« 【New】AWSにおけるGxP準拠に関する資料 | メイン | Redshiftアップデート:タイムアウトしたクエリーを別キューに転送する新機能queue hoppingの使い方 »

[New] AWS Certificate Manager – AWS上でSSL/TLSベースのアプリケーションを構築

 

表面的にはシンプルな見栄えだけれども、その裏側は複雑な仕組みになっていることに魅了されています!例えば、鍵アイコンがあると、ウェブサイトのトラフィックの上りと下りが暗号化されているということを示しています。

ブラウザはどうして緑の鍵を表示するべきと判断できるのでしょうか?そう、それはSSL/TLS証明書で知られているデジタルファイルがあるからです。これは、ふたつの当事者間で認証と信頼を成立させるための電子的な文書なのです。この場合、ふたつの当事者とは、ウェブサイトとブラウザのことです。

SSL/TLSは機微な情報をやり取りするときはいつでも必要になります。例えば、サイトがPCI-DSS, FISMAのようにコンプライアンスに準拠する必要がある場合や、 HIPAAでもSSL/TLSを広く利用しています。

証明書は認証局によってドメインを特定するために発行され、CAとして知られています。あなたのウェブサイトに証明書を取得したいと考えたとき、CAはそのドメインに対して確認の責務を担います。そのとき、一定期間有効な証明書を発行し、特定のドメインを保護します。従来は、システムに証明書をインストールする、有効期限をトラッキングする、定期的に新しい証明書を手に入れる、ということをする必要がありました。(典型的な例としては、証明書は12か月間有効で更新が必要、といったことなど)

それぞれの証明書は電子的に署名されています。これは正当なCAによって発行されたものであるということを確認できます。もう少し詳細をいうと、ブラウザは、事前に定義したルート証明書のリストを使い、他の証明書が元の証明書を追跡できるか確認するために使用しています。これらの情報はあなたのブラウザから確認できます。

 

上記のように、SSL/TLS証明書を設定・管理することは多くの作業を伴い、手作業が多く容易に自動化できません。多くの場合、各証明書に対して年額の支払いが必要になります。

その状況を変える時が来ました!

AWS Certificate Manager
AWS Certificate Manager (ACM) はSST/TLS証明に管理に伴う従来の作業の多くをシンプルにかつ自動化するように設計されています。ACMは複雑な設定や構築、電子証明書の更新をサポートします。ACMで提供される証明書は、Amazonの認証局(CA)であるAmazon Trust Services(ATS)で照合しています。

さらに良いのは、この証明書に関わる追加コストが発生しないことです。SSL/TLS証明書はAWS Certificate Managerで無料でお使いいただけます。

ACMを使えば数分でSSLを使い始められるでしょう。証明書を要求したら、Elastic Load Balancers と Amazon CloudFront に数クリックで設定できます。その後、ACMは、あなたの手を煩わせることなく、証明書を定期更新してくれます。

 

証明書を設定・構築する
コンソールを使って電子証明書の設定と構築のステップを見てみましょう。(APIでも利用できます。)自分のドメイン jeff-barr.com で確認してみます。AWS Certificate Managerのコンソールを開き、Get started をクリックします。

SSLを設定するサイトのドメイン名を入力します。この場合まだ保護されていないドメインを指定し、すべてのサブドメインも対象にします。

 

そしてリクエストの内容を確認します。

メールのinboxを開き、certificates.amazon.comからのメールを確認し、証明書に同意します。

サイトを表示し、同意します。

これがすべての設定作業です。証明書をコンソールで確認することができるようになります。

 

証明書の構築
 証明書が発行されたら、 Elastic Load Balancers と CloudFront に設定できるようになります。

 

ELBは SSL offload をサポートしているので、ロードバランサに証明書を構築するほうがその後ろに構築されているEC2のインスタンスにやらせるよりも暗号化と復号化の量が少なくなります。

CloudFrontではこのようにします。

ご利用いただけるようになりました
AWS Certificate Manager (ACM) はUS East (Northern Virginia)リージョンで使用できます。他リージョンも準備中です。設定、構築、定期更新を追加料金なしで利用できます。

他のAWSサービスや他のドメインの確認方法などの追加も計画しています。提案やフィードバックも要望事項があれば、優先順位をつける上で参考にさせていただきます。

Jeff;

(翻訳は石橋が担当しました。原文はNew – AWS Certificate Manager – Deploy SSL/TLS-Based Apps on AWS )

 

 

コメント

Featured Event

2016年3 月

    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31