🔗 CloudFront, ALB와 ACM 연동하기

TL;DR

• ACM 인증서는 CloudFront, ALB(로드밸런서)와 연동하여 HTTPS를 제공한다.
• CloudFront → 전 세계 CDN 캐싱 계층
• ALB → 백엔드 트래픽을 분산 처리하는 계층
• ACM → 두 계층 모두에 HTTPS 인증서를 적용 가능
• 결과: https://example.com 으로 접속 시, 안전하게 암호화된 요청이 CloudFront → ALB → 백엔드까지 전달됨.

---

1. CloudFront + ACM

• CloudFront 배포 생성 시, ACM 인증서를 연결할 수 있다.

• ACM은 버지니아 북부(us-east-1) 리전에 발급해야 CloudFront에서 사용 가능하다.

• 연결 방식:

  1. CloudFront 배포 생성 → 도메인 이름(custom domain) 지정
  2. ACM 인증서 선택 (예: *.example.com)
  3. Route 53에서 CloudFront 도메인과 도메인을 매핑

👉 이렇게 하면 CloudFront가 전 세계 CDN 엣지 서버에서 HTTPS 통신을 제공한다.

---

2. ALB + ACM

• ALB(Application Load Balancer)는 HTTPS Listener(443 포트) 를 생성할 때 ACM 인증서를 선택할 수 있다.

• 동작 방식:

  1. ALB → Listener(443) 생성
  2. ACM 인증서 선택 (예: api.example.com)
  3. Target Group 연결 (ECS/EKS Pod 등)

👉 결과: https://api.example.com 요청이 들어오면, ALB가 인증서를 적용해 TLS 종료(SSL Termination) 후, 백엔드 Target Group으로 트래픽 전달.

---

3. CloudFront + ALB + ACM 조합

실제 서비스에서는 CloudFront + ALB 조합으로 사용하는 경우가 많다.

흐름은 다음과 같다:

사용자 → CloudFront (CDN, HTTPS 인증서 적용)
         → ALB (로드밸런싱, HTTPS 인증서 적용 가능)
         → Target Group (EKS Pod, EC2, Lambda 등)

• CloudFront 레벨에서 글로벌 캐싱 + HTTPS 인증서 적용
• ALB 레벨에서 서비스별 라우팅 + HTTPS 인증서 적용
• ACM 인증서를 두 군데 다 연결할 수 있으며, 운영 환경에 따라 선택

---

4. 언제 CloudFront vs ALB에서 HTTPS 인증서를 쓰나?

• CloudFront에서만 인증서 적용

  • ALB는 내부 통신만 처리 → CloudFront가 HTTPS 종단점 역할
  • 장점: 전 세계 CDN 엣지에서 HTTPS 제공

• CloudFront + ALB 둘 다 인증서 적용

  • CloudFront ↔ ALB 사이도 HTTPS로 보장 (보안 요구사항이 높은 경우)
  • 장점: 종단 간 암호화(End-to-End TLS) 가능

---

5. 정리

• CloudFront + ACM → 글로벌 사용자에게 HTTPS 제공

• ALB + ACM → 백엔드 서비스로 안전한 HTTPS 라우팅 제공

• CloudFront + ALB + ACM 조합 → 글로벌 CDN + 로드밸런싱 + 종단간 HTTPS 보안

• ACM 인증서를 잘 설계해두면,

  • www.example.com → CloudFront → S3(정적 파일)
  • api.example.com → CloudFront → ALB → 백엔드
    같은 구조를 쉽게 운영할 수 있다.