Q41 — AWS SCS-C02 第1章
第 41/100 問 | ← 第1章
ある会社は、サードパーティのIDプロバイダーとSAMLベースのSSOを使用してAWSアカウントを管理しています。サードパーティのIDプロバイダーが期限切れになった署名証明書を更新した後、ユーザーがログインしようとすると以下のエラーが表示されました:「Error: Response Signature Invalid (Service: AWSSecurityTokenService; Status Code: 400; Error Code: InvalidIdentityToken)」。セキュリティエンジニアは、このエラーを修正し、運用オーバーヘッドを最小限に抑えるソリューションを提供する必要があります。 これらの要件を満たすソリューションはどれですか?
- A. AWS Identity and Access Management (IAM)で定義されたAWS IDプロバイダー・エンティティに、サードパーティの署名証明書の新しい秘密鍵をAWS Management Consoleを使用してアップロードします。
- B. IDプロバイダーのメタデータファイルを新しい公開鍵で署名し、その署名をAWS CLIを使用してAWS Identity and Access Management (IAM)で定義されたAWS IDプロバイダー・エンティティにアップロードします。
- C. IDサービスプロバイダーから更新されたSAMLメタデータファイルをダウンロードし、AWS CLIを使用してAWS Identity and Access Management (IAM)で定義されたAWS IDプロバイダー・エンティティにそのファイルを更新します。 ✓
- D. AWS Identity and Access Management (IAM)で定義されたAWS IDプロバイダー・エンティティをAWS Management Consoleを使用して構成し、新しい公開鍵を同期的にフェッチできるようにします。
正解: C. IDサービスプロバイダーから更新されたSAMLメタデータファイルをダウンロードし、AWS CLIを使用してAWS Identity and Access Management (IAM)で定義されたAWS IDプロバイダー・エンティティにそのファイルを更新します。
解説
AWS環境でサードパーティのIDプロバイダーとSAMLベースのSSOを使用する場合、IDプロバイダーが署名証明書を更新した後、AWS側で最新の証明書を同期する必要があります。これは、SAMLレスポンスの検証が正しく行われるためです。AWSドキュメントによると、IAM内のIDプロバイダー・エンティティには、公開鍵証明書を含むIDプロバイダーのメタデータファイルを登録する必要があります。証明書が更新された場合、そのメタデータファイルを再ダウンロードし、IAM設定を更新する必要があります。選択肢CはAWS CLIを用いたメタデータファイルの更新であり、正しい運用手順に合致します。他の選択肢は、秘密鍵のアップロード(不安全)、不要な署名手順、または自動同期機能(AWSではデフォルトで存在しない)を想定しており、いずれも要件を満たしません。