AWS Certificate Manager(ACM)とは?無料 SSL 証明書管理
AWS Certificate Manager(ACM)は AWS マネージドな SSL/TLS 証明書管理サービス。パブリック証明書は無料で発行でき、CloudFront / ALB / API Gateway 等に直接アタッチできる。自動更新機能で運用負荷ゼロ。プライベ...
AWS マネージドの SSL/TLS 証明書発行・管理サービス。CloudFront / ALB に無料で証明書発行。
1. 概要(端的に)
AWS Certificate Manager(ACM)は AWS マネージドな SSL/TLS 証明書管理サービス。パブリック証明書は無料で発行でき、CloudFront / ALB / API Gateway 等に直接アタッチできる。自動更新機能で運用負荷ゼロ。プライベート証明書は ACM Private CA で発行可能。
2. 何ができるか
- パブリック SSL/TLS 証明書発行:無料
- DNS / Email 認証:ドメイン所有確認
- AWS サービス統合:CloudFront / ALB / API Gateway / CloudFront Functions / NLB
- 自動更新:期限切れ前に自動再発行
- 複数ドメイン対応:SAN(複数 FQDN)/ ワイルドカード(
*.example.com) - ACM Private CA:プライベート CA・社内証明書発行
3. 特徴
| 観点 | 特徴 |
|---|---|
| 追加料金 | パブリック証明書:無料 / Private CA:$400/月〜 |
| 対応 AWS サービス | CloudFront / ALB / API Gateway / CloudFront Functions / NLB |
| EC2 直接利用 | × (ELB / CloudFront 経由が必要) |
| 検証方法 | DNS / Email |
| 自動更新 | ○(DNS 検証使用時) |
CloudFront には us-east-1 必須
CloudFront にアタッチする ACM 証明書は 必ず us-east-1(バージニア)リージョン で発行する必要がある(試験頻出ポイント)。
4. 仕組み
ACM は 証明書発行 + 自動更新 をマネージドで提供する。利用者は 秘密鍵に触れないため安全性が高い。
動作の流れ(DNS 検証)
- ACM で証明書リクエスト(FQDN 指定)
- ACM が DNS CNAME レコードを提示
- Route 53 等にレコード追加(ワンクリック)
- ACM がドメイン所有確認
- 証明書発行(数分〜数時間)
- 自動更新:期限 60 日前から自動更新
Email 検証
- ドメインの WHOIS 情報メール宛に確認メール
- 自動更新が手動になる(推奨されない)
証明書のアタッチ
- マネコン / CLI で対象 AWS サービスへアタッチ
- HTTPS リスナー追加で利用開始
5. ユースケース
ユースケース 1:Web サイトの HTTPS 化
ALB に ACM 証明書アタッチ → HTTPS 公開。
ユースケース 2:CloudFront カスタムドメイン
独自ドメインで HTTPS 配信(要 us-east-1 証明書)。
ユースケース 3:API の HTTPS 化
API Gateway カスタムドメインに証明書。
ユースケース 4:ワイルドカード証明書
*.example.com で複数サブドメイン対応。
ユースケース 5:内部システムの認証
ACM Private CA で社内 mTLS。
6. 関連用語
- CloudFront / ALB / API-Gateway — ACM の主な利用先
- Route53 — DNS 検証・アタッチ
- KMS — ACM Private CA の鍵保護
7. 関連サイト
AWS 公式
🎓 試験での出題傾向
| 試験 | 重要度 | 主な出題パターン |
|---|---|---|
| CLF | 高 | HTTPS 証明書管理の概念 |
| SAA | 高 | HTTPS 設計、CloudFront us-east-1 |
| DVA | 中 | HTTPS 統合 |
| SOA | 中 | 証明書運用 |