はじめに
背景
本ドキュメントは、AWSで使われるさまざまなURLについて、形式や生成方法、設定時の注意点を分かりやすくまとめたものです。クラウド上のサービス間通信や外部公開でURLを扱う場面が増えており、正しい理解が重要です。
本書の目的
各サービスごとのURLの構造と作り方、典型的な利用例、設定手順のポイント、セキュリティ上の注意点を丁寧に解説します。技術的な背景は最小限にし、具体例を交えて説明します。
対象読者
AWSを使い始めたエンジニアや運用担当者、システム設計者を想定しています。基本的なクラウドの用語が分かれば読み進められます。
本書の構成
第2章以降で個別のサービス(Lambda関数URL、S3のプリサインドURL、CloudFrontの署名付きURL、ALBの書き換え、Managed ADのアクセス、認証用サインインURL、Elastic BeanstalkのLaunch Now URL)について順に解説します。
注意事項
実際の運用では権限管理と有効期限の設定に注意してください。ここで扱う手順は、AWSのコンソールやCLIのバージョンにより画面やコマンドが変わることがあります。
AWS Lambda関数URL
概要
Lambda関数URLは、Lambda関数に直接割り当てるHTTP(S)エンドポイントです。API Gatewayを使わずにブラウザやcurlから関数を呼び出せます。一度作成するとURLは変わりませんので、固定のエンドポイントが必要な場合に便利です。
URL形式
形式は次のとおりです。
https://.lambda-url..on.awsは一意の識別子、はリージョン名です。
作成と設定(CloudFormation)
CloudFormationではAWS::Lambda::Urlリソースで作成します。主な設定はAuthType(NONEまたはAWS_IAM)、Cors(許可するオリジンやメソッド)、TargetFunctionArn(対象関数のARN)です。簡単なYAML例:
MyUrl:
Type: AWS::Lambda::Url
Properties:
TargetFunctionArn: arn:aws:lambda:...:function:MyFunc
AuthType: NONE
Cors:
AllowOrigins: ['*']
認証とCORS
AuthTypeがNONEだと匿名でアクセスできます。公開したくない場合はAWS_IAMにして署名付きリクエストで保護します。CORSはブラウザからの利用時に重要で、必要なオリジンとメソッドだけを許可してください。
利用例(curl)
JSONをPOSTする例:
curl -X POST ‘https://.lambda-url..on.aws’ \
-H ‘Content-Type: application/json’ \
-d ‘{“key”:”value”}’
注意点
URLは固定ですが、関数の権限と料金に注意してください。公開すると認証やレート制御を別途実装する必要があります。
Amazon S3のURL形式
概要
S3オブジェクトを指す代表的な形式にs3:///があります。これはCLIやSDKで使う論理的なURIです。共有にはプリサインドURL(署名付きURL)を用い、一時的にオブジェクトへアクセス権を与えます。
S3のURIとHTTP URLの違い
- S3 URI(例): s3://my-bucket/path/to/object.txt — CLIやSDKで指定します。
- HTTP URL(例): https://my-bucket.s3.amazonaws.com/path/to/object.txt(バーチャルホスト方式)
または https://s3.amazonaws.com/my-bucket/path/to/object.txt(パス方式)
HTTP URLはブラウザやcurlで直接アクセスする際に使います。
プリサインドURLの生成と使い方
CLI例: aws s3 presign s3://my-bucket/path/to/object.txt –expires-in 3600
SDK例: JavaScriptのgetSignedUrl、Pythonのgenerate_presigned_urlなどを使います。プリサインドURLはGETやPUTなど特定の操作を一時的に許可し、署名はクエリパラメータとして付与されます。
オプションとして有効期限(expires)、リージョン、カスタムエンドポイント(S3互換ストレージ)を指定できます。
注意点
- 有効期限が切れるとアクセスできません。
- HTTPSで利用し、最小限の権限で署名を作成してください。
- カスタムエンドポイントを使う際はリージョンと時刻同期に注意してください。
Amazon CloudFrontの署名付きURL
CloudFrontの署名付きURLは、配布したコンテンツを限定された利用者だけに提供するための仕組みです。公開したくないファイルに対して、期限やアクセス元IP、開始日時などの条件を付けることができます。
使い分け(簡単)
- 缶詰ポリシー(Canned Policy): 1つのファイルに対して短い署名を付ける簡単な方法です。主に単一のURLに向きます。
- カスタムポリシー: 複数ファイルやワイルドカードを含む柔軟な制御が可能です。JSONで条件を細かく書けます。
カスタムポリシーの例
{"Statement":[{"Resource":"https://d123.cloudfront.net/images/*","Condition":{"DateLessThan":{"AWS:EpochTime":1712000000},"DateGreaterThan":{"AWS:EpochTime":1711990000},"IpAddress":{"AWS:SourceIp":"203.0.113.0/24"}}}]}
上の例では/images/配下のファイルに対して、有効開始・終了とIPレンジで制限します。ワイルドカード(* や ?)を使えばパスの柔軟な指定が可能です。
署名付きURLの作り方(流れ)
- ポリシーを作る(カスタムか缶詰)。
- ポリシーをプライベートキーで署名する。
- 署名(または署名とポリシー)をURLパラメータとして付与する。例:
https://d123.cloudfront.net/images/pic.jpg?Policy=...&Signature=...&Key-Pair-Id=...
注意点: プライベートキーは厳重に管理してください。期限やIPを短めに設定すると安全性が高まります。
AWS Application Load Balancer(ALB)のURL書き換え
概要
2025年10月から、ALBは正規表現マッチングに基づくネイティブなURLとホストヘッダーの書き換え機能を提供します。これによりサードパーティのリバースプロキシを挟まずに、複数ドメインのルーティングやパスの変換を行えます。Transforms機能を使うと、パスプレフィックスの追加・削除・修正が簡単にできます。APIのバージョン移行やドメイン統合で役立ちます。
利用例(具体例)
- APIバージョン移行: クライアントが /api/v1/users を呼ぶと、ALBが /api/v2/users に書き換えて新しいバックエンドに送る。
- マルチドメイン: example.net と example.org を同じターゲットグループにまとめるが、ホストごとにパスを変換して処理を分ける。
例(イメージ):
– マッチ条件: Host is api.example.com, Path matches ^/v1/(.*)
– 変換: Path -> /v2/$1
– 結果: /v1/orders → /v2/orders にリライトされバックエンドへ送信
設定時のポイント
- 正規表現のキャプチャを活用すると柔軟にパスを再構成できます。
- 既存のヘッダーやクエリ文字列は通常保持されますが、必要に応じて明示的に設定を確認してください。
- 健康チェックやログ設定を見直し、書き換え後のパスで想定どおり動作するか確認します。
注意点
- ルールの順序やマッチ条件で意図しない書き換えが起きることがあるため、段階的にテストしてください。
- リダイレクトではなく内部リライトとなるため、クライアント側のURL表示は変わらない点に注意してください。
- セキュリティやCORSの設定は、書き換え後のホスト・パスに合わせて見直してください。
実運用では、まずステージング環境でルールを検証し、ログを確認してから本番に導入することをおすすめします。
AWS Managed Microsoft ADのアクセスURL
概要
AWS Managed Microsoft ADのアクセスURLは、Amazon WorkDocsなどのAWSサービスや社内アプリのログイン画面へ誘導するために使います。ディレクトリそのものが認証基盤となり、各サービスのサインインページがADに対して認証要求を送ります。
URLの形式と例
アクセスURLはサービス側のサインインページに依存します。例:
– WorkDocsの共有ページ: https://.workdocs.aws/
– WebアプリがAD FS経由の場合: https://adfs./adfs/ls/
– LDAP/LDAPS接続(管理用): ldap://dc1. または ldaps://dc1.:636
プレースホルダ部分は自社のドメイン名やディレクトリ名に置き換えてください。
利用シーン
- Amazon WorkDocsや社内ポータルのシングルサインオン
- 管理者がADに接続してユーザー管理やグループ設定を行う
- アプリケーションがLDAPでユーザー検索を行う
セキュリティと運用上の注意
- 常にHTTPS/LDAPSを使い、証明書が有効か確認してください。
- アクセスを必要最小限のIPに制限し、管理者アカウントは多要素認証を有効にしてください。
- URLが動かないときはDNS設定や証明書、ポートが開いているかをまず確認します。
トラブルシューティングの簡単な手順
- ブラウザでURLを開き、証明書エラーを確認
- nslookupでDNS解決を確認
- ポート(HTTPS:443、LDAPS:636)が到達可能か確認
- AWSコンソールのDirectory Serviceでディレクトリの状態を確認
必要があれば、具体的なURL形式や手順をお伺いして、さらに詳しくご案内します。
AWS認証用サインインURL
概要
AWSサインイン用URLは管理者がカスタマイズできます。標準的な形は
– https://d-xxxxxxxxxx.awsapps.com/start
– https://your_subdomain.awsapps.com/start
のいずれかです。ユーザーはこのURLからシングルサインオン(SSO)やAWSマネジメントコンソールへアクセスします。
標準形式と例
d-で始まる形式はAWSによるドメイン割当てです。your_subdomainは組織が独自に設定したサブドメイン例:https://corpname.awsapps.com/start
カスタマイズ方法(管理者向け)
AWS Identity Center(旧AWS SSO)または組織の設定画面でサブドメインを指定します。設定後、DNSやSSLはAWS側で管理されるため管理者は簡単に運用できます。
利用手順(ユーザー向け)
- 管理者から受け取ったURLをブラウザに入力します。2. 指示に従いIDとパスワード、必要なら多要素認証(MFA)でログインします。3. ロールやアプリ一覧が表示され、目的のコンソールへ遷移します。
セキュリティと注意点
- URLは必ずHTTPSで始まることを確認してください。- 有効なサブドメインでないと接続できません。- アクセスできない場合は管理者にサブドメインの有効化や権限を確認してください。
トラブルシューティング
- “ページが見つかりません”はサブドメイン誤りが多いです。- 認証エラーはMFAやロール権限の不足が原因です。管理者に相談してください。
AWS Elastic Beanstalkの「Launch Now URL」
概要
Elastic Beanstalkの「Launch Now URL」は、アプリケーション作成に必要な最小限の情報を含むURLです。リージョンとアプリケーション名が必須で、アプリ名は大文字小文字を区別します。コンソール表示や環境名、環境URLの基盤として使われます。
必須項目
- リージョン:どのAWSリージョンで作成するかを指定します。
- アプリケーション名:コンソールに表示される名前で、大文字小文字を区別します。
URLの構成例
一般的なテンプレート例を示します(説明目的)。
https://console.aws.amazon.com/elasticbeanstalk/home?region=<リージョン>#/newApplication?applicationName=<アプリ名>
具体例:
https://console.aws.amazon.com/elasticbeanstalk/home?region=ap-northeast-1#/newApplication?applicationName=MyApp
使い方のポイント
- アプリ名は後で環境名やデフォルトの環境URLに影響します。例:環境名が自動的に基づくと、環境URLの一部になります。
- 名前は分かりやすく一貫性を持たせると管理が楽になります。英数字やハイフンを使うと扱いやすいです。
注意点
- アプリ名の大文字小文字は区別されます。入力ミスで別アプリが作成されることがあります。
- 特殊文字や空白の使用は避けると安全です。
- URL自体は最小限の情報を渡すため、後で追加設定が必要です。
