Q55 — AWS SAP-C02 第1章

第 55/75 問 | ← 第1章

Q130. ある企業は、単一のAWSアカウントを持つ環境を保有しています。ソリューションアーキテクトがこの環境をレビューし、特にAWS Management Consoleへのアクセスに関する改善点を提案しています。現在、ITサポート担当者は、ジョブロールにマッピングされた名前付きIAMユーザーを使用してコンソールにログインし、管理タスクを実行しています。しかし、ITサポート担当者たちは今後、オンプレミスのActive DirectoryとAWS内のIAMユーザーの両方を管理したくありません。代わりに、既存のActive Directoryの資格情報(ユーザー名とパスワード)を使ってAWS Management Consoleに直接アクセスしたいと考えています。ソリューションアーキテクトは、この要件を実現するためにAWS IAM Identity Center(旧称:AWS Single Sign-On)を採用することを検討しています。これらの要件を最もコスト効率よく満たすソリューションはどれですか?

正解: D. AWS OrganizationsでOrganizationを作成し、Organizationに対してすべての機能を有効化します。AD Connectorを作成・設定し、オンプレミスのActive Directoryに接続します。IAM Identity Centerを設定し、IDソースとしてAD Connectorを指定します。その後、権限セットを作成し、オンプレミスのActive Directory内の既存のグループにマッピングします。

解説

本問では、オンプレミスのActive Directory(AD)と連携したシングルサインオン(SSO)を実現するための最もコスト効率の良い方法が問われています。AWS IAM Identity Centerは、AD ConnectorまたはAWS Managed Microsoft ADのいずれかをIDソースとして利用できます。AD Connectorは、既存のオンプレミスADを直接参照する軽量なディレクトリコネクタであり、追加のADインスタンスをホストする必要がなく、料金も発生しません(※ただし、EC2インスタンスやVPCなどの関連リソースコストは別途発生する可能性があります)。一方、AWS Managed Microsoft ADはフルマネージドなMicrosoft AD環境であり、月額課金が発生します。本問では「最もコスト効率よく」と明記されており、既存のオンプレミスADを活用できるAD Connectorが最適です。また、IAM Identity Centerを利用するにはOrganizationの作成と、Organizations内でのIAM Identity Center機能の有効化(=「Turn on the IAM Identity Center feature in Organizations」)が必要ですが、「all features」を有効化する必要はありません(不要な機能を有効化してもコスト増加や管理負荷の増加につながるため)。したがって、選択肢Bが正解です。選択肢AおよびCはAWS Managed Microsoft ADを用いるためコストが高くなり、選択肢Dは不要な「all features」有効化を含むため非効率です。