AWS ACMで証明書の自動更新を設定してみた

Transcript

1. © JTP Co., Ltd. All Rights Reserved. 贄川 佳大 2024/10/30

   AWS ACMで証明書の自動更新を設定してみた JTP株式会社・エンタープライズクラウドソリューション部

2. © JTP Co., Ltd. All Rights Reserved. 0,目次 1, 自己紹介

   2, ACMって知ってる？ 3, 証明書の自動更新の条件とは 4, 実装時に勘違いしたこと 5, まとめ

3. © JTP Co., Ltd. All Rights Reserved. 1,自己紹介 • 名前：贄川

   佳大 • 所属：JTP株式会社（2023年入社） • 出身：大阪府堺市、近畿大学 • 趣味：ランニング、映画、リアル脱出ゲーム • 業務内容 o1年目：仮想化技術を使用したシステムの運用保守 o2年目：Terraformを使用してAWSシステムの構築

4. © JTP Co., Ltd. All Rights Reserved. そもそもACMって知っていますか？

5. © JTP Co., Ltd. All Rights Reserved. 2,AWS Certificate Manager

   (ACM) とは AWS ACM サービス概要 信頼できるSSL/TLS証明書を提供・更新するサービス フルマネージドサービス ⇒管理・運用はAWSが実施 証明書の発行・自動更新は無料（パブリック証明書のみ） パブリック証明書、プライベート証明書の発行、証明書のインポー ト・エクスポートが可能 証明書を利用可能なサービスは、ELB、CloudFront、Cognito、 API Gateway、NetworkFormationなど多くある ACMはリージョン単位のサービス ⇒別リージョンへのコピーなどもできない

6. © JTP Co., Ltd. All Rights Reserved. 3,証明書の更新方法について • 証明書の更新方法は2種類

   • Eメール検証：ドメインを含んだメールのリンクをクリックし更新する 証明書を要求したドメイン名（yourdomain.com）なら[email protected] • DNS検証：検証用のDNSレコードを作成する ⇒発行した後に更新方法の切り替えはできない • 自動更新はDNS検証のみ • 条件として、 1,証明書がAWSサービスで使用されていること 2,DNS CNAMEレコードが存在し、パブリックDNS経由でアクセスできること

7. © JTP Co., Ltd. All Rights Reserved. 4,実装時に勘違いしたこと AWS Certificate

   Manager (ACM) Amazon API Gateway AWS Lambda AWS Step Functions 起動する Curlコマンド 関連付けてカスタムドメイン を使用できるようにする POSTメソッド 東西切り替え ツール Amazon Route 53

8. © JTP Co., Ltd. All Rights Reserved. ACM コードで書く際に必要な要素 •

   resource aws_acm_certificate：証明書発行リクエスト • resource aws_route53_record：DNSによる検証専用レコードの登録 • resource aws_acm_certificate_validation：証明書とレコードの関連付け ⇒コード上のエラーもでないし、applyコマンド（実装コマンド）も成功した ⇒AWS環境に実装できたが、、、 ⇒ずっと検証中で証明書が発行できなかった

9. © JTP Co., Ltd. All Rights Reserved. 5,最後に：調べてみて • ACMは信頼できるSSL/TLS証明書を提供・更新するフルマネージドサービス

   • サービスは基本的に無料（プライベート証明書やDNSレコード料金以外） • 証明書はリージョン単位 • アップデートが多い ⇒関連付けられるサービスの増加、更新方法のアップデートなど ⇒正直、アップデートする要素がない印象だったのでかなり意外に感じた

10. © JTP Co., Ltd. All Rights Reserved. ご清聴ありがとうございました