AWSでWebサイトをSSL(HTTPS)化する構成パターン

2020年6月5日金曜日

AWS

前提
・WebサイトはEC2上にWebサーバを立てる(S3は今回意識しない)
・SSL証明書は無料のものを使う
・サーバメンテナンスも考慮に入れた構成にする

①EC2構成
 ・SSL証明書は外部認証局(ここではLet'sEncrypt)で発行し、EC2内に組み込む
 ・サーバメンテナンスはSystemsManagerから行うことで、EC2のポート開放は最小限に留めている。
 ・EC2がパブリックIPを持つことになるので、セキュリティは低め










②CloudFront+EC2構成
 ・SSL証明書はCertificate Managerで発行し、CloudFrontに割り当てる
 ・サーバメンテナンスはSystemsManagerから行うことで、EC2のポート開放は最小限に留めている。
 ・EC2がパブリックIPを持つことになるが、手前にCloudFrontがあることでセキュリティは①よりはまし
 ・EC2のセキュリティグループでCloudFrontのIPレンジを指定することでセキュリティはやや向上するが
 IPレンジは変わることがあるらしいので、メンテナンスが面倒になる。
 ・CloudFrontを配置することで、CDNの効果が見込まれる。









 ③ELB+EC2構成
 ・SSL証明書はCertificate Managerで発行し、ELBに割り当てる
 ・サーバメンテナンスは踏み台サーバにSystemsManagerで接続し、WebサーバにはSSH接続する構成
 →メンテナンスは、VPC endpointでSystemsManagerとの通信する構成でも良い
 ・EC2がプライベートサブネットに配置されるので、セキュリティは高め
 ・ELBを配置することで負荷分散が可能
 









 ④CloudFront+ELB+EC2構成
 ・SSL証明書はCertificate Managerで発行し、CloudFrontに割り当てる
 ・サーバメンテナンスはVPC endpoint経由でSystemsManagerと接続する構成
 →パブリックサブネットに踏み台を置いてSSH接続する構成でも良い
 ・EC2がプライベートサブネットに配置されるので、セキュリティは高め
 ・ELBを配置することで負荷分散が可能
 ・CloudFrontを配置することで、CDNの効果が見込まれる。









とりあえず立ててみる程度なら①、②で、商用なら③、④が良いと思います。

このブログを検索

自己紹介

IT関連の技術情報や、取り組んでいる業務効率化について掲載。人手不足対策、教育についても興味あり。

アーカイブ

連絡フォーム

名前

メール *

メッセージ *

QooQ