AWS EC2にLAMPがインストールされているソリューションを設計する必要があります。 EC2は自動的に調整されます。 EC2にはLAMP用のHTTPSが必要です。証明書には自己署名することができますが、秘密鍵は保護する必要があります。つまり、秘密鍵はEC2インスタンスでハードコードされるべきではありません(これはベストプラクティスではありません)。また、HTTPSはEC2に由来し、ELB、CloudFront、ACMなどではありません。AWSで自動スケールされるLAMP EC2に証明書を提供
誰かがベストプラクティスの提案に手伝ってくれますか?
Amazonのベストプラクティスは、SSLサーバー証明書をIAMに保存することです。
IAMは秘密鍵を安全に暗号化し、暗号化されたバージョンをIAM SSL 証明書ストレージに保存します。 IAMはすべての 地域にサーバー証明書を展開することをサポートしていますが、AWSで使用する外部 プロバイダから証明書を取得する必要があります。 ACM証明書を IAMにアップロードすることはできません。また、IAM コンソールから証明書を管理することはできません。
Working with Server Certificates
アマゾンcerficationを取っていますか?私が正しく覚えていれば、これは試験の1つ(多分SAA)の質問だった。
ロードバランサではなく、EC2インスタンスでSSLを終了する必要があるのはなぜですか?
飛行中のデータのエンドツーエンド暗号化が必要な場合は、EC2で自己署名証明書を使用してELBとEC2間で通信できます。
これは、秘密鍵をEC2に配置する必要がないことを意味します。
EC2インスタンスのIAMロールだけがアクセスできる暗号化されたS3バケットに秘密鍵を格納することができます。 EC2インスタンスのユーザーデータでは、証明書をプルダウンして適切なディレクトリに置きます。 LAMPスタックがすでにインストールされているAMIを構築することができます。
EC2上でSSLを終了する必要があるセキュリティポリシーに従っている - コンプライアンス要件に裏打ちされました。 – RajDev
パブリック商用証明書(購入済みまたはACM経由)を取得した場合は、その証明書をELBで使用し、EC2で自己署名証明書を使用してパス全体を暗号化できますか?コンプライアンスの高いワークロードを実行している場合、CloudHSMを見てSSLをオフロードすることができます。秘密鍵をEC2インスタンスにデプロイするのは、一般にセキュリティ上の慣習ではありません。 – chris