AWS SAA 試験勉強(14日目)
投稿日:2026/03/14
- Amazon CloudFront はグローバル展開、パフォーマンス向上、そしてセキュリティ強化の3つを同時に実現する非常に重要なサービスです。
- 本記事では CloudFront の基本から、SAA試験で重要なポイントまで整理します。
1. CloudFront の仕組み:エッジとキャッシュ
CloudFrontは、世界中に分散された エッジロケーション を活用します。
- キャッシュによる高速化: ユーザーに近い場所からデータを返すことで、ネットワーク遅延(レイテンシ)を劇的に削減します。
- オリジンの負荷軽減: エッジがデータを肩代わりするため、S3やEC2へのリクエスト数を減らせます。
- 動的コンテンツの加速: キャッシュできない動的データ(検索結果など)も、AWSの高速なバックボーンネットワークを通るため、通常のインターネット経由より速く届きます。
2. オリジンの保護:OAC(Origin Access Control)
SAA試験で最も頻出するセキュリティ要件の一つです。
- 課題: S3をオリジンにしている場合、ユーザーがCloudFrontをバイパスしてS3のURLに直接アクセスできてしまう。
- 解決策: OAC (Origin Access Control) を設定。
- S3バケットポリシーで「CloudFrontからのアクセスのみ許可」に設定。
- 以前の OAI (Origin Access Identity) の後継機能であり、現在は OAC が推奨。
3. プライベートコンテンツの配信制御
特定のユーザーだけにアクセスを許可したい場合の設計判断です。
- 署名付きURL:
- 用途:個別のファイル(動画1本など)へのアクセスを許可。
- 仕組み:有効期限付きの専用URLを発行。
- 署名付きCookie:
- 用途:複数のファイル(会員限定エリア全体など)へのアクセスを一括で許可。
- 仕組み:ブラウザにCookieを保存させ、ページ遷移しても有効。
4. エッジでの計算:Lambda@Edge vs CloudFront Functions
サーバーまでリクエストを戻さずに、エッジでちょっとした処理を行いたい場合に使います。
| 機能 | CloudFront Functions | Lambda@Edge |
|---|---|---|
| 実行場所 | エッジロケーション | リージョン別エッジキャッシュ |
| 起動速度 | 超高速(ミリ秒未満) | わずかに遅延あり |
| 用途 | ヘッダー操作、URLリダイレクト。 | 複雑なロジック、外部API呼び出し。 |
5. SSL/TLS と証明書 (ACM)
- 重要ルール: CloudFront でカスタムドメイン(example.com等)に SSL を適用する場合、AWS Certificate Manager (ACM) の証明書は 「米国東部 (us-east-1 / バージニア北部)」 リージョンで作成・保持されている必要があります。
試験での「判断基準」チェックリスト
- 「世界中のユーザーに対して画像の表示速度を上げたい」
- 回答:CloudFront を導入
- 「S3バケットへの直接アクセスを禁止し、CloudFront経由のみにしたい」
- 回答:OAC (Origin Access Control) を使用
- 「有料会員だけに、一定期間だけ動画ファイルを公開したい」
- 回答:署名付きURL を発行
- 「ユーザーのデバイス(スマホかPCか)によって、リダイレクト先を変えたい」
- 回答:CloudFront Functions または Lambda@Edge
まとめ(14日目の振り返り)
- CloudFrontは単なる「キャッシュサーバー」ではなく、WAF(Web Application Firewall)と連携した防御拠点や、エッジコンピューティングの基盤としての側面も持っている。
- 「Route 53 (DNS) → CloudFront (CDN) → ALB/S3 (Origin)」 という流れを完璧にイメージできるようにする。