
SSL/TLS 証明書を CloudFront ディストリビューションに関連付けたら、すべてのディストリビューションから証明書を削除してすべてのディストリビューションがデプロイ済みになるまでは、証明書を ACM または IAM 証明書ストアから削除しないでください。
-
[Save changes] (変更の保存) をクリックします。
-
ビューワーと CloudFront の間で HTTPS が必須になるよう CloudFront を設定する
-
[Behaviors (動作)] タブで、更新するキャッシュ動作を選択して、[Edit (編集)] を選択します。
-
[Viewer Protocol Policy] として次のいずれかの値を指定します。
- Redirect HTTP to HTTPS
-
ビューワーは両方のプロトコルを使用できますが、HTTP リクエストは自動的に HTTPS リクエストにリダイレクトされます。CloudFront は新しい HTTPS URL と一緒に HTTP ステータスコード
301 (Moved Permanently)を返します。ビューワーはこの HTTPS URL を使用して CloudFront にリクエストを再送信します。重要
CloudFront は、HTTP から HTTPS に
DELETE、OPTIONS、PATCH、POST、またはPUTリクエストをリダイレクトしません。HTTPS にリダイレクトするようにキャッシュ動作を設定した場合、CloudFront は HTTP ステータスコードDELETEを使用して、そのキャッシュ動作の HTTP リクエスト (OPTIONS、PATCH、POST、PUT、または403 (Forbidden)) に応答します。ビューワーが作成した HTTP リクエストが HTTPS リクエストにリダイレクトされた場合、CloudFront では両方のリクエストに対する課金が発生します。HTTP リクエストの場合は、リクエストの料金と、CloudFront がビューワーに返すヘッダーの料金のみが課金されます。HTTPS リクエストの場合、リクエストの料金と、ファイルが返すヘッダーとオブジェクトの料金が課金されます。
- HTTPS Only
-
ビューワーは、HTTPS を使用している場合にのみ、コンテンツにアクセスできます。ビューワーから HTTPS リクエストではなく HTTP リクエストが送信された場合、CloudFront は HTTP ステータスコード
403 (Forbidden)を返し、ファイルは返しません。
-
[Yes, Edit (はい、編集します)] を選択します。
-
ビューワーと CloudFront との間で HTTPS を必須にする追加のキャッシュ動作ごとに、ステップ a から c を繰り返します。
-
-
本番環境で更新された情報を使用する前に、次を確認してください。
-
ビューワーに HTTPS の使用が必要とされるリクエストにのみ、各キャッシュ動作のパスパターンが適用されている。
-
CloudFront が評価する順番にキャッシュ動作がリストされている。詳細については、「パスパターン」を参照してください。
-
キャッシュ動作は、リクエストを正しいオリジンにルーティングします。
-
