Question#61(SAP-C02)

ある会社は、AWS を使って本番用の Web アプリケーションを開発・運用しています。アプリケーションは Amazon API Gateway の HTTP API を含み、API は AWS Lambda 関数を呼び出します。Lambda 関数は処理を行い、その後データベースに保存します。

会社は、この Web アプリケーションに対して統合的なユーザー認可を実装したいと考えています。会社はすでにサードパーティの IdP（アイデンティティプロバイダ）を使用しており、同社の他アプリ向けに OAuth トークンを発行しています。この要件を満たすソリューションはどれですか？

A. 会社のサードパーティ IdP を API Gateway と統合する。API Gateway の Lambda オーソライザーを構成して IdP のトークンを検証する。すべての API ルートで Lambda オーソライザーを必須にする。Web アプリを更新し、IdP からトークンを取得して API Gateway HTTP API を呼ぶ際に Authorization ヘッダーへ付与する。
B. 会社のサードパーティ IdP を AWS Directory Service と統合する。Directory Service を API Gateway のオーソライザーとして構成し、IdP のトークンを検証する。すべての API ルートで Directory Service オーソライザーを必須にする。AWS IAM Identity Center を SAML 2.0 IdPとして構成し、Web アプリをカスタム SAML 2.0 アプリケーションとして構成する。
C. 会社のサードパーティ IdP を AWS IAM Identity Center と統合する。API Gateway を IAM Identity Center でゼロ設定の認証・認可を使うように構成する。Web アプリを更新し、AWS STS トークンを IAM Identity Center から取得して、API 呼び出し時に Authorization ヘッダーへ付与する。
D. 会社のサードパーティ IdP を AWS IAM Identity Center と統合する。IAM ユーザーに API Gateway HTTP API を呼び出す権限を付与する。Web アプリを更新し、リクエストパラメータを IAM ユーザーから抽出して Authorization ヘッダーに含めて API を呼び出す。

正解と解説ディスカッション 0

正解：A

要件は「既存のサードパーティ IdP が発行する OAuth トークンを用い、Web アプリ→API Gateway→Lambda の流れで統合的に認可したい」というものです。API Gateway（HTTP API）では、クライアントからのリクエストに含まれる Authorization: Bearer <token> を オーソライザーで検証して、トークンに基づきルートへのアクセス可否を決めるのが定石です。

選択肢 A は、IdP から受け取ったアクセストークンを API Gateway のオーソライザーで検証し、API ルートに適用する流れを示しており、要件にそのまま合致します。HTTP API にはJWT オーソライザー（推奨）もありますが、選択肢の中では Lambda オーソライザーによる検証が示されており、実現可能で適切です（JWT オーソライザーが選択肢にないため、A が最適）。

Web アプリは既存 IdP（OAuth/OIDC）からアクセストークンを取得
Authorization ヘッダーに付与して API Gateway に送信
Lambda オーソライザーがトークン署名・クレーム（aud, iss, exp, scope 等）を検証
許可された場合のみ、統合先の Lambda 関数を実行

Question#61(SAP-C02)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル