CloudFront ディストリビューションとロードバランサー間の HTTPS 接続が失敗する原因を教えてください。

解決策

関連する SSL/TLS 証明書、セキュリティグループ、またはネットワークアクセスコントロールリスト (ネットワーク ACL) に問題がある場合、HTTPS 通信は失敗します。ディストリビューションとロードバランサーが次のセキュリティ要件を満たしていることを確認してください。

• ロードバランサーには有効な SSL/TLS 証明書がインストールされている必要があります。SSL/TLS 証明書をインストールした後も HTTPS エラーが解消されない場合は、CloudFront とカスタムオリジンサーバー間の SSL/TLS 接続をトラブルシューティングします。
• ポート 443 経由でディストリビューションをロードバランサーに接続するには、ロードバランサーのセキュリティグループは、CloudFront IP アドレスからのトラフィックをポート 443 で許可する必要があります。詳細については、「Classic Load Balancer のセキュリティグループ設定」または「Application Load Balancer のセキュリティグループ」を参照してください。
• ディストリビューションにアタッチされたセキュリティグループに属する CloudFront IP アドレスのみを許可するには、AWS マネージドプレフィックスリストを使用します。このリストにはすべての CloudFront IP アドレスが含まれ、変更があれば自動更新されます。詳細については、「Amazon CloudFront で AWS マネージドプレフィックスリストを使用してオリジンへのアクセスを制限する」を参照してください。
• ロードバランサーの Amazon 仮想プライベートクラウド (Amazon VPC) に関連付けられたネットワーク ACL は、HTTPS ポート経由で CloudFront からのトラフィックを許可する必要があります。通常、このポートは 443 です。
• 内部 Application Load Balancer を作成した場合、VPC オリジンとして追加した場合を除き、CloudFront はリクエストをそのロードバランサーにルーティングできません。

注: サーバー名表示 (SNI) を使用すると、スマートセレクションにより、複数の SSL/TLS 証明書をアプリケーションロードバランサーに追加できます。ディストリビューションのキャッシュがホストヘッダーに基づいて行われる場合は、同じ名前の SSL/TLS 証明書を Application Load Balancer で構成します。この構成を行わない場合、Application Load Balancer はデフォルトの証明書を使用します。その証明書は、CloudFront の ClientHello メッセージに関連付けられた SNI と一致しない可能性があります。

関連情報

CloudFront とカスタムオリジン間の通信で HTTPS を必須化する