AWS Certificate Managerとは
AWS Certificate Managerとは
AWS Certificate Managerは、AWSのサービスと内部接続リソースで使用するパブリックとプライベートのSecure Sockets Layer/Transport Layer Security(SSL/TLS)証明書のプロビジョニング、管理、デプロイを簡単にするサービスです。
AWS Certificate Managerを使用すると、SSL/TLS証明書の購入、アップロード、更新というプロセスを手動で行う必要なくなります。
AWS Certificate Managerの利点
AWS Certificate Manager統合サービス用の無料パブリック証明書
AWS Certificate Managerでは、Elastic Load BalancingやAmazon API GatewayなどのAWS Certificate Manager統合サービスで使用する、パブリックやプライベートのSSL/TLS証明書のプロビジョニングについて、追加料金は発生しません。
料金は、アプリケーションを実行するために作成したAWSリソースに関して発生します。
プライベート証明書については、AWS Certificate ManagerプライベートCA(認証機関)によって、そのサービスや作成した証明書に対する月払いができます。(料金の詳細は後で示します。)
マネージド型証明書更新
AWS Certificate Managerは、AWS Certificate Manager内で管理され、AWS Certificate Manager統合サービスで使われている証明書の、更新プロセスを管理します。AWS Certificate Managerは、これらの証明書の更新とデプロイを自動化します。
(利用例)
AWS Certificate ManagerプライベートCA APIを使用して、オンプレミスリソース、Amazon EC2インスタンス、IoTデバイスに対するプライベート証明書の作成と更新を、AWS Certificate Managerで自動化する
証明書の簡単な取得
AWS Certificate Managerを使用すると、ウェブサイトやアプリケーションのためにSSL/TLS証明書を取得する際に必要な、以下に示す多くのステップを実行する必要がなくなります。
- キーペアや証明書署名要求(CSR)の生成
- 認証機関へのCSRの送信
- 証明書の受け取り後のアップロードとインストール
AWS Certificate Managerの特徴
AWSクラウドで証明書を集中管理する
あるAWSリージョンでAWS Certificate Managerにより提供されたSSL/TLS証明書は、AWSマネジメントコンソール、AWS CLI、AWS Certificate Manager APIを使って簡単に集中管理できます。
Amazon CloudTrailログを確認して、各証明書の使用状況を監査することもできます。
安全なキー管理
AWS Certificate Managerは、SSL/TLS証明書で使用されるプライベートキーを保護し管理するように設計されています。プライベートキーを保護し保存する際は、強力な暗号化とキー管理に関するベストプラクティスが使用されます。
AWSの他のクラウドサービスと統合されている
AWS Certificate Managerは、
- Elastic Load Balancer
- Amazon CloudFront
- Amazon API Gateway
- AWS Elastic Beanstalk
- AWS CloudFormation
- AWS CLI
と統合されています。これらのサービスの利用例を以下に示します。
- SSL/TLS証明書をプロビジョニングし、Elastic Load Balancer、Amazon CloudFrontディストリビューションやAmazon API GatewayのAPIでデプロイする
- AWS BeanstalkおよびAWS CloudFormationとともにAWS Certificate Managerを使用して、パブリック証明書の管理を容易にし、それらをAWSクラウドで利用するアプリケーションとともに使用できるようにする
AWSリソースで証明書をデプロイする手順は2通りあります。
- AWSマネジメントコンソールのドロップダウンリストでデプロイする証明書を選択する
- AWS APIやAWS CLIを呼び出して、証明書をリソースに関連付けする
上記のいずれかの方法を行った後、AWS Certificate Managerにより、選択されたリソースに証明書がデプロイされます。
サードパーティーの証明書をインポートする
AWS Certificate Managerを使用すると、サードパーティーのCAにより発行されるSSL/TLS証明書のインポートを簡単に行うことができます。また、次のようなこともできます。
- インポートした証明書の有効期限をモニタリングして、既存の証明書の期限切れが近い場合は代替をインポートする
- AWS Certificate Managerによる無料証明書をリクエストして、今後の更新管理をAWSに任せる
証明書のインポートには一切料金がかかりません。
料金
前述のように、AWS Certificate ManagerでプロビジョニングされたパブリックSSL/TLS証明書は無料です。料金は、アプリケーションを実行するために作成したAWSリソースに対して発生します。
AWS Certificate ManagerプライベートCAは次の2つについて料金設定されています。
各AWS Certificate ManagerプライベートCAを削除するまでのオペレーション月額料金
料金は月々400.00USD/CAです。AWS Certificate ManagerプライベートCAの運用が、1ヶ月未満の月は、CAの作成、削除の日に応じて日割りで料金計算されます。
削除すると、AWS Certificate ManagerプライベートCAは課金されなくなります。しかし、削除したCAを復元した場合は、削除から復元までの期間について課金されます。
各月発行するプライベート証明書の料金
プライベートキーにアクセスできるAWS Certificate ManagerプライベートCAから証明書を発行するときに、料金が発生します。これには以下を含みます。
- AWS Certificate Managerで作成してエクスポートするプライベート証明書
- AWS Certificate Managerで証明書管理を行わず自分自身でプライベートキーを作成する証明書
ただし、プライベートキーにアクセスの無いAWS Certificate ManagerプラットフォームCAから発行するプライベート証明書は無料です。
AWS Certificate Managerのユースケース
ウェブサイトの保護とセキュリティ確保
SSL/TLSで、転送中の機密データの暗号化とSSL/TLS証明書を使用できるため、サイトのアイデンティティの確立や、ブラウザやアプリケーション間の接続を安全にできます。
AWS Certificate ManagerによってSSL/TLS証明書のプロビジョニングや管理が簡単になるため、SSL/TLSプロトコルを使用するようにウェブサイトやアプリケーションを設定できます。
内部リソースの保護とセキュリティ確保
(プライベート証明書の利用目的)
サーバー、モバイルデバイス、IoTデバイス、アプリケーションなど、プライベートネットワークで接続されたリソース間の通信を特定し、セキュリティを確保する
AWS Certificate ManagerプライベートCAは、マネージド型のプライベートCAサービスで、プライベート証明書のライフサイクルを簡単かつ安全に管理するのに役立ちます。その他のAWS Certificate ManagerプライベートCAの利点を以下に示します。
- 自社のプライベートCAを運用するための先行投資や継続的なメンテナンスにコストをかけずに、アベイラビリティの高いプライベートCAを得ることができる
- AWS Certificate ManagerプライベートCAは、AWS Certificate Managerの証明書管理機能をプライベート証明書に拡張し、パブリック証明書とプライベート証明書を集中的に作成管理できるようにする
- 開発者はAPIを用いてプログラムでプライベート証明書を作成、デプロイできる
- カスタム証明書ライフタイムやリソース名を必要とするアプリケーション用にプライベート証明書を作成できる
コンプライアンス要件を満たす
SSL/TLSを簡単に有効にできるため、AWS Certificate Managerは、転送中のデータの暗号化に関する規制やコンプライアンス要件を満たすのに役立ちます。
稼働時間の改善
AWS Certificate ManagerがSSL/TLS証明書の更新など、証明書の維持に関する課題を管理を支援するため、証明書期限切れについて心配する必要がなくなります。
まとめ
本記事では、AWS Certificate Managerの利点や特徴、料金、ユースケースについて解説しました。AWS Certificate ManagerプライベートCAの新規アカウントには、最初の運用に対して30日間の無料トライアルがあるため、試しやすくなっています。
