Q41 — AWS SCS-C02 第1章

第 41/100 問 | ← 第1章

ある会社は、サードパーティのIDプロバイダーとSAMLベースのSSOを使用してAWSアカウントを管理しています。サードパーティのIDプロバイダーが期限切れになった署名証明書を更新した後、ユーザーがログインしようとすると以下のエラーが表示されました:「Error: Response Signature Invalid (Service: AWSSecurityTokenService; Status Code: 400; Error Code: InvalidIdentityToken)」。セキュリティエンジニアは、このエラーを修正し、運用オーバーヘッドを最小限に抑えるソリューションを提供する必要があります。 これらの要件を満たすソリューションはどれですか?

正解: C. IDサービスプロバイダーから更新されたSAMLメタデータファイルをダウンロードし、AWS CLIを使用してAWS Identity and Access Management (IAM)で定義されたAWS IDプロバイダー・エンティティにそのファイルを更新します。

解説

AWS環境でサードパーティのIDプロバイダーとSAMLベースのSSOを使用する場合、IDプロバイダーが署名証明書を更新した後、AWS側で最新の証明書を同期する必要があります。これは、SAMLレスポンスの検証が正しく行われるためです。AWSドキュメントによると、IAM内のIDプロバイダー・エンティティには、公開鍵証明書を含むIDプロバイダーのメタデータファイルを登録する必要があります。証明書が更新された場合、そのメタデータファイルを再ダウンロードし、IAM設定を更新する必要があります。選択肢CはAWS CLIを用いたメタデータファイルの更新であり、正しい運用手順に合致します。他の選択肢は、秘密鍵のアップロード(不安全)、不要な署名手順、または自動同期機能(AWSではデフォルトで存在しない)を想定しており、いずれも要件を満たしません。