Q54 — AWS DVA-C02 第2章
第 54/100 問 | ← 第2章
ある企業の開発者がAmazon API Gatewayを使用するアプリケーションを作成しています。企業は、営業部門のユーザーのみがこのアプリケーションを利用できるようにしたいと考えています。ユーザーは、バックエンドのIDプロバイダー(IdP)からのフェデレーション認証情報を使用してAmazon Cognito経由で認証されます。開発者は、Departmentという名前の属性をマップする属性マッピングを設定し、その属性をカスタムAWS Lambdaオーソライザーに渡すように構成しました。アクセス制限をテストするために、開発者はIdPで自分の所属部署をEngineeringに設定してアプリケーションにログインしようとしましたが、アクセスが拒否されました。その後、IdPで所属部署をSalesに更新して再度ログインを試みました。しかし、再びアクセスが拒否されました。開発者はログを確認したところ、アクセス拒否の理由が、開発者のアクセストークンにDepartment値がEngineeringであると記録されていたためであることがわかりました。この状況で、開発者の所属部署が依然としてEngineeringとして報告される原因として考えられるのはどれですか?
- A. カスタムLambdaオーソライザーで承認キャッシュが有効化されています。 ✓
- B. Amazon Cognitoユーザープールで承認キャッシュが有効化されています。
- C. カスタムLambdaオーソライザーのIAMロールにDepartmentタグがありません。
- D. Amazon CognitoユーザープールのIAMロールにDepartmentタグがありません。
正解: A. カスタムLambdaオーソライザーで承認キャッシュが有効化されています。
解説
選択肢Aでは、カスタムLambdaオーソライザーで承認キャッシュが有効化されている場合、一定期間、以前のキャッシュされた承認決定が継続して使用される可能性があります。これにより、IdPで所属部署をSalesに変更した後でも、以前のキャッシュされた承認決定の影響を受け続け、アクセスが拒否される可能性があります。他の選択肢は、IDプロバイダーおよび所属部署のマッピング関係とはあまり関係がありません。