AWS Certificate Manager(ACM)証明書は、us-east-1以外のリージョンのElastic Load Balancerインスタンスで使用できますか?
Amazonは最近、新しいAWS Certificate Manager(ACM)サービスを発表しました。これは有望に見えますが、現在はus-east-1リージョンでのみサポートされています。
Us-west-2リージョンに既存のリソースがあります。 ACMを使用して証明書を作成し、それをus-west-2のELBインスタンスで使用することはできますか?または、Amazonが他の地域にサービスを展開するのを待つ必要がありますか? documentation はこの点でイライラするほどあいまいです。
(おそらく)関連する質問:
今のところ、いいえ。
質問への回答は、ACM FAQの完全に異なる質問の下に少し隠されています:
Q:複数のAWSリージョンで同じ証明書を使用できますか?
Elastic Load BalancingとAmazon CloudFrontのどちらを使用しているかによって異なります。 異なる地域の同じサイト(同じ完全修飾ドメイン名、またはFQDN、またはFQDNのセット)に対してElastic Load Balancingで証明書を使用する場合(ACMが追加のリージョン)、それを使用する予定のリージョンごとに新しい証明書をリクエストする必要があります。米国東部(バージニア北部)リージョンで発行され、Amazon CloudFrontに関連付けられた証明書配布は、配布用に構成された地理的な場所に配布されます。 (強調を追加)
このことから、サービスがそれぞれのリージョンにデプロイされるまで、us-east-1外のELBにはサービスを使用できないと安全に結論付けることができます。
AWSグローバルインフラストラクチャページ は、us-east-1でのみ(この記事の執筆時点で)利用可能なサービスを示しています。
CloudFrontでのグローバルな可用性と比較した、ELBのリージョン内のみの可用性間の明らかな不一致は、us-east-1がすべてのCloudFront Edgeロケーションのプロビジョニングを実際に制御するインフラストラクチャを収容するリージョンであるという事実によって説明されます.
これで機能するようになりました。証明書マネージャーに証明書を要求し、米国西部(オレゴン)のElastic Load Balancerに割り当てました。 EC2インスタンスをELBに追加し、ELBがEC2インスタンスのポート443ではなくポート80をポイントするようにしました(これは、私が想定しているよりも高速です)。次に、ELBはユーザーとEC2インスタンス間の接続を暗号化します。
ACMを使用して証明書を作成し、それをus-west-2のELBインスタンスで使用することはできますか?
はい、公式ドキュメントから here を確認できるように、ACMが他のリージョンでサポートされるようになりました。