Q27 — AWS SAP-C02 第3章

第 27/75 問 | ← 第3章

Q252. ソリューションアーキテクトは、オンプレミスのIDプロバイダー(IdP)と連携したSAML 2.0フェデレーテッドIDソリューションを実装し、ユーザーがAWS環境にアクセスする際の認証を可能にしました。ソリューションアーキテクトがフェデレーテッドIDウェブポータル経由で認証テストを実行したところ、AWS環境へのアクセスが許可されました。しかし、テストユーザーが同様にフェデレーテッドIDウェブポータル経由で認証を試みると、AWS環境にアクセスできませんでした。 IDフェデレーションが正しく設定されていることを確認するために、ソリューションアーキテクトが確認すべき項目はどれですか?(3つ選択してください。)

正解: B. フェデレーテッドユーザーまたはフェデレーテッドグループ用に作成されたIAMロールの信頼ポリシーにおいて、SAMLプロバイダーがプリンシパルとして指定されています。, D. ウェブポータルが、IdPから取得したSAMLアサーション、SAMLプロバイダーのARN、およびIAMロールのARNを引数として、AWS STSのAssumeRoleWithSAML APIを呼び出しています。, F. 企業のIdPが、企業内のユーザーまたはグループを適切な権限を持つIAMロールに正しくマッピングするSAMLアサーションを定義しています。

解説

B. フェデレーテッドユーザーまたはフェデレーテッドグループ用に作成されたIAMロールの信頼ポリシーにおいて、SAMLプロバイダーがプリンシパルとして指定されています。これにより、当該ロールがSAMLプロバイダーによって信頼されるようになります。D. ウェブポータルが、IdPから取得したSAMLアサーション、SAMLプロバイダーのARN、およびIAMロールのARNを引数として、AWS STSのAssumeRoleWithSAML APIを呼び出しています。これにより、正しいSAMLアサーションが使用され、適切なIAMロールが引き受けられるようになります。F. 企業のIdPが、企業内のユーザーまたはグループを適切な権限を持つIAMロールに正しくマッピングするSAMLアサーションを定義しています。これにより、IdPとIAMロール間の正しいマッピングが確立され、ユーザーまたはグループに適切な権限が付与されます。Aは関連性のないチェック項目です。これは個別のIAMユーザーのポリシーに関するものであり、SAMLフェデレーションの構成とは無関係です。Cは関連性のないチェック項目です。これはテストユーザーがIdP内の特定のグループに所属しているかどうかという点に関するものであり、フェデレーションの動作には直接影響しません。Eは関連性のないチェック項目です。これはネットワーク接続性に関するものであり、SAMLフェデレーションの構成とは無関係です。