ある企業は既存のオンプレミス Active Directory をアイデンティティプロバイダーとして使用しており、AWS の複数アカウントに対して SSO でアクセスしたいと考えています。社員は既存の AD 資格情報を使い、アカウントと権限を選択してマネジメントコンソールや CLI にアクセスする必要があります。また将来的には新しい SaaS アプリケーションへの SSO も検討しています。最も適切な構成はどれですか?
- A. AWS IAM Identity Center(旧 AWS SSO)を有効化し、オンプレミス AD と AD Connector または Managed AD でフェデレーションを設定する。Organizations 内の全アカウントと権限セットを IAM Identity Center から一元管理する
- B. 各 AWS アカウントに IAM ユーザーを作成し、オンプレミス AD のグループと対応するポリシーを手動で割り当てる
- C. AWS Cognito User Pool を作成し、オンプレミス AD をフェデレーション先として設定する。アカウントアクセスは Cognito のトークンを使って IAM AssumeRole で実現する
- D. 各アカウントに IAM Identity Provider を設定し、SAML 2.0 フェデレーションをオンプレミス AD FS で構成する
解答と解説を見る
正解: A
AWS IAM Identity Center は Organizations と統合しており、1か所で複数アカウントへの SSO と権限セット管理が可能です。オンプレミス AD とは AD Connector(既存 AD に直接接続)または AWS Managed Microsoft AD(信頼関係設定)でフェデレーションできます。将来の SaaS アプリへの SSO も IAM Identity Center から設定できます。 B: 各アカウントへの IAM ユーザー作成は、アカウント数が増えると管理が指数的に複雑になり、SSO の要件を満たしません。 D: アカウントごとに SAML フェデレーションを設定する方法は可能ですが、80 アカウントなどの大規模環境では設定と管理が非常に煩雑です。IAM Identity Center はこの課題を解決するために設計されています。 C: Cognito は主にエンドユーザー向け Web/モバイルアプリの認証に使うサービスであり、社員の AWS マネジメントコンソールアクセス管理には適していません。
📚 関連サービスの解説: AWS IAM Identity Center ・ AWS Organizations