A不正解
各従業員に AWS アカウントごとの IAM ユーザーを個別に作成する
アカウントごとに IAM ユーザーを作ると、従業員はアカウント数だけ認証情報を持つことになり管理が煩雑です。
既存 ID で一元的に SSO したいという要件を満たさないため不正解です。
企業が既存の社内 ID(Active Directory など)を使って、従業員に複数の AWS アカウントへのシングルサインオン(SSO)アクセスを一元的に提供したい場合、最も適したサービスはどれですか。
1 / 1
回答を選択してください
正解D
解説
既存 ID で複数アカウントへ SSO する仕組みを選ぶ問題。
- 1「既存の社内 ID」Active Directory など既存の認証基盤を再利用する=フェデレーション
- 2「シングルサインオン(SSO)」一度の認証で複数サービスにアクセス
- 3「複数の AWS アカウントへ」アカウントをまたいだ一元的なアクセス管理
B不正解
ルートユーザーを従業員間で共有する
ルートユーザーの共有は重大なセキュリティリスクであり、SSO の手段でもありません。
要件にまったく適さないため不正解です。
C不正解
アクセスキーを社内で共有する
アクセスキーの共有は漏洩リスクが高く、個人の特定もできません。
既存 ID による SSO とは無関係のため不正解です。
D正解
AWS IAM Identity Center(フェデレーション)を利用する
正解。AWS IAM Identity Center は、既存の社内 ID(Active Directory や外部 IdP)と連携(フェデレーション)し、従業員に複数の AWS アカウントやアプリへの SSO アクセスを一元的に提供します。
従業員は社内のいつもの認証(+MFA)で 1 回ログインするだけで、ポータルから 権限のある複数アカウント・SaaS へ再ログインなしで切り替え られます。「経理は読み取り専用/開発は管理者」のような 役割を一度定義して複数アカウントへ一括割り当て でき、退職・異動時の権限剥奪も 社内 ID 側の操作だけで全アカウントへ反映 されます。アカウントごとの IAM ユーザー作成が不要になり、消し忘れによる不正アクセスも防げます。
ポイント
『既存 ID で SSO』『複数アカウント一元管理』は IAM Identity Center(旧 AWS SSO)/ フェデレーション。アカウント毎の個別 IAM ユーザー作成は非効率で、要件に合わない。