CloudFront で SSL/TLS 証明書を使用する場合のクォータ (ビューワーと CloudFront との間の HTTPS のみ) - Amazon CloudFront

CloudFront で SSL/TLS 証明書を使用する場合のクォータ (ビューワーと CloudFront との間の HTTPS のみ)

CloudFront で SSL/TLS 証明書を使用する場合は、以下のクォータに注意してください。これらのクォータは、ビューワーと CloudFront 間の HTTPS 通信のために AWS Certificate Manager (ACM) を使ってプロビジョニングした、ACM にインポートした、または IAM 証明書ストアにアップロードした SSL/TLS 証明書のみに適用されます。

詳細については、「SSL/TLS 証明書のクォータを引き上げる」を参照してください。

CloudFront ディストリビューションあたりの証明書の最大数

各 CloudFront ディストリビューションに関連付けることができる SSL/TLS 証明書は最大 1 個です。

ACM へのインポートまたは IAM 証明書ストアへのアップロードが可能な証明書の最大数

サードパーティー認証機関から SSL/TLS 証明書を取得した場合、次のいずれかの場所に証明書を保存する必要があります。

  • AWS Certificate Manager - ACM 証明書数に対する現在のクォータについては、AWS Certificate Manager ユーザーガイドの「クォータ」を参照してください。一覧表示されているクォータは、ACM を使用してプロビジョニングした証明書や ACM にインポートした証明書を含む合計です。

  • IAM 証明書ストア – AWS アカウントの IAM 証明書ストアにアップロードできる証明書の数の現在のクォータ (以前は制限と呼ばれていました) については、IAM ユーザーガイドの「IAM および STS の制限」を参照してください。クォータの引き上げは、Service Quotas コンソールでリクエストできます。

AWS アカウントごとの証明書の最大数 (専用 IP アドレスのみ)

専用 IP アドレスを使用して HTTPS リクエストを供給する場合は、以下の点に注意してください。

  • デフォルトで、CloudFront は AWS で 2 つの証明書を使用する許可を付与します。そのうちの 1 つは日常的に使用する証明書で、もう 1 つは複数のディストリビューションのために証明書のローテーションを実行する必要がある場合の証明書です。

  • 単一の AWS アカウントに複数のカスタム SSL/TLS 証明書が必要な場合は、Service Quotas コンソールでクォータの引き上げをリクエストできます。

複数の異なる AWS アカウントを使用して作成した CloudFront ディストリビューションに同じ証明書を使用する

サードパーティー CA を使用しており、異なる AWS アカウントを使用して作成された複数の CloudFront ディストリビューションで同じ証明書を使用する場合は、証明書を AWS アカウントごとに 1 回 ACM にインポートするか、IAM 証明書ストアにアップロードする必要があります。

ACM から提供される証明書を使用している場合、別の AWS アカウントで作成された証明書を使用するように CloudFront を設定することはできません。

CloudFront と AWS の他のサービスに同じ証明書を使用する

Comodo、DigiCert、または Symantec などの信頼できる認証機関から証明書を購入した場合、CloudFront と AWS の他のサービスに同じ証明書を使用できます。ACM に証明書をインポートする場合は、一度インポートするだけで複数の AWS のサービスに証明書を使用できます。

ACM が提供した証明書を使用している場合、証明書は ACM に格納されています。

複数の CloudFront ディストリビューションに同じ証明書を使用する

HTTPS リクエストに対応するために使用している一部またはすべての CloudFront ディストリビューションで同じ証明書を使用できます。次の点に注意してください。

  • 専用 IP アドレスを使用したリクエストの処理と SNI を使用したリクエストの処理の両方に同じ証明書を使用できます。

  • 各ディストリビューションに 1 個のみ証明書を関連付けることができます。

  • 各ディストリビューションには、証明書の共通名フィールドまたはサブジェクト代替名フィールドにも表示される 1 つ以上の代替ドメイン名を含める必要があります。

  • 専用 IP アドレスを使用して HTTPS リクエストを処理し、同じ AWS アカウントを使用してすべてのディストリビューションを作成した場合は、すべてのディストリビューションに同じ証明書を使用することによってコストを大幅に削減できます。CloudFront での課金は、ディストリビューションごとではなく、証明書ごとに行われます。

    例えば、同じ AWS アカウントを使用して 3 つのディストリビューションを作成し、3 つのディストリビューションすべてに対して同じ証明書を使用するとします。専用 IP アドレスの使用に対する 1 つの料金のみが発生します。

    ただし、専用 IP アドレスを使用して HTTPS リクエストを処理していて、異なる AWS アカウントでの CloudFront ディストリビューションの作成に同じ証明書を使用している場合は、各アカウントで専用 IP アドレスの使用に対する料金が発生します。例えば、3 つの異なる AWS アカウントを使用して 3 つのディストリビューションを作成し、3 つのすべてのディストリビューションに対して同じ証明書を使用する場合、専用 IP アドレスの使用に対する料金の全額が各アカウントに請求されます。