SCSC03-IAM#2
次の各認証・認可の要件に最も適した AWS のメカニズムを 1 つずつ対応させてください(各メカニズムは 1 回ずつ使用します)。
| 項目 | 選択 |
|---|---|
| 外部ユーザー向け Web・モバイルアプリの認証とソーシャル ID フェデレーションを提供する。 | |
| 従業員が複数の AWS アカウントへシングルサインオンでアクセスし、権限セットを一元管理する。 | |
| 特定の Amazon S3 オブジェクトへ、期限付きの一時的なアクセスを URL で付与する。 | |
| オンプレミスのサーバーが X.509 証明書で IAM ロールの一時認証情報を取得する。 |
解説
【正解マッチング】
| 要件 | メカニズム |
|---|---|
| 外部ユーザー向けアプリ認証とソーシャル ID フェデレーション | Amazon Cognito ユーザープール |
| 複数アカウントへの SSO と権限セット一元管理 | AWS IAM Identity Center |
| S3 オブジェクトへの期限付き一時アクセス URL | Amazon S3 presigned URL |
| オンプレミス サーバーの証明書ベース一時認証情報 | IAM Roles Anywhere |
【ポイント】
AWS の認証・認可メカニズムは用途ごとに使い分けます。Amazon Cognito ユーザープールは、外部の一般ユーザー向けアプリケーションのサインアップ・サインインと、ソーシャルや OpenID Connect による ID フェデレーションを提供します。AWS IAM Identity Center は、従業員(従業員 ID)に対して複数の AWS アカウントやアプリケーションへのシングルサインオンを実現し、権限セットで付与するアクセスを一元管理します。Amazon S3 presigned URL は、署名によって特定オブジェクトへの期限付きの一時アクセスを、認証情報を渡さずに付与します。IAM Roles Anywhere は、AWS 外のサーバーが X.509 証明書を用いて IAM ロールの一時認証情報を取得するための仕組みです。それぞれの対象ユーザーとユースケースを取り違えないことが重要です。

コメント