AWS Certificate Manager を使用するようにセットアップする - AWS Certificate Manager
AWS アカウント へのサインアップ管理アクセスを持つユーザーを作成するドメイン名を登録する(オプション) CAA レコードの設定

AWS Certificate Manager を使用するようにセットアップする

AWS Certificate Manager (ACM) を使用すると、AWS ベースのウェブサイトとアプリケーションに SSL/TLS 証明書をプロビジョニング、管理できます。ACM を使用して、証明書を作成またはインポートしてから管理します。ウェブサイトまたはアプリケーションに証明書をデプロイするには、他の AWS サービスを使用する必要があります。ACM に統合されるサービスについての詳細は、サービスと ACM の統合 を参照してください。次のセクションでは、ACM を使用する前に実行する必要のある手順について説明します。

AWS アカウント へのサインアップ

AWS アカウント がない場合は、以下のステップを実行して作成します。

AWS アカウントにサインアップするには

  1. https://portal.aws.amazon.com/billing/signup を開きます。

  2. オンラインの手順に従います。

    サインアップ手順の一環として、電話またはテキストメッセージを受け取り、電話キーパッドで検証コードを入力します。

    AWS アカウント にサインアップすると、AWS アカウントのルートユーザー が作成されます。ルートユーザーには、アカウントのすべての AWS のサービスとリソースへのアクセス権があります。セキュリティのベストプラクティスとして、ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行してください。

サインアップ処理が完了すると、AWS からユーザーに確認メールが送信されます。https://aws.amazon.com/[マイアカウント] をクリックして、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理することができます。

管理アクセスを持つユーザーを作成する

AWS アカウント にサインアップしたら、AWS アカウントのルートユーザー をセキュリティで保護し、AWS IAM Identity Center を有効にして、管理ユーザーを作成します。これにより、日常的なタスクにルートユーザーを使用しないようにします。

AWS アカウントのルートユーザー をセキュリティで保護する

  1. [ルートユーザー] を選択し、AWS アカウント のメールアドレスを入力して、アカウント所有者として AWS マネジメントコンソール にサインインします。次のページでパスワードを入力します。

    ルートユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドルートユーザーとしてサインインするを参照してください。

  2. ルートユーザーの多要素認証 (MFA) を有効にします。

    手順については、「IAM ユーザーガイド」で AWS アカウントのルートユーザーの仮想 MFA デバイスを有効にする方法 (コンソール) を確認してください。

管理アクセスを持つユーザーを作成する

  1. IAM アイデンティティセンターを有効にします。

    手順については、「AWS IAM Identity Center ユーザーガイド」の「AWS IAM Identity Center の有効化」を参照してください。

  2. IAM アイデンティティセンターで、ユーザーに管理アクセスを付与します。

    IAM アイデンティティセンターディレクトリ をアイデンティティソースとして使用するチュートリアルについては、「AWS IAM Identity Center ユーザーガイド」の「 Configure user access with the default IAM アイデンティティセンターディレクトリ」を参照してください。

管理アクセス権を持つユーザーとしてサインインする

  • IAM アイデンティティセンターのユーザーとしてサインインするには、IAM アイデンティティセンターのユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。

    IAM アイデンティティセンターユーザーを使用してサインインする方法については、「AWS サインイン User Guide」の「Signing in to the AWS access portal」を参照してください。

追加のユーザーにアクセス権を割り当てる

  1. IAM アイデンティティセンターで、最小特権のアクセス許可を適用するというベストプラクティスに従ったアクセス許可セットを作成します。

    手順については、「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成するを参照してください

  2. グループにユーザーを割り当て、そのグループにシングルサインオンアクセス権を割り当てます。

    手順については、「AWS IAM Identity Center ユーザーガイド」の「Add groups」を参照してください。

ACM のドメイン名を登録する

完全修飾ドメイン名 (FQDN) は、.com .org などのトップレベルのドメイン拡張子を末尾に付けた、組織や個人のインターネット上の独自の名前です。登録したドメイン名をまだ保持していない場合には、Amazon Route 53 やそのほか多くの商業レジストラからドメイン名を登録できます。一般的には、レジストラのウェブサイトからドメイン名をリクエストします。ドメイン名の登録の有効期限は通常、1〜2 年間となり、期限内に更新する必要があります。

Amazon Route 53 でドメイン名を登録する方法についての詳細は、Amazon Route 53 開発者ガイドの「Amazon Route 53 を使用したドメイン名の登録」を参照してください。

(オプション) CAA レコードの設定

CAA レコードでは、ドメインまたはサブドメインの証明書の発行を許可する認証機関 (CA) を指定します。ACM で使用する CAA レコードを作成すると、間違った CA がドメインの証明書を発行することを防止できます。CAA レコードは、ドメインの所有者であることを検証する要件など、認証機関によって指定されたセキュリティ要件に代わるものではありません。

ACM は、証明書リクエストプロセス中にドメインを検証した後、CAA レコードの有無をチェックして、証明書を発行できるかどうかを確認します。CAA レコードの設定はオプションです。

CAA レコードを設定するときは、次の値を使用します。

flags

ACM で [tag] フィールドの値がサポートされるかどうかを指定します。この値は 0 に設定します。

tag

[tag] フィールドの値は次のいずれかになります。現時点では iodef フィールドは無視されます。

問題

[value] フィールドに指定した ACM CA が、ドメインまたはサブドメインの証明書の発行を許可されていることを示します。

issuewild

[value] フィールドに指定した ACM CA が、ドメインまたはサブドメインのワイルドカード証明書の発行を許可されていることを示します。ワイルドカード証明書はドメインまたはサブドメイン、およびそのすべてのサブドメインに適用されます。HTTP 検証を使用する予定の場合、HTTP 検証ではワイルドカード証明書がサポートされていないため、この設定は適用されません。ワイルドカード証明書の代わりに、DNS または E メール検証を使用します。

このフィールドの値は、[tag] フィールドの値によって異なります。この値は、引用符 ("") で囲む必要があります。

[tag] が [issue] の場合

[value] フィールドには CA ドメイン名を指定します。このフィールドには、Amazon CA 以外の CA の名前を指定することができます。ただし、次の 4 つの Amazon CA のいずれかを指定する CAA レコードがない場合、ACM は、ドメインまたはサブドメインに証明書を発行することはできません。

  • amazon.com

  • amazontrust.com

  • awstrust.com

  • amazonaws.com

[value] フィールドにセミコロン (;) を指定して、ドメインまたはサブドメインの証明書を発行することを許可された CA はないことを示すことができます。このフィールドは、特定のドメインに対する証明書の発行が不要になった時点で使用します。

[tag] が [issuewild] の場合

[value] フィールドは、値がワイルドカード証明書に適用されること以外は [tag] が [issue] の場合と同じです。

ACM CA 値を含まない issuewild CAA レコードが存在する場合、ACM はワイルドカードを発行できません。issuewildが存在しないが、ACM の発行 CAA レコードがある場合、ワイルドカードが ACM によって発行される場合があります。

例 CAA レコードの例

次の例では、ドメイン名が先頭にあり、その後にレコードタイプ (CAA) が続いています。[flags] フィールドは常に 0 です。[tags] フィールドは、[issue] または [issuewild] にすることができます。フィールドが [issue] のときに、[value] フィールドに CA サーバーのドメイン名を入力した場合、その CAA レコードは、リクエストされた証明書のサーバーによる発行を許可したことを示します。[value] フィールドにセミコロン ";" を入力した場合、その CAA レコードは、証明書の発行を許可された CA はないことを示します。CAA レコードの設定は、DNS プロバイダーによって異なります。

重要

CloudFront で HTTP 検証を使用する場合、HTTP 検証はワイルドカード証明書をサポートしていないため、 issuewild レコードを設定する必要はありません。ワイルドカード証明書の場合は、代わりに DNS または E メール検証を使用します。

Domain       Record type  Flags  Tag      Value   
example.com.   CAA            0        issue      "SomeCA.com"
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazon.com"
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazontrust.com"
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "awstrust.com"
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazonaws.com"
Domain       Record type  Flags  Tag      Value 
example.com    CAA            0        issue      ";"

DNS レコードを追加または変更する方法の詳細については、DNS プロバイダーに確認してください。Route 53 は CAA レコードをサポートしています。Route 53 が DNS プロバイダーの場合、レコード作成の詳細については、「CAA 形式」を参照してください。