はじめに
自分が担当しているシステムでELBに登録しているSSL証明書をIAM管理からACM管理に変更しました。
AWS機能を利用してSSL証明書を管理する方法は2つあります。
IAMを利用する方法とACMを利用する方法です。
なぜ今までIAMで管理していたのか、ACMにすると何が良いのかを纏めておきます。
基本知識まとめ
まず基本情報についてざっと纏めます。
SSL証明書の種類
DV証明書:ドメイン証明書。ドメイン名が正しいかどうかを認証。
OV証明書:ドメイン名に加え、会社名も証明。
EV証明書:DV、OVよりも厳格な審査がある。
セキュリティレベルの高さはEV→OV→DVの順です。DVがセキュリティレベルが一番低く簡単に認証を受けられます。
参考 今さら聞けないSSL証明書とは、DV、OV、EVとは、常時SSLについて
https://shared-blog.kddi-web.com/network/244/
IAMの基本情報
正式名称:AWS Identity and Access Management
ローンチ日:2010/9/2
機能概要:AWS リソースへのアクセスを安全にコンソールするためのウェブサービス
参考 AWS Identity and Access Management ユーザーガイド
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/introduction.html
ACMの基本情報
正式名称:AWS Certificate Manager
ローンチ日:2016/1/21(東京リージョンローンチ日は2016/5/16)
機能概要:AWS ベースのウェブサイトとアプリケーション用のパブリック SSL/TLS 証明書の複雑な作成と管理を処理
証明書のインポート機能ローンチ日:2016年10月あたり
参考 AWS Certificate Manager ユーザーガイド
https://docs.aws.amazon.com/ja_jp/acm/latest/userguide/import-certificate.html
今までIAMで管理していた理由
ローンチ日を見るとACMは2016年と比較的最近リリースされています。
システム構築時はIAM一択であったことがわかりました。
さらに2016年10月にACMで外部の証明書インポート機能がリリースされたことにより、
IAMを選択する理由はほぼなくなりました。
ELB作成時のSSL証明書選択画面からもACM推奨であることが明記されています。
ACMのすごいところ
自分が感じたACMのメリットを並べてみます。(もっとあった気が。。)
・無料でDV証明書を作成できる(これは驚きました)
・ACMで作成したDV証明書は自動更新される
まとめ
外部に公開しているシステムだとOV証明書必須の場合が多いかと思いますが、
社内利用のみのシステムであればDV証明書でも問題ないのではないでしょうか。
IAM管理されているDV証明書があったらぜひACMへの移行を検討してみてください。
※2015年以前に構築され、SSL証明書を利用しているシステムは同様の状況になっていることがあるのでは