如何正确使用AWS ACM？

Question

我们在美国西部2区的基础设施建设已经准备就绪。我们在us-east-1设置了ssl证书。API网关要求必须在该地域。

在us-west-2中，我们可以很好地使用API Gateway中的证书。我们也想在我们的ELB上使用它。但ELB要求ACM证书位于同一区域。

证书是一个*.domain.com，所以它适用于我们所有的子域。将证书与API网关和ELB一起使用的正确方式是什么？

Answer 1

这种情况我已经遇到过很多次了。API Gateway with ACM实际上在幕后创建了一个CloudFront分发版(请参阅Set up Custom Domain Name for API Host Name)。CloudFront耗尽了位于us-east-1区域的AWS Global。

这里的限制是ELB requires the certificate to be in the same region as the ELB。

好消息是，您可以在us-west-2中创建第二个通配符证书，并在ELB中使用该证书，因为ACM不关心证书之间的重复域。

如果您绝对需要ELB和API Gateway使用相同的证书，我所知道的唯一选择就是将您的基础设施迁移到us-east-1中。在我看来，拥有两个证书似乎是更好的选择。