サービスと ACM の統合

AWS Certificate Manager は、増え続ける AWS サービスをサポートしています。ACM 証明書またはプライベート AWS Private CA 証明書を、 AWS ベースのウェブサイトまたはアプリケーションに直接インストールすることはできません。

注記

パブリック ACM 証明書は、Nitro Enclave に接続されている Amazon EC2 インスタンスにインストールできます。任意の Amazon EC2 インスタンスで使用する[export a public certificate] (パブリック証明書をエクスポート) することもできます。Nitro Enclave に接続されていない Amazon EC2 インスタンスでのスタンドアロンウェブサーバーのセットアップについては、「チュートリアル: Amazon Linux 2 に LAMP ウェブサーバーをインストールする」または「チュートリアル: Amazon Linux AMI を使用した LAMP ウェブサーバーのインストール」を参照してください。

ACM 証明書は、次のサービスでサポートされています。

ELB

ELB は、受信アプリケーショントラフィックを複数の Amazon EC2 インスタンスに自動的に分散します。Elastic Load Balancing は問題のあるインスタンスを検出し、その問題のあるインスタンスが復旧するまで、自動的にトラフィック経路を正常なインスタンスに変更します。ELB は、受信トラフィックに応じてリクエスト処理容量を自動的にスケーリングします。ロードバランシングの詳細については、「Elastic Load Balancing ユーザーガイド」を参照してください。

通常の場合、SSL/TLS 経由で安全なコンテンツを供給するために、ロードバランサーまたはバックエンド Amazon EC2 インスタンスのどちらかに SSL/TLS 証明書がインストールされていることがロードバランサーより要求されます。ACM は ELB と統合され、ロードバランサーに ACM 証明書をデプロイします。詳細については、「Application Load Balancer の作成」を参照してください。

Amazon CloudFront

Amazon CloudFront は、エッジロケーションのワールドワイドネットワークからコンテンツを配信することで、動的および静的なウェブコンテンツをエンドユーザーに高速で配信できるウェブサービスです。エンドユーザーが CloudFront を通じて提供しているコンテンツを要求すると、ユーザーは最も遅延が少ないエッジロケーションにルーティングされます。これにより、可能な限り最良のパフォーマンスでコンテンツが配信されます。コンテンツがこのエッジロケーションに現在存在する場合、CloudFront はコンテンツを直ちに配信します。コンテンツがこのエッジロケーションに現在存在しない場合、CloudFront は最終的なコンテンツソースとして識別する Amazon S3 バケットまたはウェブサーバーからそのコンテンツを取得します。CloudFront の詳細については、Amazon CloudFront デベロッパーガイドを参照してください。

SSL/TLS 経由で安全なコンテンツを供給するために、CloudFront ディストリビューションまたはバックエンドコンテンツソースのどちらかに SSL/TLS 証明書がインストールされていることが CloudFront より要求されます。ACM は CloudFront と統合され、CloudFront ディストリビューションに ACM 証明書をデプロイします。詳細については、「SSL/TLS 証明書を取得する」を参照してください。

注記

CloudFront で ACM 証明書を使用するには、米国東部 (バージニア北部) リージョンの証明書をリクエスト (またはインポート) している必要があります。

アマゾン エラスティックKubernetesサービス

Amazon Elastic Kubernetes Service は、独自の Kubernetes コントロールプレーンをインストール、運用、保守 AWS することなく、 で Kubernetes を簡単に実行できるようにするマネージド Kubernetes サービスです。Amazon EKS の詳細については、「Amazon Elastic Kubernetes Service ユーザーガイド」を参照してください。

AWS Controllers for Kubernetes (ACK) で ACM を使用して、Kubernetes ワークロードに TLS 証明書を発行およびエクスポートできます。この統合により、Amazon EKS ポッドを保護し、Kubernetes Ingress または AWS ロードバランサーで TLS を終了できます。ACM は証明書を自動的に更新し、ACK コントローラーは更新された証明書で Kubernetes シークレットを更新します。詳細については、「ACM 証明書を使用して Kubernetes ワークロードを保護する」を参照してください。

Amazon Cognito

Amazon Cognito は、ウェブおよびモバイルアプリの認証、認可、およびユーザー管理を提供します。ユーザーは、 AWS アカウント 認証情報を使用して直接サインインすることも、Facebook、Amazon、Google、Apple などのサードパーティーを通じてサインインすることもできます。Amazon Cognito の詳細については、「Amazon Cognito デベロッパーガイド」を参照してください。

Cognito ユーザープールを設定して Amazon CloudFront プロキシを使用する場合、CloudFront により、カスタムドメインを保護するために ACM 証明書が配置される可能性があります。この場合には、証明書を削除する前に、この証明書の CloudFront との関連を削除する必要があることに注意してください。

AWS Elastic Beanstalk

Elastic Beanstalk は、これらのアプリケーションを実行するインフラストラクチャを気にすることなく、 AWS クラウドでのアプリケーションのデプロイと管理に役立ちます。 は、管理の複雑さ AWS Elastic Beanstalk を軽減します。アプリケーションをアップロードするだけで、Elastic Beanstalk は容量のプロビジョニング、ロードバランシング、スケーリング、および正常性モニタリングといった詳細を自動的に処理します。Elastic Beanstalk は、Elastic Load Balancing サービスを使用してロードバランサーを作成します Elastic Beanstalk の詳細については、「AWS Elastic Beanstalk Elastic Beanstalk 開発者ガイド」を参照してください。

証明書を選択するには、Elastic Beanstalk コンソールでアプリケーションのロードバランサーを設定する必要があります。詳細については、「HTTPS を復号するために Elastic Beanstalk 環境のロードバランサーを設定する」を参照してください。

AWS App Runner

App Runner は、ソースコードまたはコンテナイメージから AWS クラウド内のスケーラブルで安全なウェブアプリケーションに直接デプロイするための、高速でシンプルで費用対効果の高い方法を提供する AWS サービスです。新しいテクノロジーを学習したり、使用するコンピューティングサービスを決定したり、 AWS リソースをプロビジョニングして設定する方法を知っている必要はありません。App Runner の詳細については、「AWS App Runner デベロッパーガイド」を参照してください。

カスタムドメイン名を App Runner サービスに関連付けると、App Runner はドメインの有効性を追跡する証明書を内部で作成します。それらは ACM に保存されます。App Runner は、ドメインがサービスから関連付け解除された後、またはサービスが削除された後 7 日間これらの証明書を削除しません。このプロセス全体が自動化されているため、証明書を自分で追加または管理する必要はありません。詳細については、「AWS App Runner デベロッパーガイドの App Runner サービスのカスタムドメイン名の管理」を参照してください。

Amazon API Gateway

モバイルデバイスの増加と IoT (モノのインターネット) の成長とともに、データにアクセスしたり、 AWS上のバックエンドシステムとやり取りしたりするために API を作成するケースがますます増えてきています。API Gateway を利用すると、API を発行、管理、監視、保護できます。API を API Gateway にデプロイした後、カスタムドメイン名を設定すると、API に簡単にアクセスできます。カスタムドメイン名を設定するには、SSL/TLS 証明書を提供する必要があります。証明書を生成またはインポートするには、ACM を使用できます。Amazon API Gateway の詳細については、「Amazon API Gateway デベロッパーガイド」を参照してください。

AWS Nitro Enclaves

AWS Nitro Enclaves は、Amazon EC2 インスタンスから enclaves と呼ばれる分離された実行環境を作成できる Amazon EC2 機能です。Enclaves は、分離された、強化された、制約の厳しい仮想マシンです。親インスタンスとのセキュアなローカルソケット接続のみを提供します。永続的ストレージ、対話型アクセス、外部ネットワークはありません。ユーザーはエンクレーブに SSH 接続できません。また、エンクレーブ内のデータとアプリケーションには、親インスタンスのプロセス、アプリケーション、またはユーザー（ルートまたは管理者を含む）からアクセスできません。

Nitro Enclaves に接続されている EC2 インスタンスは、ACM 証明書をサポートします。詳細については、「Nitro Enclaves AWS Certificate Manager」を参照してください。

注記

Nitro Enclave に接続されていない EC2 インスタンスに ACM 証明書を関連付けることはできません。

AWS CloudFormation

CloudFormation は、Amazon Web Services リソースのモデル化とセットアップに役立ちます。ELB や API Gateway など、使用する AWS リソースを記述するテンプレートを作成します。次に、 CloudFormation はプロビジョニングとそのためのリソースの設定を行います。 AWS リソースを個別に作成して設定し、何が何に依存しているかを把握する必要はありません。 はこれらをすべて CloudFormation 処理します。ACM 証明書はテンプレートリソースとして含まれています。つまり、 CloudFormation は サービスで使用できる AWS ACM 証明書をリクエストして、安全な接続を有効にできます。さらに、ACM 証明書は、設定できる多くの AWS リソースに含まれています CloudFormation。

CloudFormation に関する一般的な情報については、CloudFormation ユーザーガイド を参照してください。CloudFormation でサポートされている ACM リソースの詳細については、「AWS::CertificateManager::Certificate」を参照してください。

が提供する強力な自動化により CloudFormation、特に新しい AWS アカウントでは、証明書のクォータを簡単に超えることができます。ACM のベストプラクティスに従うことをお勧めします CloudFormation。

注記

を使用して ACM 証明書を作成すると CloudFormation、 CloudFormation スタックは CREATE_IN_PROGRESS 状態のままになります。それ以上のスタック操作は、証明書の検証 E メールの指示に従うまで延期されます。詳細については、「スタックの作成、更新、または削除オペレーションの際、リソースが安定しない」を参照してください。

AWS Amplify

Amplify は、フロントエンドのウェブデベロッパーやモバイルデベロッパーがフルスタックアプリケーションを迅速かつ簡単に構築できるようにする、専用のツールと機能のセットです AWS。Amplify は、Amplify Hosting と Amplify Studio の 2 つのサービスを提供します。Amplify Hosting は、継続的なデプロイメントでフルスタックのサーバーレスウェブアプリケーションをホストするための git ベースのワークフローを提供します。Amplify Studio は、スケーラブルなフルスタックのウェブおよびモバイルアプリの作成を簡素化するビジュアル開発環境です。Studio を使用して、すぐに使用できる一連の UI コンポーネントを使用してフロントエンド UI を構築し、アプリのバックエンドを作成し、2 つを接続します。Amplify の詳しい情報については、AWS Amplify ユーザーガイドを参照してください。

カスタムドメインをアプリケーションに接続すると、Amplify コンソールは ACM 証明書を発行してセキュリティを確保します。

Amazon OpenSearch Service

Amazon OpenSearch Service はログ分析、リアルタイムのアプリケーションモニタリング、クリックストリーム分析などのユースケース向けの検索および分析エンジンです。詳細については、「Amazon OpenSearch Service 開発者ガイド」を参照してください。

カスタムドメインとエンドポイントを含む OpenSearch Service クラスターを作成する場合、ACM を使用して、関連付けられた Application Load Balancer に証明書をプロビジョニングできます。

AWS Network Firewall

AWS Network Firewall は、すべての Amazon Virtual Private Cloud (VPCs。Network Firewall の詳細については、AWS Network Firewall デベロッパーガイドをご参照ください。

Network Firewall ファイアウォールは、TLS 検査のために ACM と統合されます。Network Firewall で TLS 検査を使用する場合は、ファイアウォールを通過する SSL/TLS トラフィックの復号化および再暗号化に ACM 証明書を設定する必要があります。Network Firewall と ACM for TLS インスペクションの動作については、「AWS Network Firewall デベロッパーガイド」の「 TLS インスペクション構成で SSL/TLS 証明書を使用するための条件」を参照してください。