AWS Certificate Manager エクスポート可能なパブリック証明書 - AWS Certificate Manager
利点ACM エクスポート可能なパブリック証明書の仕組みセキュリティに関する考慮事項制限料金ベストプラクティス

AWS Certificate Manager エクスポート可能なパブリック証明書

AWS Certificate Manager エクスポート可能なパブリック証明書を使用すると、Amazon EC2 インスタンス、コンテナ、オンプレミスホストなど、どこでも SSL/TLS 証明書をプロビジョニング、管理、デプロイできます。この機能は、ACM が発行したパブリック証明書を統合された AWS のサービス を超えて拡張し、インフラストラクチャ全体の証明書を一元的に制御できるようにします。

利点

ACM エクスポート可能なパブリック証明書の利点を以下に示します。

  • 証明書管理の簡素化: ACM を使用してすべてのリソースの証明書を一元管理します。

  • 証明書発行の高速化: 証明書に短時間でアクセスして使用します。

  • 自動更新: ACM は証明書の更新を自動的に処理し、新しい証明書をデプロイする準備ができたら通知します。詳しくは、ACM の Amazon EventBridge サポート を参照してください。

  • コスト効率: 作成したエクスポート可能なパブリック証明書に対してのみ支払います。

  • 柔軟なデプロイ: 標準の SSL/TLS 証明書をサポートするサーバーまたはアプリケーションで証明書 を使用します。

ACM エクスポート可能なパブリック証明書の仕組み

ACM エクスポート可能なパブリック証明書の仕組みを以下に示します。

  1. ドメインの ACM を使用して、エクスポート可能な証明書をリクエストします。

  2. DNS または E メールの検証を使用してドメインの所有権を検証します。

  3. 証明書、秘密キー、および証明書チェーンをエクスポートします。

  4. 証明書をサーバー、またはアプリケーションにデプロイします。

  5. ACM は更新を管理し、新しい証明書が利用可能になったときに通知を送信します。

セキュリティに関する考慮事項

以下は、ACM エクスポート可能なパブリック証明書を使用する際のセキュリティ上の考慮事項です。詳しくは、AWS Certificate Manager でのデータ保護 を参照してください。

  • 安全なストレージとアクセスコントロールを使用して、エクスポートされたプライベートキーを保護します。

  • キーの侵害が疑われる場合は、ACM の失効機能を使用します。

  • 更新された証明書をデプロイするときに、適切なキーローテーション手順を実装します。

制限

ACM 証明書の制限事項を次に示します。

  • 証明書の有効期間は 13 か月 (395 日) です。

  • ACM 証明書は 11 か月後に期限切れになります。ACM は、有効期限の 60 日前に失効するように設定された証明書を更新します。

  • エクスポートされた証明書のデプロイプロセスを管理する必要があります。

料金

AWS Certificate Manager で管理するエクスポート可能なパブリック SSL/TLS 証明書については、追加料金はかかりません。最新の ACM の料金情報については、AWS Certificate Manager ウェブサイトの サービス料金表 AWS ページを参照してください。

ベストプラクティス

ACM 証明書を使用する際のベストプラクティスを以下に示します。

  • 証明書が更新されたら、すぐに使用を開始する必要があります。

  • 更新された証明書の自動デプロイプロセスをテストして実装します。

  • Amazon EventBridge メトリクスとアラーム を使用して証明書のデプロイをモニタリングします。