ある企業が、社外のパートナー企業のユーザーに対して自社の AWS リソースへの一時的なアクセスを許可する必要がある。パートナー企業はすでに独自の IdP(アイデンティティプロバイダー)を持っており、SAML 2.0 をサポートしている。パートナーのユーザーは自社の IdP で認証した後、最小限の手順で AWS マネジメントコンソールにアクセスできるようにしたい。最も適切なアプローチはどれか。
- A. パートナーのユーザー全員分の IAM ユーザーを作成し、一時パスワードを発行してコンソールにアクセスさせる。
- B. AWS IAM Identity Center(SSO)でパートナーの SAML 2.0 IdP を外部 IdP として設定し、フェデレーテッドアクセスを構成する。
- C. パートナー企業の AWS アカウントとのクロスアカウント IAM ロールを構成し、パートナーのユーザーが AssumeRole できるようにする。
- D. Amazon Cognito ユーザープールを作成してパートナーのユーザーを登録し、Cognito の認証トークンで AWS リソースにアクセスさせる。
解答と解説を見る
正解: B
AWS IAM Identity Center は SAML 2.0 対応の外部 IdP をフェデレーション先として設定できる。パートナーは自社の IdP で認証した後、SAML アサーションを使って AWS にアクセスできるため、AWS 側に IAM ユーザーを作成する必要がない。アクセス許可セットで細かいアクセス制御も可能で、管理コストを最小化できる。選択肢Aは大量の IAM ユーザー作成・管理が必要で運用負荷が高く、パスワードやアクセスキーの漏洩リスクも生じる。選択肢Dの Cognito はエンドユーザー(モバイル/Web アプリ)向けのアイデンティティ管理に適しており、AWS マネジメントコンソールへのフェデレーテッドサインインには IAM Identity Center の方が適切である。選択肢Cはパートナー企業が AWS アカウントを持っていることが前提であり、IdP 認証のユーザーへの対応としては不完全である。
📚 関連サービスの解説: AWS IAM Identity Center