CloudFrontを使用してS3静的ウェブサイトを提供する手順

S3静的ウェブサイトを、CloudFrontを通じて提供したいと思います。今回はいくつかの前提の元、実施してみました。 DNS管理者、AWS管理者、コンテンツ管理者がそれぞれ別の部などでわかれ、AWSにて提供するウェブサイトは随時増えていく想定です。

#Amazon S3

#Amazon CloudFront

#AWS

坂巻一義

2019.04.11

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、坂巻です。

S3静的ウェブサイトを、CloudFrontを通じて提供したいと思います。今回はいくつかの前提の元、実施してみました。

前提／構成

DNS管理者、AWS管理者、コンテンツ管理者がそれぞれ別の部等にわかれ、AWSにて提供するウェブサイトは随時増えていく想定です。イメージは以下となります。

DNS管理者
AWS外のネームサーバでDNSレコード設定等を行います。ドメイン、SSL証明書をAWS外で調達します。調達した証明書はAWS管理者に連携します。
AWS管理者
CloudFront、S3バケットなど、AWSの構築、管理を行います。
コンテンツ管理者
コンテンツを作成し、S3へアップロードします。他者のコンテンツにはアクセスできません。

本エントリは、上記、赤枠のAWS管理者を中心にした内容となります。

ここでは、ドメインはFreenomを利用し、SSL証明書はLet’s Encryptを利用しました。

S3バケット作成

前提に記載の通り、AWS管理者の作業となります。ログ保存用のバケット（S3、CloudFront）と、コンテンツ格納用のバケットを作成します。

S3アクセスログ用バケット

S3アクセスログの格納用のバケットを作成します。任意のバケット名（ここではs3-accesslog-xxxxxxxxxxxx）を入力して、「次へ」をクリックします。

デフォルト設定のまま「次へ」をクリックします。

S3アクセスログの格納は、ログ配信グループと呼ばれる特別なログ配信アカウントを使用してアクセスログを書き込みますので、「システムのアクセス許可の管理」で「Amazon S3 ログ配信グループにこのバケットへの書き込みアクセス権限を付与する」を選択し「次へ」をクリックします。

設定値を確認し「バケットを作成」をクリックします。

S3アクセスログ用のバケットが作成できました。

CloudFrontアクセスログ用バケット

CloudFrontアクセスログ格納用のバケットを作成します。任意のバケット名（ここではcf-accesslog-xxxxxxxxxxxx）を入力して、「次へ」をクリックします。

デフォルト設定のまま「次へ」をクリックします。

設定値を確認し「バケットを作成」をクリックします。

CloudFrontアクセスログ用のバケットが作成できました。

コンテンツ用バケット

コンテンツ格納用のバケットを作成します。任意のバケット名（ここではnochan.tk-xxxxxxxxxxxx）を入力して、「次へ」をクリックします。

「バージョンニング」と、「サーバアクセスログの記録」を有効化しました。（こちらの設定は任意です。）コンテンツ用バケットのアクセスログは、S3アクセスログ用のバケットに集約させます。ターゲットバケットには、S3アクセスログ用のバケット（ここではs3-accesslog-xxxxxxxxxxxx）を指定し、ログ記録のターゲットプレフィックスに任意の名称（ここではnochan.tk/）を設定します。

デフォルト設定のまま「次へ」をクリックします。

設定値を確認し「バケットを作成」をクリックします。

コンテンツ格納用のバケットが作成できました。

ACM証明書インポート

DNS管理者から連携された証明書をACMにインポートします。CloudFrontにSSL証明書を設定しますので、証明書をインポートするリージョンはバージニア北部となります。

CloudFront で SSL/TLS の証明書を使用するための要件

コンソールよりCertificate Managerを起動して「証明書のインポート」をクリックします。

証明書の情報を入力し「レビューとインポート」をクリックします。

「インポート」をクリックします。

正常にインポートが行われました。現時点では「使用中？」の値は「いいえ」となっています。

なお、証明書情報の入力に誤があると、インポート時にエラーとなりインポートが失敗します。エラーが検出された際は、以下を確認してください。

証明書のインポートの問題のトラブルシューティング

CloudFrontディストリビューション作成

コンソールよりCloudFrontを起動し、ディストリビューションの作成にて、webディストリビューションの「Get Started」をクリックします。

独自ドメインを設定し、コンテンツ格納用バケット内のオブジェクトに、CloudFrontがアクセスできるようにします。HTTPリクエストはHTTPSにリダイレクトさせ、アクセスログを出力するように設定します。以下を指定し「Create Distribution」をクリックします。

Origin Domain Name … 先ほど作成したコンテンツ用のバケットを選択（ここではnochan.tk-xxxxxxxxxxxx）
Restrict Bucket Access … Yes を選択
Origin Access Identity … Create a new identity を選択
Grant Read Permissions on Bucket … Yes, Update Bucket Policy を選択
Viewer Protocol Policy … Redirect HTTP to HTTPS
Alternate Domain Names … 利用する独自ドメインを入力
SSL Certificate … Custom SSL Certificateを選択し、ACMにインポートした証明書を選択
Default Root Object … 任意のオブジェクトを入力（Alternate Domain Namesリクエスト時に返すオブジェクト）
Logging … On を選択
Bucket for Logs … 先ほど作成したCloudFrontアクセスログ用のバケットを選択（ここではcf-accesslog-xxxxxxxxxxxx）
Log Prefix … 任意のプレフィックを入力

「State」が「Enabled」になったことを確認して、Domain Name（ここではd1tq5pvyvycu5.cloudfront.net）を、DNS管理者に連携します。

ACMを確認すると「使用中」の値が「はい」となっていることが確認できます。

IAMユーザ作成

コンテンツ管理者用が利用するIAMユーザを作成します。

カスタマー管理ポリシー作成

IAMユーザに付与するポリシーを作成します。コンソールよりIAMを起動し「ポリシーの作成」をクリックします。

「JSON」をクリックします。

ポリシーは特定のバケット(ここではnochan.tk-xxxxxxxxxxxx)のみ、全アクションを許可し、バケットの作成、削除については制限します。以下、ポリシーを設定し「ポリシーの確認」をクリックします。

ポリシー

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::nochan.tk-xxxxxxxxxxxx",
                "arn:aws:s3:::nochan.tk-xxxxxxxxxxxx/*"
            ]
        },
        {
            "Effect": "Deny",
            "Action": [
                "s3:DeleteBucket",
                "s3:CreateBucket"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

任意のポリシー名を設定し「ポリシーの作成」をクリックします。