ある企業が、AWS Certificate Manager(ACM)で発行した TLS 証明書を ALB にアタッチして HTTPS 通信を有効化している。証明書の有効期限が近づいた際に自動的に更新されるようにしたい。また、証明書の有効期限やドメイン検証の状態を継続的に監視し、問題が発生した際にアラートを受けたい。最も適切なソリューションはどれか。
- A. 証明書の有効期限を手動でカレンダーに登録し、期限の 1 ヶ月前に手動で更新申請する。
- B. AWS Trusted Advisor のセキュリティカテゴリで証明書の有効期限チェックを実行する。
- C. ACM パブリック証明書の自動更新は DNS 検証を使っている場合に自動的に行われる。AWS Config の managed rule(acm-certificate-expiration-check)を有効化して有効期限 X 日前の証明書を検知し、CloudWatch Events(EventBridge)で ACM の CertificateManager の証明書有効期限イベントを SNS に接続してアラートを送信する。
- D. ACM で発行した証明書は AWS が自動更新するため、有効期限の監視は不要。
解答と解説を見る
正解: C
ACM のパブリック証明書は DNS 検証(Route 53 の CNAME レコードを使用)を使っている場合は自動更新されるが、メール検証の場合は手動対応が必要。自動更新に失敗する可能性もあるため、監視は重要である。AWS Config の acm-certificate-expiration-check ルールでデフォルト 45 日以内に期限が切れる証明書を検知し、EventBridge + SNS でアラートを自動送信する構成が推奨される。選択肢DはDNS 検証の場合に自動更新される一般論だが、監視が完全に不要とは言えない(更新失敗・メール検証など例外がある)。問題の要件「継続的な監視とアラート」を満たさない。選択肢Aの手動カレンダー登録は運用漏れのリスクが高く、自動化の要件を満たさない。選択肢BのTrusted Advisor は証明書の有効期限チェックを提供するが、チェック頻度が週次程度であり、リアルタイムに近い継続的監視とアラートの要件には AWS Config の方が適している。
📚 関連サービスの解説: AWS Config ・ Amazon CloudWatch