Q27 — AWS SAP-C02 第3章
第 27/75 問 | ← 第3章
Q252. ソリューションアーキテクトは、オンプレミスのIDプロバイダー(IdP)と連携したSAML 2.0フェデレーテッドIDソリューションを実装し、ユーザーがAWS環境にアクセスする際の認証を可能にしました。ソリューションアーキテクトがフェデレーテッドIDウェブポータル経由で認証テストを実行したところ、AWS環境へのアクセスが許可されました。しかし、テストユーザーが同様にフェデレーテッドIDウェブポータル経由で認証を試みると、AWS環境にアクセスできませんでした。 IDフェデレーションが正しく設定されていることを確認するために、ソリューションアーキテクトが確認すべき項目はどれですか?(3つ選択してください。)
- A. IAMユーザーの権限ポリシーで、そのユーザーによるSAMLフェデレーションの使用が許可されています。
- B. フェデレーテッドユーザーまたはフェデレーテッドグループ用に作成されたIAMロールの信頼ポリシーにおいて、SAMLプロバイダーがプリンシパルとして指定されています。 ✓
- C. テストユーザーは、企業のIdP内にあるAWSFederatedUsersグループに所属していません。
- D. ウェブポータルが、IdPから取得したSAMLアサーション、SAMLプロバイダーのARN、およびIAMロールのARNを引数として、AWS STSのAssumeRoleWithSAML APIを呼び出しています。 ✓
- E. オンプレミスのIdPのDNSホスト名が、AWS環境のVPCから到達可能です。
- F. 企業のIdPが、企業内のユーザーまたはグループを適切な権限を持つIAMロールに正しくマッピングするSAMLアサーションを定義しています。 ✓
正解: B. フェデレーテッドユーザーまたはフェデレーテッドグループ用に作成されたIAMロールの信頼ポリシーにおいて、SAMLプロバイダーがプリンシパルとして指定されています。, D. ウェブポータルが、IdPから取得したSAMLアサーション、SAMLプロバイダーのARN、およびIAMロールのARNを引数として、AWS STSのAssumeRoleWithSAML APIを呼び出しています。, F. 企業のIdPが、企業内のユーザーまたはグループを適切な権限を持つIAMロールに正しくマッピングするSAMLアサーションを定義しています。
解説
B. フェデレーテッドユーザーまたはフェデレーテッドグループ用に作成されたIAMロールの信頼ポリシーにおいて、SAMLプロバイダーがプリンシパルとして指定されています。これにより、当該ロールがSAMLプロバイダーによって信頼されるようになります。D. ウェブポータルが、IdPから取得したSAMLアサーション、SAMLプロバイダーのARN、およびIAMロールのARNを引数として、AWS STSのAssumeRoleWithSAML APIを呼び出しています。これにより、正しいSAMLアサーションが使用され、適切なIAMロールが引き受けられるようになります。F. 企業のIdPが、企業内のユーザーまたはグループを適切な権限を持つIAMロールに正しくマッピングするSAMLアサーションを定義しています。これにより、IdPとIAMロール間の正しいマッピングが確立され、ユーザーまたはグループに適切な権限が付与されます。Aは関連性のないチェック項目です。これは個別のIAMユーザーのポリシーに関するものであり、SAMLフェデレーションの構成とは無関係です。Cは関連性のないチェック項目です。これはテストユーザーがIdP内の特定のグループに所属しているかどうかという点に関するものであり、フェデレーションの動作には直接影響しません。Eは関連性のないチェック項目です。これはネットワーク接続性に関するものであり、SAMLフェデレーションの構成とは無関係です。