Question#50(SAA-C03)

ある企業は、グローバルに分散した開発チームに、企業のセキュリティポリシーに準拠した方法でAWSリソースへの安全なアクセスを提供する必要があります。企業は現在、オンプレミスのActive Directoryを内部認証に使用しています。複数のプロジェクトをサポートする複数のAWSアカウントを管理するために、AWS Organizationsを使用しています。企業は、既存のインフラストラクチャと統合して、集中化されたアイデンティティ管理とアクセス制御を提供するソリューションを必要としています。以下のどのソリューションが、最小限の運用オーバーヘッドでこれらの要件を満たしますか？

A. AWS Directory Serviceを使用して、AWS上でAWS管理のMicrosoft Active Directoryを作成します。オンプレミスのActive Directoryと信頼関係を確立します。Active Directoryグループに割り当てられたIAMロールを使用して、企業のAWSアカウント内のAWSリソースにアクセスします。
B. 各開発者に対してIAMユーザーを作成します。各ユーザーのプロジェクトへの関与に基づいて、各IAMユーザーの許可を手動で管理します。追加のセキュリティ層として多要素認証（MFA）を強制します。
C. AWS Directory ServiceのAD Connectorを使用して、オンプレミスのActive Directoryに接続します。AD ConnectorをAWS IAM Identity Centerと統合します。許可セットを構成して、各ADグループに特定のAWSアカウントとリソースへのアクセスを提供します。
D. Amazon Cognitoを使用して、アイデンティティフェデレーションソリューションをデプロイします。アイデンティティフェデレーションソリューションをオンプレミスのActive Directoryと統合します。Amazon Cognitoを使用して、開発者にAWSアカウントとリソースにアクセスするためのアクセストークンを提供します。

正解と解説ディスカッション 0

正解：C

このソリューションでは、AWS Directory ServiceのAD Connectorを使用してオンプレミスのActive Directoryに接続し、AWS IAM Identity Center（旧AWS Single Sign-On）と統合します。IAM Identity Centerで許可セットを構成し、Active Directoryグループに基づいて特定のAWSアカウントとリソースへのアクセスを付与します。AD ConnectorはオンプレミスADを直接活用し、ユーザー認証を既存のディレクトリで処理するため、新しいディレクトリを管理する必要がありません。IAM Identity Centerは、AWS Organizations内の複数アカウントに対するシングルサインオン（SSO）とアクセス制御を集中管理し、ADグループを利用したきめ細かい許可セットでセキュリティポリシーを適用します。設定はAD ConnectorとIAM Identity Centerの統合、許可セットの定義だけで済み、運用オーバーヘッドが最小限で、既存インフラストラクチャとの統合と集中管理の要件を効率的に満たします。

Question#50(SAA-C03)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル