Go to Qiita Advent Calendar 2024 Top
LoginSignup
2
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@leomaro7

API Gatewayのカスタムドメイン,HTTPS,相互TLS認証

Last updated at Posted at 2021-07-16

#1.構成#

API Gateway > プライベートサブネットにあるALB > lambda
 を
API Gatewayを,カスタムドメイン,HTTPS,相互TLS認証
 でアクセスできるようにしたいと思います。

API Gatewayで相互TLS認証を利用するには、カスタムドメインが必須となります。

#2.前提#

  • プライベートサブネットにあるALBから、Lambdaをターゲットとしたターゲットグループが作成済であることとします。
  • この作成手順は、割愛します。

#3.ACM#

ここでは、API Gateway のカスタムドメインで利用するSSL証明書を、Certficate Manager から、パブリック証明書を取得します。

手順は次のページにある、【Certficate ManagerでSSLを取得する】の通り行います。

なお、API Gateway でカスタムドメインを利用する場合、次のように ACM でリクエストしたドメインを利用する必要があることに注意が必要です。

(例)

  • API Gatewayのカスタムドメイン:api.example.com
  • ACMでリクエストしたドメイン名:*.example.com

(参考)

API のホスト名としてカスタムドメイン名を設定する場合、API 所有者はカスタムドメイン名の SSL/TLS 証明書を提供する必要があります。

特定のリージョンの API のカスタムドメイン名を作成すると、API Gateway は API のリージョン別ドメイン名を作成します。カスタムドメイン名をリージョン別ドメイン名にマッピングするように、DNS レコードを設定する必要があります。カスタムドメイン名の証明書を提供する必要もあります。

#4.S3#

カスタムドメインの相互TLS認証に必要な証明書を取得し、S3にアップロードします。

手順は次のページにある、【クライアント証明書の発行】の手順の通り openssl でクライアント証明書を発行し、ルートCA証明書をS3にアップしておきます。

#5.API Gateway#

##5-1.VPCリンク##
「HTTP API の VPC リンク」を選択し、ENIを配置するVPC、サブネット、セキュリティを指定し作成します。
スクリーンショット 2021-07-16 18.39.37.png
スクリーンショット 2021-07-16 18.39.47.png
スクリーンショット 2021-07-16 18.40.02.png

##5-2.API##
HTTP API を作成していきます。

Step 1:API の作成
この段階では、統合にプライベートリソースを指定できないため、「API 名」だけ入力しておきます。(統合は後で作成します。)
スクリーンショット 2021-07-16 18.19.09.png

Step 2:ルートを設定
ここでは、「Step 1」で、統合がまだないので、何もせずに進みます。
スクリーンショット 2021-07-11 16.33.51.png

Step 3:ステージを定義
デフォルトで何もせずに進みます。
スクリーンショット 2021-07-11 16.34.03.png

なお、HTTP API は、"デフォルトステージ"と"自動デプロイ"に対応しています。

デフォルトステージは、
https://XXXXXXXXXX.execute-api.ap-northeast-1.amazonaws.com
のようにアクセスすることも可能になります。

自動デプロイは、その名の通り、APIを変更すると自動的にステージへデプロイしてくれる機能です。

(参考)

Step 4:確認して作成
「作成」します。

ルート
左側の「ルート」をクリックし、「Create」をクリックします。

今回は「GET」のみにし作成します。
スクリーンショット 2021-07-16 18.58.06.png

統合
左側の「統合」をクリックし、「統合を管理」をクリック、「Create」します。

ひとつ前の手順で作成したルートを指定します。
スクリーンショット 2021-07-16 19.02.11.png
「プライベートリソース」を指定。
スクリーンショット 2021-07-16 19.02.22.png
「手動で選択」、「ALB/NLB」を指定し、作成済のロードバランサーとリスナーを選択。
スクリーンショット 2021-07-16 19.02.33.png
作成済の「VPCリンク」を指定。
スクリーンショット 2021-07-16 19.02.44.png

##5-3.カスタムドメイン名##

API Gateway > カスタムドメイン名 > 作成 を開き、設定していきます。

「ドメイン名」を入力し、「相互 TLS 認証」を ON。 トラストストア URI にルートCA証明書の S3 URI を入力します。
スクリーンショット 2021-07-16 18.49.39.png

「ACM 証明書」に、作成済のSSL証明書を指定します。
スクリーンショット 2021-07-11 16.19.53.png

「APIマッピング」から、「APIマッピングを設定」を開きます。
スクリーンショット 2021-07-16 19.09.44.png

カスタムドメイン名に紐付けるAPIとステージを指定します。
スクリーンショット 2021-07-16 19.10.30.png

#6.テスト#

これで基本的な作成は終わりで、カスタムドメイン名を利用し、相互TLS認証でアクセスすることが可能ですが、このまままでは、デフォルトのAPIエンドポイントで相互TLS認証なしでアクセスできてしまいます。
そのため、デフォルトのAPIエンドポイントは無効にしておきましょう。
スクリーンショット 2021-07-16 19.29.36.png

テストは、クライアント証明書と秘密鍵を利用して、レスポンスがかえってくればOK。

curl -i --key my_client.key --cert my_client.pem  https://<設定したカスタムドメイン名>

#7.リンク#

Amazon API Gateway

2
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?