サブドメインのACM証明書発行と権限委任をしてみた
投稿日: 2025/01/24
はじめに
こんにちは。CTCの朴木です。
あるAWSアカウントで利用しているドメインがあり、別のAWSアカウントでサブドメインを管理するためにAWS Certificate Manager(ACM)からそのサブドメインの証明書を発行しようとしたときにつまずいたので今回はそのことについて記載したいと思います。
ACMの証明書が「保留中の検証」のステータスのままで「成功」しない場合に困っている方の助けになれば嬉しいです。
実施内容と前提
アカウントAとBがあり、それぞれでHTTPSの通信が必要のためALBに証明書が必要となり、アカウントBではアカウントAのサブドメインを管理したく、ドメインの委任をしたかったのが背景となります。
前提として、アカウントAにはすでにドメインがあることとします。アカウントBにサブドメインを権限委任してそのサブドメインのACM証明書ステータスを「成功」させるまでを本記事でご説明します。
ドメインは下記とします。実際の検証には別のドメイン名を利用していますが、説明の都合上、こちらを使わせていただきます。
- アカウントAのドメイン:example.com
- アカウントBに委任するドメイン(サブドメイン):dev. example.com
ステータスを「成功」にさせるには
結論からいうと、成功しなかったのは構築する順番に起因していました。
手順を間違えたためにずっとステータスが変わらない状態で待機してました…。最初にサブドメインのACMのリクエストから始めると成功しません。
アカウントBでサブドメインのパブリックホストゾーンを作成して、そのNSレコードをアカウントAにあるドメインに登録し、そのあとにACMのリクエストを実施する手順となります。
| 手順 | アカウント | 内容 |
|---|---|---|
| 前提 | アカウントA | 利用可能なドメイン/パブリックホストゾーン(example.com)作成済み状態 |
| 1 | アカウントB | Route53にてサブドメインのパブリックホストゾーン(dev. example.com)を作成する |
| 2 | アカウントB | 作成したホストゾーンのNSレコードをコピーする |
| 3 | アカウントA | アカウントAのパブリックホストゾーンに手順2でコピーしたサブドメインのNSレコードを登録する |
| 4 | アカウントB | ACMにてサブドメインの証明書をリクエストする |
| 5 | アカウントB | ACMのサブドメインの証明書からCNAMEレコードを登録する |
上記の手順を実施すると数分でステータスが「成功」となります。
それでは実際に構築してみましょう。
サブドメインのリクエストと委任手順
アカウントAに利用可能なドメイン/パブリックホストゾーン(例:example.com)があることを前提とします。
まずはアカウントBでRoute53のサービス画面からサブドメインのホストゾーン(例:dev.example.com)を作成します。
作成したホストゾーンのNSレコードをコピーします。
ドメイン委任元のアカウントAのホストゾーンにアカウントBで作成したサブドメインのNSレコードを追加します。
アカウントAにレコードを追加したらアカウントBのAWS Certificate Manager(ACM)から証明書の発行をリクエストします。
証明書を発行したらRoute 53にCNAMEレコードを追加します。CNAMEレコードは内容をコピーして直接Route 53のホストゾーンに追加することも可能ですが、ACMの「Route 53でレコードを作成」ボタンから設定すると楽です。
「レコードを作成」ボタンをクリックするとRoute 53のホストゾーンにCNAMEレコードが追加されます。
ここから数分待つとステータスが発行済みに変わります。
これでアカウントBへのサブドメインの委任設定が完了しました!
おわりに
いかがでしたでしょうか。
サブドメインを親ドメインのアカウントとは別のアカウントに権限を渡すことによって、ドメインの運用管理を分けることができます。初めて自分で実施したときは手順を誤ってしまったため何時間たってもステータスが変わらない状態を見守ることになりましたが、正しい順番で実施すると今回の検証では5分以内に成功のステータスになりました。
同じようなエラーに悩まされている方の参考になれば幸いです。
CTCは、AWSのビジネス利活用に向けて、お客様のステージに合わせた幅広い構築・運用支援サービスを提供しています。
経験豊富なエンジニアが、ワンストップかつ柔軟にご支援します。
ぜひ、お気軽にお問い合わせください。
