Q56 — AWS SAP-C02 第1章
第 56/75 問 | ← 第1章
Q131. ある企業は、ユーザー認証にオンプレミスのActive Directoryサービスを使用しています。この企業は、同じ認証サービスを活用して、AWS Organizations を使用している自社のAWSアカウントにサインインしたいと考えています。既に、オンプレミス環境とすべてのAWSアカウントの間にはAWS Site-to-Site VPN接続が確立されています。セキュリティポリシーでは、ユーザーのグループおよびロールに基づく条件付きアクセス(Conditional Access)が必須とされています。また、ユーザーIDは単一の場所で管理される必要があります。これらの要件を満たすソリューションはどれですか?
- A. AWS IAM Identity Center(AWS Single Sign-On)をSAML 2.0を用いてActive Directoryに接続するように設定します。System for Cross-domain Identity Management(SCIM)v2.0プロトコルを用いた自動プロビジョニングを有効化します。属性ベースのアクセス制御(ABAC)を用いて、AWSアカウントへのアクセスを許可します。 ✓
- B. IAM Identity CenterをIDソースとして使用してAWS IAM Identity Center(AWS Single Sign-On)を設定します。SCIM v2.0プロトコルを用いた自動プロビジョニングを有効化します。IAM Identity Centerのパーミッションセットを用いて、AWSアカウントへのアクセスを許可します。
- C. 企業のAWSアカウントの1つにおいて、SAML 2.0 IDプロバイダーとしてAWS Identity and Access Management(IAM)を設定します。フェデレーテッドユーザーに対応するIAMユーザーを作成・プロビジョニングし、Active Directory内の適切なグループに応じたアクセス権限を付与します。クロスアカウントIAMユーザーを用いて、必要なAWSアカウントへのアクセスを許可します。
- D. 企業のAWSアカウントの1つにおいて、OpenID Connect(OIDC)IDプロバイダーとしてAWS Identity and Access Management(IAM)を設定します。Active Directory内の適切なグループに対応するフェデレーテッドユーザーに対してアクセスを許可するIAMロールを作成・プロビジョニングします。クロスアカウントIAMロールを用いて、必要なAWSアカウントへのアクセスを許可します。
正解: A. AWS IAM Identity Center(AWS Single Sign-On)をSAML 2.0を用いてActive Directoryに接続するように設定します。System for Cross-domain Identity Management(SCIM)v2.0プロトコルを用いた自動プロビジョニングを有効化します。属性ベースのアクセス制御(ABAC)を用いて、AWSアカウントへのアクセスを許可します。
解説
選択肢A:AWS Single Sign-On(AWS SSO)をSAML 2.0を用いてActive Directoryに接続するよう設定します。AWS SSOは、AWSアカウントやアプリケーションへのアクセスを容易にするユーザー向けポータルを提供します。SCIM v2.0プロトコルによる自動プロビジョニングを有効化することで、AWS SSOとActive Directory間でのユーザーIDの自動同期が可能になります。属性ベースのアクセス制御(ABAC)を用いることで、ユーザーの所属グループやロールといった属性に基づいたアクセス制御が実現できます。選択肢Bは、外部IDプロバイダー(SAML/OIDC)との連携を前提としたIAM Identity Centerの利用であり、追加の設定や運用負荷が発生する可能性があります。選択肢Cは、1つのAWSアカウントでIAMを設定し、クロスアカウントIAMユーザーで他のアカウントへのアクセスを許可する方法ですが、これは「ユーザーIDを単一の場所で管理する」という要件を満たしません。選択肢Dも同様に、1つのアカウントでIAMを設定し、クロスアカウントIAMロールを利用するため、ユーザーIDの一元管理要件を満たしません。したがって、選択肢Aは、AWS SSOを活用してActive Directoryと統合し、ユーザーのグループ・ロールに基づく条件付きアクセスを実現するとともに、運用オーバーヘッドを最小限に抑えるシンプルかつ効果的なソリューションです。公式ドキュメント(https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)にもとづき、Aが正解です。なお、Dは、オンプレミスActive DirectoryがMicrosoft ADである場合に限り、AWS Directory Serviceを経由してAWS SSOと連携可能ですが、本問ではそのような前提は示されておらず、また単一のID管理要件も満たさないため不適切です。