Q48 — AWS SAA-C03 第4章
第 48/105 問 | ← 第4章
Q243. ある企業がアプリケーションをAWSへ移行しています。これらのアプリケーションは異なるAWSアカウントにデプロイされています。同社はAWS Organizationsを活用して、すべてのアカウントを中央管理しています。セキュリティチームは、全アカウントにわたるシングルサインオン(SSO)ソリューションを必要としています。また、ユーザーおよびグループの管理は、オンプレミスで運用されている自己管理型Microsoft Active Directoryで継続して行う必要があります。これらの要件を満たすソリューションはどれですか?
- A. AWS SSOコンソールからAWS Single Sign-On(AWS SSO)を有効化します。AWS Directory Service for Microsoft Active Directoryを使用して、企業の自己管理型Microsoft Active DirectoryとAWS SSOとの間に単方向フォレスト信頼関係または単方向ドメイン信頼関係を構築します。
- B. AWS SSOコンソールからAWS Single Sign-On(AWS SSO)を有効化します。AWS Directory Service for Microsoft Active Directoryを使用して、企業の自己管理型Microsoft Active DirectoryとAWS SSOとの間に双方向フォレスト信頼関係を構築します。 ✓
- C. AWS Directory Serviceを使用します。企業の自己管理型Microsoft Active Directoryと双方向信頼関係を構築します。
- D. オンプレミスにIDプロバイダー(IdP)を展開します。AWS SSOコンソールからAWS Single Sign-On(AWS SSO)を有効化します。
正解: B. AWS SSOコンソールからAWS Single Sign-On(AWS SSO)を有効化します。AWS Directory Service for Microsoft Active Directoryを使用して、企業の自己管理型Microsoft Active DirectoryとAWS SSOとの間に双方向フォレスト信頼関係を構築します。
解説
双方向信頼関係の構築 — AWS Managed Microsoft ADとオンプレミスの自己管理型Active Directory間で双方向信頼関係を構築すると、自己管理型ディレクトリ内のユーザーが、社内資格情報( corporate credentials )でさまざまなAWSサービスやビジネスアプリケーションにサインインできるようになります。一方、単方向信頼関係はIAM Identity Center(旧AWS Single Sign-On)では動作しません。 AWS IAM Identity Center(AWS Single Sign-Onの後継)では、ユーザーおよびグループのメタデータをオンプレミスのディレクトリから読み取って同期するために、双方向信頼関係が必要です。このメタデータは、アクセス許可セットやアプリケーションへのアクセス割り当て時にIAM Identity Centerによって使用されます。また、ダッシュボードを他のユーザーまたはグループと共有するなど、アプリケーションによるコラボレーション時にも利用されます。AWS Directory Service for Microsoft Active Directoryからオンプレミスのドメインへの信頼により、IAM Identity Centerはそのドメインを認証元として信頼できます。逆方向の信頼(オンプレミスのドメインからAWS側への信頼)は、ユーザーおよびグループのメタデータを読み取るためのAWS側の権限を付与します。