SAP-C02#3(complexity)

ある SaaS 企業は IAM Identity Center を導入し、外部 IdP として Okta を SAML 2.0 で連携しています。50 のメンバーアカウントごとに「DevOps」「ReadOnly」「Billing」の 3 つの権限セットを配布する必要があり、グループは Okta 側で管理されています。最も運用負荷が低い割当方法はどれですか。

A. Okta の SAML 応答にカスタムクレームでロール ARN を埋め込み、各 AWS アカウントごとに 3 つの IAM ロールを手動作成して信頼関係を Okta に向けたうえで、定期的に同期スクリプトで再構築します。
B. 管理アカウントに 3 つの IAM ユーザーを作成し、それぞれに AssumeRole 権限を付与して、開発者にユーザー認証情報を共有して各アカウントへスイッチさせます。
C. Identity Center で SCIM プロビジョニングを有効化し、Okta グループに権限セットをアカウントまたは OU 単位で割り当てます。
D. AWS Directory Service for Microsoft AD を立ち上げて Okta と双方向信頼を結び、AD グループと AWS マネジメントコンソールのフェデレーションを各アカウントで個別に構成します。

正解と解説ディスカッション 0

正解：C

正解の根拠

IAM Identity Center は SAML 認証に加え SCIM 2.0 によるユーザー/グループの自動プロビジョニングをサポートします。Okta から SCIM 同期されたグループに対して権限セットをアカウント単位または OU 単位で割り当てれば、新規アカウントや異動が発生しても割当ルールが維持され、追加作業はほぼ不要です。

機能	役割
SAML 2.0	サインイン認証
SCIM 2.0	ユーザー/グループの自動同期
Permission Set	各アカウントに同一権限を再現

不正解の理由

A: アカウント数 × 3 ロールを手動管理することになり、規模拡大に伴い破綻して運用負荷が増大します。
B: IAM ユーザーの共有はベストプラクティス違反で、長期認証情報の流出リスクが大きく高まります。
D: AD と Okta の二重管理になり、Identity Center の SCIM 同期に比べ運用が複雑になります。

参考：IAM Identity Center SCIM

SAP-C02#3(complexity)

正解の根拠

不正解の理由

コメント

コメント

コメントするコメントをキャンセル

正解の根拠

不正解の理由

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル