→できない
(選択肢)
・ローカルマシンを使用して、サードパーティーCImportによって署名された証明書をAWS Certificate Manager(ACM)に作成します。カスタムドメインでAmazon API GatewayにHTTP APIを作成します。証明書を使用するようにカスタムドメインを設定します
この選択肢が正解の理由は以下の通りです。
まず、企業が特定のパブリックなサードパーティー認証局(CA)によって署名されたTLS証明書を必要としているので、その証明書を自身の環境で作成した後、AWS Certificate Manager(ACM)にインポートします。これにより、AWSが証明書の管理と更新を自動で行ってくれる利点を得られます。
また、ACMは、API GatewayなどのAWSサービスに直接証明書をアタッチすることも可能です。
次に、Amazon API Gatewayとカスタムドメインを使用してREST APIを作成します。API GatewayはTLSv1.3に対応しているので、エンドポイントにTLSv1.3を強制することが可能です。
そして、カスタムドメインを用いてACMで取得した証明書を使用するよう設定することで、最終的なREST APIエンドポイントに対し、特定のCAが署名したTLS証明書を使用することが実現できます。
選択肢:AWS Certificate Manager(ACM)を使用して、サードパーティーCAが署名した証明書を作成します。Amazon API GatewayでカスタムドメインのHTTP APIを作成します。証明書を使用するようにカスタムドメインを設定します
この選択肢が正しくない理由は以下の通りです。
AWS Certificate Manager(ACM)は証明書を作成する機能を提供していますが、特定のサードパーティー認証局(CA)によって署名させることはできません。そのため、サードパーティーCAによって署名された証明書を「作成する」行為は不正確です。
これに対して正解の選択肢は、すでに所定のサードパーティーCAに署名された証明書をACMに「インポート」する方法を推奨しています。
コメント