AWS認定資格 WEB問題集&徹底解説

CloudOpsエンジニア -アソシエイト

AWS Certificate Manager (ACM) の概要と試験出題ポイントは?

AWSサービスの一つであるAWS Certificate Manager (ACM)はどんな内容なのでしょうか?また、AWS認定資格のSysOpsアドミニストレーター -アソシエイト(SOA)に合格するためには、サービスのどんなポイントを押さえておけばよいのでしょうか?
ここでは、そんなあなたの疑問に回答していきたいと思います

AWS Certificate Manager 徹底解説 | AWS認定試験の頻出ポイントまとめ

1. サービス概要

AWS Certificate Manager(ACM)は、AWSサービスで使用するSSL/TLS証明書を無料でプロビジョニング・管理・自動更新するサービスです。証明書の取得・更新・デプロイにかかる手間を大幅に削減し、HTTPS化を容易に実現できます。

ACMが発行する証明書はAWS統合サービス(CloudFront・ELB・API Gateway等)でのみ直接利用可能です。EC2インスタンスにインストールして使う用途にはACMは適していません(その場合はACM Private CAまたは外部CAを使用)。

2. 主な特徴と機能

2.1 パブリック証明書(無料)

ACMが発行するドメイン検証済み(DV)SSL/TLS証明書。費用は無料で、有効期限切れ前に自動更新されます。

  • 単一ドメイン・複数ドメイン(SAN)・ワイルドカード(*.example.com)をサポート。
  • 証明書は統合AWSサービス(CloudFront・ALB/NLB・API Gateway・AppSync等)に直接デプロイ可能。
  • EC2へのインストール不可(ACMパブリック証明書はエクスポート不可)。

2.2 ドメイン検証方法

  • DNS検証(推奨): Route 53等のDNSにCNAMEレコードを追加して所有権を検証。自動更新が可能で推奨される方法。
  • メール検証: ドメイン登録者のメールアドレスに確認メールを送信して検証。DNSを管理できない場合に利用。

2.3 証明書の自動更新

ACM証明書はデフォルトで自動更新されます(DNS検証の場合はCNAMEレコードが存在し続ける限り完全自動)。有効期限切れによるサービス停止リスクを排除します。

2.4 プライベート証明書(ACM Private CA)

内部サービス・マイクロサービス間の通信に使用するプライベートSSL/TLS証明書を発行するためのプライベート認証局(CA)をAWSがマネージドで提供。

  • ACMパブリック証明書と異なりプライベート証明書はエクスポート可能(EC2・コンテナ等にインストール可能)。
  • Private CAの運用・維持コストが発生(CA作成・証明書発行ごとに課金)。

2.5 インポート証明書

外部CAで発行した証明書をACMにインポートして、AWSサービスと統合することもできます(自動更新は対象外)。

2.6 リージョン制約(CloudFrontの注意点)

CloudFrontで使用するACM証明書は必ず米国東部(バージニア北部: us-east-1)リージョンで発行する必要があります。他リージョンで発行した証明書はCloudFrontに適用できません(試験頻出)。

3. アーキテクチャおよび技術要素

  1. ACMコンソールで証明書をリクエスト(ドメイン名・検証方法を選択)。
  2. DNS検証の場合: Route 53に自動でCNAMEレコードを追加(または手動でDNSに追加)。
  3. 検証完了→ 証明書が「発行済み」状態になる。
  4. CloudFront・ALB・API Gateway等の設定でACM証明書を選択してHTTPSを有効化。
  5. 証明書の有効期限が近づくとACMが自動更新(DNS検証の場合はCNAMEが存在すれば完全自動)。

4. セキュリティと認証・認可

  • 証明書の秘密鍵管理: ACMパブリック証明書の秘密鍵はAWSが管理(ユーザーはアクセス不可)。エクスポート不可でセキュリティを担保。
  • KMS統合(Private CA): ACM Private CAの秘密鍵はKMSで保護。
  • IAMアクセス制御: 証明書の発行・削除・割り当てはIAMポリシーで制御。
  • 透明性ログ(Certificate Transparency): ACMが発行するパブリック証明書はCTログに自動登録(証明書の不正発行を検知可能)。

5. 料金形態

  • ACMパブリック証明書: 無料(証明書の発行・更新・デプロイに費用なし)。
  • ACM Private CA: CA作成費用(月額)+証明書発行件数に応じた従量課金。
  • インポート証明書: 無料(ただし自動更新なし・外部での証明書費用は別途)。

6. よくあるアーキテクチャ・設計パターン

  • CloudFront + ACM (us-east-1): CloudFrontディストリビューションのHTTPS化。証明書はus-east-1で発行してCloudFrontに適用。
  • ALB + ACM: Application Load BalancerにACM証明書を適用してHTTPS終端。バックエンドEC2はHTTPのまま(SSL終端をALBで集約)。
  • マイクロサービス間TLS(ACM Private CA): 内部サービス間通信にプライベート証明書を発行。コンテナ・Lambda等にエクスポートして相互TLS認証を実装。

7. 設定・デプロイ手順(ハンズオン例)

  1. ACMコンソール→「証明書のリクエスト」→「パブリック証明書」を選択。
  2. ドメイン名を入力(例: example.com・*.example.com)→ DNS検証を選択。
  3. Route 53を使っている場合は「Route 53でレコードを作成」をクリックしてCNAMEを自動追加。
  4. 証明書が「発行済み」になったら、ALB・CloudFront等の設定でHTTPSリスナーに証明書を割り当て。
  5. ブラウザでHTTPS接続を確認・証明書の詳細を確認。

8. 試験で問われやすいポイント

8.1 ACMの基本

  • Q: ACMパブリック証明書はEC2インスタンスに直接インストールできるか?
    A: できない(エクスポート不可)。CloudFront・ALB・API Gateway等のAWS統合サービスでのみ使用可能。EC2に証明書をインストールするにはACM Private CAまたは外部CAを使用。

8.2 CloudFrontとACMのリージョン制約

  • Q: CloudFrontで使用するACM証明書はどのリージョンで発行する必要があるか?
    A: 必ずus-east-1(バージニア北部)で発行する必要がある(CloudFrontはグローバルサービスのためus-east-1の証明書のみ対応)。

8.3 DNS検証 vs メール検証

  • Q: ACMのDNS検証が推奨される理由は?
    A: DNS検証はCNAMEレコードが存在し続ける限り証明書の自動更新が完全自動で行われる。メール検証は更新のたびに手動承認が必要。

8.4 ACM Private CA

  • Q: 内部サービス間通信にプライベート証明書を発行してEC2にインストールするには?
    A: ACM Private CA(プライベート認証局)でプライベート証明書を発行→エクスポートしてEC2・コンテナ等にインストール。パブリック証明書と異なりエクスポート可能。

8.5 自動更新

  • Q: ACM証明書の有効期限切れを防ぐには?
    A: DNS検証で発行したACM証明書はACMが自動更新する(CNAMEレコードが存在する限り更新不要)。インポート証明書は自動更新されないため手動管理が必要。
広告

お役立ち情報

姉妹サイト

アンケート

サイト情報