サービスと ACM の統合

AWS Certificate Manager はさまざまな AWS サービスをサポートしています。ACM 証明書またはプライベート AWS Private CA 証明書を AWS ベースのウェブサイトとアプリケーションに直接インストールすることはできません。

注記

パブリック ACM 証明書は、Nitro Enclave に接続されている Amazon EC2 インスタンスにインストールできますが、他の Amazon EC2 インスタンスにはインストールできません。Nitro Enclave に接続されていない Amazon EC2 インスタンスでのスタンドアロンウェブサーバーのセットアップについては、「チュートリアル: Amazon Linux 2 に LAMP ウェブサーバーをインストールする」または「チュートリアル: Amazon Linux AMI を使用した LAMP ウェブサーバーのインストール」を参照してください。

ACM 証明書は、次のサービスでサポートされています。

Elastic Load Balancing

Elastic Load Balancing は、受信したアプリケーショントラフィックを複数の Amazon EC2 インスタンスに自動的に分散します。Elastic Load Balancing は問題のあるインスタンスを検出し、その問題のあるインスタンスが復旧するまで、自動的にトラフィック経路を正常なインスタンスに変更します。Elastic Load Balancing は、着信トラフィックに応じて、自動的にそのリクエスト処理能力を拡張します。ロードバランシングの詳細については、「Elastic Load Balancing ユーザーガイド」を参照してください。

通常の場合、SSL/TLS 経由で安全なコンテンツを供給するために、ロードバランサーまたはバックエンド Amazon EC2 インスタンスのどちらかに SSL/TLS 証明書がインストールされていることがロードバランサーより要求されます。ACM は Elastic Load Balancing と統合して、ロードバランサーに証明書をデプロイします。詳細については、「Application Load Balancer の作成」を参照してください。

Amazon CloudFront

Amazon CloudFront は、エッジロケーションのワールドワイドネットワークからコンテンツを配信することで、動的および静的なウェブコンテンツをエンドユーザーに高速で配信できるウェブサービスです。エンドユーザーが CloudFront を通じて提供しているコンテンツを要求すると、ユーザーは最も遅延が少ないエッジロケーションにルーティングされます。これにより、可能な限り最良のパフォーマンスでコンテンツが配信されます。コンテンツがこのエッジロケーションに現在存在する場合、CloudFront はコンテンツを直ちに配信します。コンテンツがこのエッジロケーションに現在存在しない場合、CloudFront は最終的なコンテンツソースとして識別する Amazon S3 バケットまたはウェブサーバーからそのコンテンツを取得します。CloudFront の詳細については、Amazon CloudFront デベロッパーガイドを参照してください。

SSL/TLS 経由で安全なコンテンツを供給するために、CloudFront ディストリビューションまたはバックエンドコンテンツソースのどちらかに SSL/TLS 証明書がインストールされていることが CloudFront より要求されます。ACM は CloudFront と統合され、CloudFront ディストリビューションに ACM 証明書をデプロイします。詳細については、「SSL/TLS の証明書を取得する」を参照してください。

注記

CloudFront で ACM 証明書を使用するには、米国東部 (バージニア北部) リージョンの証明書をリクエスト (またはインポート) している必要があります。

Amazon Cognito

Amazon Cognito は、ウェブおよびモバイルアプリの認証、認可、およびユーザー管理を提供します。ユーザーは、AWS アカウント 認証情報を使用して直接、または Facebook、Amazon、Google、Apple などの第三者を介してサインインすることができます。Amazon Cognito の詳細については、「Amazon Cognito デベロッパーガイド」を参照してください。

Cognito ユーザープールを設定して Amazon CloudFront プロキシを使用する場合、CloudFront により、カスタムドメインを保護するために ACM 証明書が配置される可能性があります。この場合には、証明書を削除する前に、この証明書の CloudFront との関連を削除する必要があることに注意してください。

AWS Elastic Beanstalk

Elastic Beanstalk は、アプリケーションを実行するインフラストラクチャに関して頭を悩ます必要なく、このアプリケーションを AWS クラウドにデプロイして管理するために役立ちます。AWS Elastic Beanstalk は複雑な管理を軽減します。アプリケーションをアップロードするだけで、Elastic Beanstalk は容量のプロビジョニング、ロードバランシング、スケーリング、および正常性モニタリングといった詳細を自動的に処理します。Elastic Beanstalk は、Elastic Load Balancing サービスを使用してロードバランサーを作成します Elastic Beanstalk の詳細については、「AWS Elastic Beanstalk Elastic Beanstalk 開発者ガイド」を参照してください。

証明書を選択するには、Elastic Beanstalk コンソールでアプリケーションのロードバランサーを設定する必要があります。詳細については、「HTTPS を復号するために Elastic Beanstalk 環境のロードバランサーを設定する」を参照してください。

AWS App Runner

App Runner は、AWS クラウドで、ソースコードまたはコンテナイメージから、スケーラブルでセキュアなウェブアプリケーションに直接デプロイする、迅速、シンプル、費用対効果の高い方法を提供する AWS サービスです。新しいテクノロジーを学習したり、使用するコンピューティングサービスを決定したり、AWS リソースのプロビジョニングと構成方法を知ったりする必要はありません。App Runner の詳細については、「AWS App Runner デベロッパーガイド」を参照してください。

カスタムドメイン名を App Runner サービスに関連付けると、App Runner はドメインの有効性を追跡する証明書を内部で作成します。それらは ACM に保存されます。App Runner は、ドメインがサービスから関連付け解除された後、またはサービスが削除された後 7 日間これらの証明書を削除しません。このプロセス全体が自動化されているため、証明書を自分で追加または管理する必要はありません。詳細については、「AWS App Runner デベロッパーガイドの App Runner サービスのカスタムドメイン名の管理」を参照してください。

Amazon API Gateway

モバイルデバイスの増加と IoT (モノのインターネット) の成長とともに、データにアクセスしたり、AWS 上のバックエンドシステムとやり取りしたりするために API を作成するケースがますます増えてきています。API Gateway を利用すると、API を発行、管理、監視、保護できます。API を API Gateway にデプロイした後、カスタムドメイン名を設定すると、API に簡単にアクセスできます。カスタムドメイン名を設定するには、SSL/TLS 証明書を提供する必要があります。証明書を生成またはインポートするには、ACM を使用できます。Amazon API Gateway の詳細については、「Amazon API Gateway デベロッパーガイド」を参照してください。

AWS Nitro Enclaves

AWS Nitro Enclaves は Amazon EC2 の機能で、Amazon EC2 インスタンスから、エンクレーブと呼ばれる分離された実行環境を作成できます。Enclaves は、分離された、強化された、制約の厳しい仮想マシンです。親インスタンスとのセキュアなローカルソケット接続のみを提供します。永続的ストレージ、対話型アクセス、外部ネットワークはありません。ユーザーはエンクレーブに SSH 接続できません。また、エンクレーブ内のデータとアプリケーションには、親インスタンスのプロセス、アプリケーション、またはユーザー（ルートまたは管理者を含む）からアクセスできません。

Nitro Enclaves に接続されている EC2 インスタンスは、ACM 証明書をサポートします。詳細については、「Nitro Enclaves AWS Certificate Manager」を参照してください。

注記

Nitro Enclave に接続されていない EC2 インスタンスに ACM 証明書を関連付けることはできません。

AWS CloudFormation

AWS CloudFormation は、Amazon Web Services リソースのモデル化およびセットアップに役立ちます。使用したい AWS リソース (Elastic Load Balancing や API Gateway など) を説明するテンプレートを作成します。次に、AWS CloudFormation はプロビジョニングとそのためのリソースの設定を行います。AWS リソースを個別に作成、設計して、それぞれの依存関係を考える必要はありません。AWS CloudFormation がすべてを処理します。ACM 証明書はテンプレートリソースとして含まれています。つまり、AWS CloudFormation は AWS サービスで使用できる ACM 証明書を要求して、安全な接続を可能にします。さらに、AWS 証明書は、AWS CloudFormation で設定できる リソースの多くに含まれています。

CloudFormation に関する一般的な情報については、AWS CloudFormation ユーザーガイド を参照してください。CloudFormation でサポートされている ACM リソースの詳細については、「AWS::CertificateManager::Certificate」を参照してください。

AWS CloudFormation によって提供される強力な自動化により、特に新しい AWS アカウントで、証明書のクォータを超えるのが容易になります。ACM のベストプラクティスに従うことをおすすめします。AWS CloudFormation

注記

AWS CloudFormation で ACM 証明書を作成すると、 AWS CloudFormationスタックは CREATE_IN_PROGRESS 状態のままになります。それ以上のスタック操作は、証明書検証 E メールの指示に従うまで延期されます。詳細については、「スタックの作成、更新、または削除オペレーションの際、リソースが安定しない」を参照してください。

AWS Amplify

Amplify は、フロントエンドのウェブおよびモバイルデベロッパーが AWS で迅速かつ簡単にフルスタックアプリケーションを構築できるようにする専用のツールと機能のセットです。Amplify は、Amplify ホスティングと Amplify Studio の 2 つのサービスを提供します。Amplify Hosting は、継続的なデプロイメントでフルスタックのサーバーレスウェブアプリケーションをホストするための git ベースのワークフローを提供します。Amplify Studio は、スケーラブルなフルスタックのウェブおよびモバイルアプリの作成を簡素化するビジュアル開発環境です。Studio を使用して、すぐに使用できる一連の UI コンポーネントを使用してフロントエンド UI を構築し、アプリのバックエンドを作成し、2 つを接続します。Amplify の詳しい情報については、AWS Amplify ユーザーガイドを参照してください。

カスタムドメインをアプリケーションに接続すると、Amplify コンソールは ACM 証明書を発行してセキュリティを確保します。

Amazon OpenSearch Service

Amazon OpenSearch Service はログ分析、リアルタイムのアプリケーションモニタリング、クリックストリーム分析などのユースケース向けの検索および分析エンジンです。詳細については、「Amazon OpenSearch Service 開発者ガイド」を参照してください。

カスタムドメインとエンドポイントを含む OpenSearch Service クラスターを作成する場合、ACM を使用して、関連付けられた Application Load Balancer に証明書をプロビジョニングできます。

AWS Network Firewall

AWS Network Firewall は、すべてのAmazon 仮想プライベートクラウド (VPC)に不可欠なネットワーク保護を簡単に導入できる管理サービスです。Network Firewall の詳細については、AWS Network Firewall デベロッパーガイドをご参照ください。

Network Firewall ファイアウォールは、TLS 検査のために ACM と統合されます。Network Firewall で TLS 検査を使用する場合は、ファイアウォールを通過する SSL/TLS トラフィックの復号化および再暗号化に ACM 証明書を設定する必要があります。Network Firewall と ACM for TLS インスペクションの動作については、「デベロッパーガイド」の「AWS Network Firewall TLS インスペクション構成で SSL/TLS 証明書を使用するための条件」を参照してください。