あまりないケースだとは思うのですが、TLS終端を自社の管理内でやって、TLS終端したアクセスをSaaSにリクエストを転送する、ということが必要になったので実施したことを書きます。
※いやそんな場合普通ないでしょ、と思うでしょうが具体的な例として、SaaSでメルマガのURLのクリックカウントサービスを使っていて、その相手先のサーバでのTLS終端のために認証鍵を受け渡しするという煩雑な作業があり、そんなことはやめて自社でTLS終端して完結したい〜という場合があったのです…
TLS終端のやり方は複数あります。
今回はCDN(CloudFront)でTLS終端することにしました。自社管理サーバ増やしたくない(メンテナンスフリーにしたい)な…という気持ちがあったのと、NLBやALBは原則転送先も同じVPCである必要があるため今回の用途には合わないからです。
CloudFront使うとコストかかるんじゃないの、という懸念はあると思いますが、CloudFrontってリクエスト数とアウトプットのデータでの従量課金なので、今回の用途では低コストで導入できるはずです。(めっちゃくちゃクリックカウントが増えない限り)
やったことはかんたんなので箇条書きで書きます。
(転送元の自社ドメインをex.mydomain.com
とします)
- CloudFrontディストリビューションを作る
ex.mydomain.com
のドメインでCNAMEを↑で作ったディストリビューション(***.cludfront.net)にする
これでOKでした。ノーメンテで障害にも強いTLS終端するだけのディストリビューションが爆誕しました。
このような対応をすることはレアだとは思いますが、こういったレアなものほど文献はないので、誰かの参考になりますように。