1.構成
API Gateway > プライベートサブネットにあるALB > lambda
を
API Gatewayを,カスタムドメイン,HTTPS,相互TLS認証
でアクセスできるようにしたいと思います。
API Gatewayで相互TLS認証を利用するには、カスタムドメインが必須となります。
2.前提
- プライベートサブネットにあるALBから、Lambdaをターゲットとしたターゲットグループが作成済であることとします。
- この作成手順は、割愛します。
3.ACM
ここでは、API Gateway のカスタムドメインで利用するSSL証明書を、Certficate Manager から、パブリック証明書を取得します。
手順は次のページにある、【Certficate ManagerでSSLを取得する】の通り行います。
なお、API Gateway でカスタムドメインを利用する場合、次のように ACM でリクエストしたドメインを利用する必要があることに注意が必要です。
(例)
- API Gatewayのカスタムドメイン:api.example.com
- ACMでリクエストしたドメイン名:*.example.com
(参考)
API のホスト名としてカスタムドメイン名を設定する場合、API 所有者はカスタムドメイン名の SSL/TLS 証明書を提供する必要があります。
特定のリージョンの API のカスタムドメイン名を作成すると、API Gateway は API のリージョン別ドメイン名を作成します。カスタムドメイン名をリージョン別ドメイン名にマッピングするように、DNS レコードを設定する必要があります。カスタムドメイン名の証明書を提供する必要もあります。
4.S3
カスタムドメインの相互TLS認証に必要な証明書を取得し、S3にアップロードします。
手順は次のページにある、【クライアント証明書の発行】の手順の通り openssl でクライアント証明書を発行し、ルートCA証明書をS3にアップしておきます。
5.API Gateway
5-1.VPCリンク
「HTTP API の VPC リンク」を選択し、ENIを配置するVPC、サブネット、セキュリティを指定し作成します。
5-2.API
HTTP API を作成していきます。
Step 1:API の作成
この段階では、統合にプライベートリソースを指定できないため、「API 名」だけ入力しておきます。(統合は後で作成します。)
Step 2:ルートを設定
ここでは、「Step 1」で、統合がまだないので、何もせずに進みます。
Step 3:ステージを定義
デフォルトで何もせずに進みます。
なお、HTTP API は、"デフォルトステージ"と"自動デプロイ"に対応しています。
デフォルトステージは、
https://XXXXXXXXXX.execute-api.ap-northeast-1.amazonaws.com
のようにアクセスすることも可能になります。
自動デプロイは、その名の通り、APIを変更すると自動的にステージへデプロイしてくれる機能です。
(参考)
Step 4:確認して作成
「作成」します。
ルート
左側の「ルート」をクリックし、「Create」をクリックします。
今回は「GET」のみにし作成します。
統合
左側の「統合」をクリックし、「統合を管理」をクリック、「Create」します。
ひとつ前の手順で作成したルートを指定します。
「プライベートリソース」を指定。
「手動で選択」、「ALB/NLB」を指定し、作成済のロードバランサーとリスナーを選択。
作成済の「VPCリンク」を指定。
5-3.カスタムドメイン名
API Gateway > カスタムドメイン名 > 作成 を開き、設定していきます。
「ドメイン名」を入力し、「相互 TLS 認証」を ON。 トラストストア URI にルートCA証明書の S3 URI を入力します。
「ACM 証明書」に、作成済のSSL証明書を指定します。
「APIマッピング」から、「APIマッピングを設定」を開きます。
カスタムドメイン名に紐付けるAPIとステージを指定します。
6.テスト
これで基本的な作成は終わりで、カスタムドメイン名を利用し、相互TLS認証でアクセスすることが可能ですが、このまままでは、デフォルトのAPIエンドポイントで相互TLS認証なしでアクセスできてしまいます。
そのため、デフォルトのAPIエンドポイントは無効にしておきましょう。
テストは、クライアント証明書と秘密鍵を利用して、レスポンスがかえってくればOK。
curl -i --key my_client.key --cert my_client.pem https://<設定したカスタムドメイン名>