

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# VPC Lattice の独自の証明書を使用する (BYOC)
<a name="service-byoc"></a>

HTTPS リクエストを処理するには、カスタムドメイン名をセットアップする前に、AWS Certificate Manager (ACM) で独自の SSL/TLS 証明書を準備する必要があります。これらの証明書には、サービスのカスタムドメイン名と一致するサブジェクト代替名 (SAN) または共通名 (CN) が必要です。SAN がある場合は、SAN リスト内でのみ一致がチェックされます。SAN がない場合は、CN に一致があるかどうかがチェックされます。

VPC Lattice は、Server Name Indication (SNI) を使用して HTTPS リクエストを処理します。DNS は、カスタムドメイン名とこのドメイン名に一致する証明書に基づいて HTTPS リクエストを VPC Lattice サービスにルーティングします。ACM でドメイン名の SSL/TLS 証明書をリクエストするか、これを ACM にインポートするには、「AWS Certificate Manager ユーザーガイド」の「[証明書を発行して管理する](https://docs.aws.amazon.com/acm/latest/userguide/gs.html)」と「[証明書のインポート](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html)」を参照してください。ACM で独自の証明書をリクエストまたはインポートできない場合は、VPC Lattice が生成したドメイン名と証明書を使用してください。

VPC Lattice は、サービスごとにカスタム証明書を 1 つだけ受け入れます。ただし、1 つのカスタム証明書を複数のカスタムドメインに使用できます。つまり、1 つのカスタムドメイン名で作成したすべての VPC Lattice サービスに同じ証明書を使用できます。

ACM コンソールを使用して証明書を表示するには、**[証明書]** を開いて証明書 ID を選択します。**[関連リソース]** に、その証明書に関連付けられた VPC Lattice サービスが表示されます。

**制約事項と考慮事項**
+ VPC Lattice では、関連する証明書のサブジェクト代替名 (SAN) または共通名 (CN) の 1 レベル深いワイルドカード一致が可能です。例えば、カスタムドメイン名 `parking.example.com` でサービスを作成し、独自の証明書を SAN の `*.example.com` に関連付けるとします。`parking.example.com` にリクエストが送信されると、VPC Lattice は SAN を apex ドメイン `example.com` を持つ任意のドメイン名と照合します。ただし、カスタムドメインが `parking.different.example.com` で、証明書の SAN が `*.example.com` である場合、リクエストは失敗します。
+  VPC Lattice は 1 レベルのワイルドカードドメイン一致をサポートします。つまり、ワイルドカードは第 1 レベルのサブドメインとしてのみ使用でき、1 つのサブドメインレベルのみを保護します。例えば、証明書の SAN が `*.example.com` の場合、`parking.*.example.com` はサポートされません。
+ VPC Lattice は、ドメイン名ごとに 1 つのワイルドカードをサポートします。つまり、`*.*.example.com` は無効です。詳細については、「AWS Certificate Manager ユーザーガイド」の「[パブリック証明書をリクエストする](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html#request-public-console)」を参照してください。
+ VPC Lattice は 2048 ビットの RSA キーを使用した証明書のみをサポートしています。
+ ACM の SSL/TLS 証明書は、関連付けている VPC Lattice サービスと同じリージョンにある必要があります。

## 証明書のプライベートキーを保護する
<a name="securing-private-key"></a>

ACM を使用して SSL/TLS 証明書をリクエストすると、ACM はパブリックキーとプライベートキーペアを生成します。証明書をインポートすると、キーペアが生成されます。パブリックキーは証明書の一部となります。プライベートキーを安全に保存するために、ACM は AWS KMSKMS キーと呼ばれる別のキーを作成し、エイリアス **aws/acm**. はこのキーAWS KMSを使用して証明書のプライベートキーを暗号化します。詳細については、「*AWS Certificate Manager ユーザーガイド*」の「[Data protection in AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/data-protection.html)」を参照してください。

VPC Lattice AWSは、TLS Connection Manager を使用します。TLS Connection Manager はAWS のサービス、証明書のプライベートキーを保護して使用するためにのみアクセス可能なサービスです。ACM 証明書を使用して VPC Lattice サービスを作成すると、VPC Lattice は証明書を AWSTLS Connection Manager に関連付けます。これを行うには、AWSマネージドキーAWS KMSに対して で権限を作成します。この許可により、TLS Connection Manager は AWS KMSを使用して証明書のプライベートキーを復号できます。TLS 接続マネージャは、証明書と復号された (プレーンテキストの) プライベートキーを使用して VPC Lattice サービスのクライアントとの安全な接続 (SSL/TLS セッション) を確立します。証明書と VPC Lattice サービスとの関連付けが解除されると、この許可は廃止されます。詳細については、「AWS Key Management Service デベロッパーガイド」の「[グラント](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)」を参照してください。

詳細については、「[保管中の暗号化](data-protection.md#encryption-rest)」を参照してください。