У меня есть доменное имя, зарегистрированное в AWS Route53 с сертификатом ACM. Сейчас я пытаюсь переместить это доменное имя и сертификат в новую учетную запись, а также управлять ресурсами с помощью Terraform. Я использовал AWS CLI, чтобы переместить доменное имя в новую учетную запись, и, похоже, он работал нормально. Затем я попытался запустить этот код Terraform, чтобы создать новый сертификат и размещенную зону для домена.
resource "aws_acm_certificate" "default" {
domain_name = "mydomain.io"
validation_method = "DNS"
}
resource "aws_route53_zone" "external" {
name = "mydomain.io"
}
resource "aws_route53_record" "validation" {
name = aws_acm_certificate.default.domain_validation_options.0.resource_record_name
type = aws_acm_certificate.default.domain_validation_options.0.resource_record_type
zone_id = aws_route53_zone.external.zone_id
records = [aws_acm_certificate.default.domain_validation_options.0.resource_record_value]
ttl = "60"
}
resource "aws_acm_certificate_validation" "default" {
certificate_arn = aws_acm_certificate.default.arn
validation_record_fqdns = [
aws_route53_record.validation.fqdn,
]
}
В этом есть две странные вещи. В первую очередь создается сертификат, но проверка никогда не завершается. Он все еще находится в состоянии ожидания проверки. Я где-то читал после того, как это не удалось, что вы не можете выполнить автоматическую проверку и вам нужно создать запись CNAME вручную. Итак, я вошел в консоль и нажал кнопку «добавить cname в маршрут 53». Это добавило запись CNAME в мою новую запись Route53, созданную Terraform. Но это ожидалось несколько часов. Я нажимал ту же кнопку несколько раз, был создан только один CNAME, последующие клики не имели никакого эффекта.
Еще одна странность и, возможно, подсказка, заключается в том, что мой веб-сайт все еще работает и работает. Я считаю, что это должно было нарушить работу веб-сайта, так как домен теперь принадлежит новой учетной записи, перенаправляется в другую зону хостинга в этой новой учетной записи и имеет сертификат, который все еще находится на рассмотрении. Однако все по-прежнему работает в обычном режиме. Поэтому я думаю, что это может быть связано со старым сертификатом и размещенной зоной. Нужно ли им освободить домен и мне нужно удалить этот сертификат? Удалять сертификат на старой учетной записи не нужно. Меня больше не должны выдавать.
Я еще не связал сертификат с Cloudfront или ALB, что я собираюсь сделать. Но поскольку он не проверен, мой код Terrform для создания экземпляра Cloudfront умирает.