ある企業が、AWS で運用する複数の Web アプリケーションに対して SSL/TLS 証明書を発行・管理したい。現在は外部の認証局(CA)から購入した証明書を EC2 インスタンスに手動でインストールしており、コストと更新の手間が発生している。コストを最小化しながら証明書の管理を自動化する最も適切なソリューションはどれか。
- A. AWS Certificate Manager(ACM)でパブリック証明書を無料で発行し、ALB または CloudFront に直接アタッチする。ACM が証明書の自動更新を管理する。
- B. 既存の外部認証局との契約を継続し、証明書の自動更新 API を使って更新プロセスを自動化する。
- C. Let's Encrypt の無料証明書を EC2 インスタンスに自動更新するスクリプトを導入する。
- D. AWS Certificate Manager プライベート CA を使ってプライベート証明書を発行する。
解答と解説を見る
正解: A
AWS Certificate Manager(ACM)のパブリック証明書は ALB・CloudFront・API Gateway に使用する場合は完全無料で、証明書の発行・更新が自動管理される。DNS 検証(Route 53 を使う場合は自動設定可能)または メール検証で証明書を発行し、ALB にアタッチするだけで HTTPS が有効になる。外部 CA への費用と手動更新作業をゼロにできる。選択肢CのLet's Encrypt は無料だが、EC2 インスタンスへの手動インストールや Certbot による自動更新スクリプトの管理が必要で、ALB/CloudFront への直接統合ができない(EC2 単体の場合は有効な選択肢)。選択肢DのACM プライベート CA は内部システム向けのプライベート証明書で月額費用が発生する。パブリック向け Web アプリケーションのコスト最小化要件に合わない。選択肢Bは既存の外部 CA 費用が継続発生するためコスト最小化要件を満たさない。
📚 関連サービスの解説: Elastic Load Balancing(ELB) ・ Amazon CloudFront