AWS CloudFront

AWS CloudFront コネクタにより、DigiCert® Trust Lifecycle Manager を使用して AWS CloudFront コンテンツ配信ネットワーク（CDN）で証明書を検出および管理できます。

このコネクタは、ネットワーク内のオンプレミスの DigiCert センサーを使用して、AWS（Amazon Web Services）との統合を安全に管理できるように支援します。

このコネクタを追加すると、Trust Lifecycle Manager は、AWS CloudFront 内の既存の証明書を検出して、一元的なインベントリに追加します。そこから、CloudFront CDN 内の証明書ライフサイクルを管理および自動化し、有効な証明書が常に展開されている状態に保つことができます。

開始する前に

AWS CloudFront への接続を確立して管理するために、ネットワーク上で少なくとも 1 つの DigiCert センサーがアクティブになっている必要があります。詳細については、「センサーを展開および管理する」を参照してください。
「authentication methods」のセクションに記載されているとおり、AWS クレデンシャルを使用してセンサーシステムを構成しておくか、またはコネクタの構成に使用する AWS アクセスキーと秘密鍵を手元に用意しておきます。
使用する AWS クレデンシャルが、以下の AWS マネージドポリシーまたは同等の権限を含む AWS アカウントのものであることを確認します。
- CloudFrontFullAccess
- AWSCertificateManagerFullAccess
- IAMReadOnlyAccess

認証方法

Trust Lifecycle Manager は、AWS CloudFront コネクタで AWS（Amazon Web Services）アカウントに対するさまざまな認証方法をサポートしています。

サポートされている AWS 認証方法

Trust Lifecycle Manager でコネクタをセットアップするために、以下の AWS 認証方法を使用します。構成パラメータ列は、Trust Lifecycle Manager で指定する必要があるパラメータを認証方法ごとに示しています。

認証方法	構成パラメータ	説明
自己認証	アクセスキー秘密鍵	Trust Lifecycle Manager のコネクタ設定ページで、AWS クレデンシャルを入力します。
デフォルトの AWS クレデンシャルプロバイダチェーン	—	DigiCert 管理センサーに対して、以下のいずれかの方法で構成されたデフォルトの AWS クレデンシャルを使用します。環境変数: 『AWS の公式ドキュメント』に記載されているとおり、センサーシステムで環境変数として AWS クレデンシャルを設定します。デフォルトプロファイル: 『AWS の公式ドキュメント』に記載されているとおり、AWS クレデンシャルを、センサーシステム上の AWS config ファイルと credentials ファイル内のデフォルトプロファイルに追加します。
AWS プロファイル名	プロファイル名	『AWS の公式ドキュメント』に記載されているとおり、管理センサー上のローカルの AWS config ファイルおよび credentials ファイル内の名前付きプロファイルから AWS クレデンシャルを使用します。［プロファイル名］パラメータに、センサーシステムで使用する AWS プロファイルの名前を入力します。

DigiCert センサーでのAWS ファイルの場所

デフォルトの AWS クレデンシャルプロバイダチェーンとAWS プロファイル名の認証方法では、DigiCert 管理センサーは、センサーのオペレーティングシステム（OS）に応じて以下のデフォルトディレクトリ内の AWS config ファイルおよび credentials ファイルを探します。

DigiCert センサーの OS	AWS config および credentials ファイルのデフォルトディレクトリ
Windows	C:\Windows\System32\config\systemprofile\.aws
Linux	/root/.aws
Docker	~/.aws/:/root/.aws （注: このパスを、docker-compose.yml ファイル内の「volumes」の下に追加します。）

DigiCert センサーの OS

AWS config および credentials ファイルのデフォルトディレクトリ

Windows

C:\Windows\System32\config\systemprofile\.aws

Linux

/root/.aws

Docker

~/.aws/:/root/.aws

（注: このパスを、docker-compose.yml ファイル内の「volumes」の下に追加します。）

AWS CloudFront コネクタを追加する

Trust Lifecycle Manager で AWS CloudFront コネクタを追加するには、以下の手順に従います。

Trust Lifecycle Manager メインメニューから、［Integrations > Connectors］を選択します。
［コネクタの追加］ボタンを選択します。
［クラウドサービス］の下で、［AWS CloudFront］のオプションを選択します。
［コネクタの追加］フォームに情報を入力します。
- ［名前］: コネクタが識別しやすくなるように、フレンドリ名を入力します。
- ［事業部門］: 管理目的で、このコネクタの事業部門を選択します。この事業部門に割り当てられたユーザーだけが、コネクタを管理できます。
- ［管理センサー］: AWS（Amazon Web Services）アカウントへの接続を確立して管理するために、ネットワーク上のアクティブな DigiCert センサーを選択します。
- ［アカウント ID］: Trust Lifecycle Manager を通して管理する CloudFront インスタンスを持つ AWS アカウントの ID を入力します。
- ［認証方法］: AWS 認証方法を選択し、上記の「authentication methods」のセクションに記載されているとおり、必要な構成パラメータを入力します。
［Add］を選択し、構成した設定で AWS CloudFront コネクタを作成します。

次の手順

ディスカバリー

Trust Lifecycle Manager は、接続された AWS CloudFront インスタンス上の既存の証明書と保護されていないエンドポイントを検出します。
［Integrations > Connectors］ページで、コネクタの名前を選択してコネクタの詳細を表示し、Trust Lifecycle Manager で見つかった資産の数を確認します。［検出された資産］セクション内のリンクを使用して、インベントリ内の該当する資産を表示します。

自動化

接続された AWS CloudFront インスタンス内の証明書の管理を自動化するには、証明書ライフサイクル自動化をセットアップします。
CloudFront 証明書管理用に作成する証明書自動化プロファイルで、DigiCert sensor 登録方法を選択します。

このセクションの内容: