トップ > AWS > AWS Certificate Manager プライベートCAでPrivateLinkが使えるようになりました!

AWS Certificate Manager プライベートCAでPrivateLinkが使えるようになりました!

AWS アップデート
記事タイトルとURLをコピーする

こんにちは、技術1課の小倉です。
2020/8/4にアップデートがあり、AWS Certificate Manager プライベートCAでPrivateLinkが使えるようになりました!

今まではVPCからAWS Certificate Manager プライベートCAへの通信はインターネットを経由して通信していましたが、今回のアップデートでPrivateLinkを利用して、インターネットを経由せずにセキュアに通信できるようになりました。

 

PrivateLinkを利用について、いくつか注意事項があります。

  • ACMプライベートCAは、一部のアベイラビリティーゾーンでVPCエンドポイントをサポートされていない場合があります。サポート外の場合は、VPCエンドポイントを作成するときに、「このアベイラビリティーゾーンではサポートされていないサービス」と表示されます。
  • VPCエンドポイントは、リージョン間リクエストをサポートしていません。ACMプライベートCAへのAPI呼び出しは同じリージョンにエンドポイントを作成するようにしてください。
  • VPCエンドポイントは、Amazon Route 53を介してAmazon提供のDNSのみをサポートします。独自のDNSを使用する場合は、条件付きDNS転送を使用できます。
  • VPCエンドポイントに接続されているセキュリティグループは、VPCのプライベートサブネットからのポート443での受信接続を許可する必要があります。
  • AWS Certificate ManagerはVPCエンドポイントをサポートしていません。
  • FIPSエンドポイント(およびそのリージョン)はVPCエンドポイントをサポートしていません。

AWS Certificate Manager プライベートCAとは

誰でも構築できる独自のCAで、プライベートの証明書の発行が可能です。用途としては内部に閉じた社内システムなどでの利用が考えられます。パブリックとの違いは、証明書をダウンロードして使うことができます。

AWS Certificate Manager プライベートCAの作成手順は以下のブログをご参照ください。

料金はプライベートCAと証明書数にかかります。

プライベートCAは初回の30日間は無料ですが、そのあとは400USD/月(日割り)となるので、検証などで作成した場合は削除し忘れに注意しましょう。

料金 - AWS Certificate Manager | AWS

インターフェイス VPC エンドポイント (AWS PrivateLink)とは

VPCからAWSサービスへの通信をインターネットを経由せずにAWS内でセキュアに通信できる機能です。

VPCからリージョンサービスに通信するとき、インターフェイス VPC エンドポイント (AWS PrivateLink)なしの場合は以下のようにインターネットを経由して通信しなければなりません。もしプライベートサブネットならNAT Gatewayなどを用意してインターネットと通信できるようしなければなりません。

f:id:swx-masaru-ogura:20200807105405p:plain

インターフェイス VPC エンドポイント (AWS PrivateLink)ありの場合は、インターネットを経由することなく、AWS内の通信のみでできます。

f:id:swx-masaru-ogura:20200807105436p:plain

AWS公式サイト : インターフェイス VPC エンドポイント (AWS PrivateLink)料金

インターフェイス VPC エンドポイント (AWS PrivateLink)の設定

今回は東京リージョンで作成しています。

マネジメントコンソールでVPCを開き、ナビゲーションペインの[エンドポイント]をクリックし、[エンドポイントの作成]をクリックします。

f:id:swx-masaru-ogura:20200807072039p:plain

エンドポイントの作成画面で以下の設定をし、[エンドポイントの作成]をクリックする。

  • サービスカテゴリ : AWSサービス
  • サービス名 : acmで検索し、[com.amazonaws.ap-northeast-1.acm-pca]を選択
  • VPC/サブネット : 接続するVPC/サブネットを選択する
  • セキュリティグループ : 必要に応じて作成
  • ポリシー : 必要に応じて変更(今回はフルアクセスを選択)

f:id:swx-masaru-ogura:20200807100850p:plain

f:id:swx-masaru-ogura:20200807100921p:plain

f:id:swx-masaru-ogura:20200807100938p:plain

以下の画面で、[閉じる]をクリックします。

f:id:swx-masaru-ogura:20200807101137p:plain

エンドポイントの一覧の画面で、作成されたエンドポイントを確認できます。
エンドポイントのDNS名を使って作成したエンドポイントに接続します。

f:id:swx-masaru-ogura:20200807101653p:plain

念のため、サブネットタブをクリックして、エンドポイントのIPを確認して、DNS名の名前解決と同じIPアドレスかどうかを確認します(今回は172.31.39.235、172.31.4.118、172.31.18.85)。

f:id:swx-masaru-ogura:20200807103042p:plain

詳細タブに記載されていたDNS名を名前解決してみると、172.31.39.235、172.31.4.118、172.31.18.85であることを確認しました。

f:id:swx-masaru-ogura:20200807103345p:plain

まとめ

AWS Certificate Manager プライベートCAでPrivateLinkをサポートするようになりました。本アップデートにより、VPCからインターネットを経由せずに通信できるようになりましたので、セキュアに通信することができます。ぜひ使ってみてはいかがでしょうか。
また、本ブログの内容は2020/8/12(水) 18:00にYouTubeで配信される「30分でわかる AWS UPDATE!」でも取り上げる予定ですので、ぜひご覧ください!

小倉 大(記事一覧)

アプリケーションサービス部ラーニングエクスペリエンス課 札幌在住

AWSトレーニングの講師をしています。

最近は5歳の息子と遊ぶのが楽しいです!

Twitter: @MasaruOgura