API Gateway でリージョン別の REST API または WebSocket API 用カスタムドメイン名を設定する
エッジ最適化 API エンドポイントを使用すると、リージョン別 API エンドポイント用にカスタムドメイン名を作成できます。リージョン別カスタムドメイン名をサポートするには、証明書を提供する必要があります。AWS Certificate Manager (ACM) 証明書を使用する場合は、リージョン固有のものである必要があります。ACM が利用可能なリージョンの場合は、リージョン固有の ACM 証明書を提供する必要があります。ACM がサポートされていないリージョンの場合は、リージョン別カスタムドメイン名を作成する際に、リージョン内の API Gateway に証明書をアップロードする必要があります。カスタムドメイン名の証明書を作成またはアップロードする方法の詳細については、「AWS Certificate Manager で証明書の準備をする」を参照してください。
重要
API Gateway リージョンのカスタムドメイン名については、API と同じリージョンで証明書を要求またはインポートする必要があります。
ACM 証明書でリージョン別カスタムドメイン名を作成または移行する際、アカウント内にすでにロールが存在していない場合、API Gateway はサービスにリンクされたロールをアカウント内に作成します。サービスにリンクされたロールは、ACM 証明書をリージョン別エンドポイントにアタッチするのに必要です。ロールの名前は AWSServiceRoleForAPIGateway です。また、管理ポリシーの APIGatewayServiceRolePolicy がアタッチされます。サービスにリンクされたロールの詳細な使用方法については、「サービスにリンクされたロールの使用」を参照してください。
重要
DNS レコードを作成し、カスタムドメイン名をこのリージョン別ドメイン名にポイントする必要があります。これにより、カスタムドメイン名にバインドされるトラフィックが、API のリージョン別ホスト名にルーティングされます。DNS レコードは、CNAME または A タイプになります。
トピック
API Gateway コンソールを使用した ACM 証明書付きリージョン別カスタムドメイン名の設定
API Gateway コンソールを使用してリージョンのカスタムドメイン名を設定するには、以下の手順を実行します。
API Gateway コンソールを使用してリージョンのカスタムドメイン名を設定する
-
API Gateway コンソールにサインインし、プライマリナビゲーションペインで [カスタムドメイン名] を選択します。
-
[カスタムドメイン名] 一覧で、[ +Create New Custom Domain Name (+新しいカスタムドメイン名の作成)] を選択します。
-
[新しいカスタムドメイン名] で、
-
[HTTP] または [WebSocket] のどちらかの API プロトコルを選択します。
-
[ドメイン名] で、[ドメイン名] にカスタムドメイン名 (
my-api.example.comなど) を入力します。
-
-
[Security Policy (セキュリティポリシー)] で、使用する Transport Layer Security (TLS) の最小バージョンを選択します。
-
[Endpoint Configuration (エンドポイント設定)] で、[Regional (リージョン別)] を選択します。
-
[ACM Certificate (ACM 証明書)] ドロップダウンリストから証明書を選択します。証明書は、API がデプロイされているのと同じリージョンからのものである必要があります。
-
このカスタムドメイン名を使用する API を作成してデプロイしている場合は、[マッピングの追加] を選択し、[パス] にカスタムドメイン名の基本パスを入力します。続いて、[送信先] で [API] ドロップダウンリストから API を選択した後、[ステージ] ドロップダウンリストからステージを選択します。別の基本パスマッピングを追加するには、この手順を繰り返します。カスタムドメイン名が作成されたらマッピングするベースパスも設定できます。詳細については、「ホスト名としてカスタムドメイン名で API のベースパスマッピングを設定する」を参照してください。
-
[Save] を選択します。
-
「トラフィックを API Gateway にルーティングするための Route 53 の設定」の Route 53 ドキュメントに従います。
AWS CLI で ACM 証明書を使用してリージョン別カスタムドメイン名を設定する
AWS CLI を使用してリージョン別 API のカスタムドメイン名をセットアップするには、次の手順を実行します。
-
create-domain-nameタイプのカスタムドメイン名とリージョンの証明書の ARN を指定するREGIONALを呼び出します。aws apigateway create-domain-name \ --domain-name 'regional.example.com' \ --endpoint-configuration types=REGIONAL \ --regional-certificate-arn 'arn:aws:acm:us-west-2:123456789012:certificate/c19332f0-3be6-457f-a244-e03a423084e6'指定された証明書は
us-west-2リージョンのものであり、この例では基盤となる API も同じリージョンのものであることを前提としていることに注意してください。成功すると、この呼び出しは以下のような結果を返します。
{ "certificateUploadDate": "2017-10-13T23:02:54Z", "domainName": "regional.example.com", "endpointConfiguration": { "types": "REGIONAL" }, "regionalCertificateArn": "arn:aws:acm:us-west-2:123456789012:certificate/c19332f0-3be6-457f-a244-e03a423084e6", "regionalDomainName": "d-numh1z56v6.execute-api.us-west-2.amazonaws.com" }regionalDomainNameプロパティ値は、リージョン別 API のホスト名を返します。DNS レコードを作成し、カスタムドメイン名をこのリージョン別ドメイン名にポイントする必要があります。これにより、カスタムドメイン名にバインドされるトラフィックが、このリージョン別 API のホスト名にルーティングされます。 -
DNS レコードを作成し、カスタムドメイン名とリージョン別ドメイン名を関連付けます。これにより、カスタムドメイン名にバインドされるリクエストが、API のリージョン別ホスト名にルーティングされます。
-
基本パスマッピングを追加し、指定のカスタムドメイン名 (
0qzs2sy7bhなど) のデプロイステージ (testなど) で指定の API (regional.example.comなど) を公開します。aws apigateway create-base-path-mapping \ --domain-name 'regional.example.com' \ --base-path 'RegionalApiTest' \ --rest-api-id 0qzs2sy7bh \ --stage 'test'その結果、ステージにデプロイされる API のカスタムドメイン名を使用するベース URL は
https://regional.example.com/RegionalApiTestになります。 -
DNS レコードを設定して、リージョン別のカスタムドメイン名を指定されたホストゾーン ID のホスト名にマッピングします。まず、リージョン別ドメイン名の DNS レコードをセットアップするための設定を含む JSON ファイルを作成します。次の例に、カスタムドメイン名の作成時にプロビジョニングされたリージョン別のホスト名 (
A) にリージョン別のカスタムドメイン名 (regional.example.com) をマッピングする DNSd-numh1z56v6.execute-api.us-west-2.amazonaws.comレコードの作成方法を示します。DNSNameのHostedZoneIdプロパティとAliasTargetプロパティは、カスタムドメイン名のregionalDomainNameとregionalHostedZoneIdの値をそれぞれ示しています。また、リージョン別 Route 53 ホストゾーン ID は API Gateway のリージョンとエンドポイントで取得できます。{ "Changes": [ { "Action": "CREATE", "ResourceRecordSet": { "Name": "regional.example.com", "Type": "A", "AliasTarget": { "DNSName": "d-numh1z56v6.execute-api.us-west-2.amazonaws.com", "HostedZoneId": "Z2OJLYMUO9EFXC", "EvaluateTargetHealth": false } } } ] } -
次の CLI コマンドを実行します。
aws route53 change-resource-record-sets \ --hosted-zone-id{your-hosted-zone-id}\ --change-batch file://path/to/your/setup-dns-record.jsonここで
{your-hosted-zone-id}は、アカウントに設定された DNS レコードの Route 53 ホストゾーン ID です。change-batchパラメータ値は、フォルダ (path/to/your) 内の JSON ファイル (setup-dns-record.json) を指しています。
AWS CLI で ACM を使用せずにリージョンのカスタムドメイン名証明を設定する
AWS CLI を使用して、ACM を利用できないリージョンでリージョン別の API 用のカスタムドメイン名を設定するには、以下の手順に従って証明書を直接 API Gateway にアップロードする必要があります。
API Gateway にサーバー証明書をアップロードするには、証明書と対応するプライベートキーを発行する必要があります。証明書が自己署名されていない場合、証明書チェーンも提供する必要があります(自己署名証明書をアップロードするときに証明書チェーンは必要ありません)。 証明書をアップロードする前に、これらの項目がすべてあり、以下の条件を満たしていることを確認します。
-
証明書はアップロード時に有効である必要があります。有効期間の開始 (証明書の
NotBefore日付) 前、または有効期間の終了 (証明書のNotAfter日) 後に証明書をアップロードすることはできません。 -
プライベートキーは非暗号化される必要があります。パスワードやパスフレーズで保護されたプライベートキーをアップロードすることはできません。暗号化されたプライベートキーの復号のヘルプについては、「トラブルシューティング」を参照してください。
-
証明書、プライベートキー、および証明書チェーンはすべて PEM エンコードされる必要があります。これらの項目の PEM 形式への変換のヘルプについては、「トラブルシューティング」を参照してください。
-
以下の PEM ファイルを作成します。別のファイル名を使用する場合、
create-domain-nameコマンドでファイル名が一致するように変更する必要があります。-
PEM エンコード化された証明書を
Certificate.pemというファイルに保存します。 -
PEM エンコード化された証明書チェーンを
CertificateChain.pemというファイルに保存されます。 -
PEM エンコード化され、暗号化されていないプライベートキーを
PrivateKey.pemというファイルに保存します。
-
-
次のサンプルコマンドを使用するには、ファイル名を独自のファイル名に置き換え、
'regional.example.com cert'をアップロードした証明書の名前に置き換えます。1 つの連続した行にコマンドを入力します。次の例では、読みやすくするために改行とスペースを追加しています。aws apigateway create-domain-name --domain-name 'regional.example.com' --regional-certificate-name'regional.example.com cert'--certificate-body file://Certificate.pem--certificate-private-key file://PrivateKey.pem--certificate-chain file://CertificateChain.pem--endpoint-configuration types=REGIONAL成功すると、この呼び出しは以下のような結果を返します。
{ "certificateUploadDate": "2017-10-13T23:02:54Z", "domainName": "regional.example.com", "endpointConfiguration": { "types": "REGIONAL" }, "regionalCertificateArn": "arn:aws:apigateway:us-west-2:123456789012:certificate/c19332f0-3be6-457f-a244-e03a423084e6", "regionalDomainName": "d-numh1z56v6.execute-api.us-west-2.amazonaws.com" }regionalDomainNameプロパティ値は、リージョン別 API のホスト名を返します。DNS レコードを作成し、カスタムドメイン名をこのリージョン別ドメイン名にポイントする必要があります。これにより、カスタムドメイン名にバインドされるトラフィックが、このリージョン別 API のホスト名にルーティングされます。 -
基本パスマッピングを追加し、指定のカスタムドメイン名 (
0qzs2sy7bhなど) のデプロイステージ (testなど) で指定の API (regional.example.comなど) を公開します。aws apigateway create-base-path-mapping \ --domain-name 'regional.example.com' \ --base-path 'RegionalApiTest' \ --rest-api-id 0qzs2sy7bh \ --stage 'test'その結果、ステージにデプロイされる API のカスタムドメイン名を使用するベース URL は
https://regional.example.com/RegionalApiTestになります。 -
注記
このステップは、ドメインが Route 53 にホストされていることを前提としています。
DNS 履歴を設定して、リージョン別のカスタムドメイン名をターゲットドメイン名にマッピングします。まず、リージョン別ドメイン名の DNS レコードをセットアップするための設定を含む JSON ファイルを作成します。次の例に、カスタムドメイン名の作成時にプロビジョニングされたリージョン別のホスト名 (
A) にリージョン別のカスタムドメイン名 (regional.example.com) をマッピングする DNSd-numh1z56v6.execute-api.us-west-2.amazonaws.comレコードの作成方法を示します。AliasTargetのDNSNameおよびHostedZoneIdプロパティでは、API Gateway コンソール内にあるカスタムドメイン名のターゲットドメイン名およびホストされたゾーンの ID 値をそれぞれ決めることができます。また、リージョン別 Route 53 ホストゾーン ID は API Gateway のリージョンとエンドポイントで取得できます。{ "Changes": [ { "Action": "CREATE", "ResourceRecordSet": { "Name": "regional.example.com", "Type": "A", "AliasTarget": { "DNSName": "d-numh1z56v6.execute-api.us-west-2.amazonaws.com", "HostedZoneId": "Z2OJLYMUO9EFXC", "EvaluateTargetHealth": false } } } ] } -
次の CLI コマンドを実行します。
aws route53 change-resource-record-sets \ --hosted-zone-id{your-hosted-zone-id}\ --change-batch file://path/to/your/setup-dns-record.jsonここで
{your-hosted-zone-id}は、アカウントに設定された DNS レコードの Route 53 ホストゾーン ID です。change-batchパラメータ値は、フォルダ (path/to/your) 内の JSON ファイル (setup-dns-record.json) を指しています。
