目次
はじめに
こんにちは、ディーネットの山田です。
昨年末ですが、自分のAWSアカウントを大掃除していた時のお話です。
タイトルにある通り、ACMに関連付けられたリソースで、知らんやつがいました。
事象
バージニア北部のACMの証明書
バージニア北部で発行されたACMの証明書を削除しようとしたら、「関連付けられたリソース」に自分の知らないAWSアカウントIDを持つCloudFrontが紐付いていることが発覚した。
この時点で、AWSアカウントIDが自分のものではないし、”誰?”ってなりました。
同時に”このSSL証明書悪用されている?”とも不安になりました。
原因(犯人)
バージニア北部のACMの証明書を使っていたのは、AppSyncのカスタムドメインでした。
不意にAppSyncのカスタムドメインを見つけたので、よくよく見てみるとここで、ACMの証明書を使っていました。
AppSyncのドキュメントにはこのように書いてました。
AWS AppSync API のカスタムドメイン名を作成すると、 Amazon CloudFront ディストリビューションが設定されます。カスタムドメイン名を CloudFront ディストリビューションドメイン名にマッピングするには、DNS レコードを設定する必要があります。このマッピングは、マッピングされた CloudFront ディストリビューションを介してカスタムドメイン名 AWS AppSync にバインドされた API リクエストをルーティングするために必要です。カスタムドメイン名の証明書を提供する必要もあります。
カスタムドメイン名を設定したり、証明書を更新したりするには、CloudFront ディストリビューションを更新し、使用する AWS Certificate Manager (ACM) 証明書を記述するアクセス許可が必要です。これらのアクセス許可を付与するには、アカウントの IAM ユーザー、グループ、またはロールに次の AWS Identity and Access Management (IAM) ポリシーステートメントをアタッチします。
うん、気づかないです・・・
解消方法
無事にAppSyncのカスタムドメインを削除したら、解消した
AppSyncのカスタムドメイン名に該当するものがあったので、削除しました。
バージニア北部のACMの証明書
バージニア北部で発行されたACMの証明書で、「関連付けられたリソース」が消えました。
「使用中ですか?」が「いいえ」になりました。
これでめでたく、ACMの証明書が削除できるようになりました。
まとめ
- ACMの証明書をAppSyncのカスタムドメイン名で使用していたら、AWSサービスアカウント?のCloudFrontディストリビューションが関連付けられたリソースに表示されます。
- 他にもこういった事象がある場合があるので、どこに割り当てたかちゃんと管理しておきましょう。
プロフィール
テクニカルサポートは卒業して、フロントサイドでお客様環境の構築をさせていただいております。
たまに、テクニカルサポートでご対応させていただくことがあるかもしれませんが、その際はよろしくお願いいたします。
インフラ系のエンジニアですが、時々休日プログラマー(Python、PHP)をやっております。