Amazon CloudFront 独自 SSL

Amazon CloudFront を利用すべき理由

Amazon CloudFront には、ウェブサイト全体を高速化しつつ、CloudFront のどのエッジロケーションからでも HTTPS 経由でコンテンツを安全に配信する 3 つのオプションがあります。エッジロケーションからのセキュアな配信に加えて、オリジンフェッチに HTTPS 接続を使用するよう CDN を設定することで、オリジンサーバーからエンドユーザーまでの全体を通じてデータが暗号化されるようにします。

デフォルトでは、URL に CloudFront ディストリビューションドメイン名を使用して、コンテンツを HTTPS 接続で視聴者に配信できます (例: https://dxxxxx.cloudfront.net/image.jpg)。独自のドメイン名と独自の SSL 証明書を使用して HTTPS 接続でコンテンツを配信する場合は、独自 SSL 証明書機能を使用できます。

Amazon CloudFront の独自 SSL オプション

SNI 独自 SSL

Server Name Indication (SNI) 独自 SSL 機能は、Transport Layer Security プロトコルの SNI 拡張機能に依存します。この機能は、複数のドメインが同じ IP アドレスを介した SSL トラフィックを処理できるようにするものです。Amazon CloudFront は各エッジロケーションからコンテンツを配信していますが、専用 IP 独自 SSL 機能と同じセキュリティで保護されています(下記を参照してください)。

一部の古いブラウザは SNI をサポートしておらず、CloudFront と接続を確立して HTTPS 版のコンテンツを読み込めないため、SNI 独自 SSL を使用すると、一部のユーザーがコンテンツにアクセスできないことがあります。サポート対象ブラウザのリストなどの SNI の詳細については、「よくある質問」ページを参照してください。

この機能について、別途料金が発生することはありません。SNI 独自 SSL 証明書管理には、前払い料金や最低月額料金は不要です。お客様にお支払いいただくのは、Amazon CloudFront のデータ転送と HTTPS リクエストに対する通常料金のみです。

設定は簡単です。CloudFront 開発者ガイドに記載されている手順に従うだけで、コンテンツの配信をすばやくセキュアに開始することができます。

専用 IP カスタム SSL

SNI をサポートしていないブラウザにコンテンツを配信する必要がある場合は、専用 IP 独自 SSL 機能を使用できます。この機能では、SSL コンテンツを各エッジロケーションで提供するために、Amazon のコンテンツ配信ネットワークが専用 IP アドレスを割り当てます。

専用 IP の独自 SSL 証明書サポートを利用するには、SSL 証明書をアップロードし、AWS マネジメントコンソールを使用して証明書と CloudFront ディストリビューションを関連付けます。2 つ以上のカスタム SSL 証明書を AWS アカウントに関連付ける必要がある場合は、CloudFront クォータ引き上げフォームにユースケースの詳細と使用する予定のカスタム SSL 証明書の数を入力してください。

専用 IP 独自 SSL の料金体系はシンプルです。SSL 証明書ごとの専用 IP アドレスに伴う追加コストのため、コンテンツ配信ネットワークディストリビューションに関連付けられた各独自 SSL 証明書ごとに、毎月 600 USD をお支払いいただきます。この月額料金は時間数で按分されます。例えば、6 月に 24 時間 (つまり 1 日) のみ、1 つ以上の CloudFront ディストリビューションに独自 SSL 証明書を関連付けていた場合、6 月における独自 SSL 証明書機能の使用料金の合計は、(1 日/30 日) * 600 USD = 20 USD となります。カスタム SSL 証明書機能の料金に関する詳細は、「CloudFront の料金」ページに記載されています。

カスタム SSL 機能の詳細については、「CloudFront 開発者ガイド」をお読みください。