AWS認定資格 無料問題集

解答・解説

第65問 サードパーティー製アプリケーションとAWSリソースの連携

 あなたの会社では、サードパーティー製のWebアプリケーションから、自社の管理するAWSリソースに対して、安全に接続する必要があります。このアプリケーション連携の仕組みとしては、利用者が既存のディレクトリ認証情報(SAML 2.0)を使ってサインインして、シングル・サイン・オンでリソースにアクセスしたいと考えています。このような要件に対して、採用するべきサービスを選択してください。

  1. AWS Security Token Service
  2. Amazon Cognito
  3. AWS IAM Identity Center [正しい解答]
  4. AWS Transfer Family

(問題ID:CLF202C065)

解答

正しい解答:C. AWS IAM Identity Center

△ 判定不能

 URL を直接入力して「解答・解説」画面を表示した場合、何を選択・解答したかを特定できないため、解答の正誤判定ができません。必要に応じて「同じ問題に再挑戦」ボタンをクリックして、この問題に再チャレンジしてみてください。

徹底解説

 利用者が既存のディレクトリ認証情報(SAML 2.0)を使ってサインインして、シングル・サイン・オンでリソースにアクセスするようなアプリケーション連携の仕組みを構築したい場合に、採用するべきサービスは、AWS IAM Identity Center です。AWS IAM Identity Center(旧 AWS Single Sign-On)は、複数の AWS アカウントやクラウド・アプリケーションに対して、統合的な認証・アクセス管理を提供するマネージド型のサービスです。SAML(Security Assertion Markup Language)2.0 や OIDC(Open ID Connect)ベースのフェデレーション接続をサポートして、ディレクトリ認証情報によるシングル・サイン・オン(SSO:Single Sign-On)の環境を簡単に構築できます。フェデレーション接続とは、異なる認証システム間でユーザーの認証情報を共有して、ログインや認可を可能にする仕組みです。ユーザーごとにAWSアカウントやアプリケーションの権限セットを一元管理できるため、サードパーティー製のアプリケーションとの安全な連携に最適です。利用者は、ディレクトリの認証情報を使ってAWSにサインインすることができるため、ディレクトリの認証情報と連携したリソースにシームレスにアクセスできます。
 その他の選択肢は、ディレクトリ認証情報を使ってサインインして、シングル・サイン・オンによってリソースにアクセスすることには適していません。AWS STS(Security Token Service)は、AWS のリソースにアクセスするための一時的なセキュリティ認証情報を提供するサービスです。一時的セキュリティ認証情報はユーザーと共に保存されることはなく、ユーザーのリクエストに応じて動的に生成されます。一時的なセキュリティ認証情報の有効期限は数分から数時間に設定することができます。しかしながら、AWS STS では SAML 2.0 を使ったディレクトリ連携やシングル・サイン・オン環境の構築機能は持っていません。一時的な認証情報を発行してプログラムやスクリプトからAWSリソースにアクセスする手段としては有効ですが、あくまでも既に認証された主体に対してトークンを発行するサービスであり、外部IDプロバイダーとのフェデレーション接続やアプリケーションごとのアクセス管理を一括で設定・運用するには適しません。
 Amazon Cognito は、Web アプリケーションやモバイルアプリケーションに、サインアップ/サインインやアクセスコントロールの機能を提供するサービスです。アプリケーションにユーザー認証機能を付与したい場合に使用します。Web やモバイルアプリのエンドユーザー認証プラットフォームとして優れていますが、その用途は主に顧客向けのサインアップ/サインインであり、企業内ディレクトリを使ったシングル・サイン・オンを実施したり、サードパーティー製アプリケーションを自社アカウント内のAWSリソースに接続して連携する際には利用されません。
 AWS Transfer Family は、SFTP、FTPS、FTP、および AS2 経由で、AWS ストレージ・サービスとの間でファイルを安全に送受信できるマネージド型の転送サービス・ファミリーです。ファイル転送を実施するサービスであり、シングル・サイン・オンの仕組みとはまったく関係ありません。

Step Up!
 IAM Identity Centerでは、ユーザーに設定したアクセス権が内部的にIAMロールにマッピングされて、AWS STS を通じてそのロールに基づく一時的な認証情報が発行されます。アプリケーションはこの一時的な認証情報を用いて、割り当てられた権限の範囲内でAWSリソースへアクセスできるため、複数アカウントや外部アプリケーションにまたがるアクセス制御を一元管理できます。その他、IAM Identity Center の詳細は、AWS 社の下記のサイトのページを参照ください。

IAM Identity Center ユーザーガイド:
https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html

問題掲載日:2025-08-30


Information

What's New

  • 2025/9/14 問題ID: CLF202C066 仮想サーバーの詳細な管理が可能なサービスの選定に関する問題を追加しました。
  • 2025/9/13 問題ID: CLF203C029 AWSリージョンの特徴に関する問題を加筆・修正しました。
  • 2025/9/7 問題ID: CLF203C079 長距離からの S3 アップロード速度の改善方法に関する問題を追加しました。
  • 2025/9/6 問題ID: CLF202C041 特定の IP アドレスからの不正アクセスのブロック方法に関する問題を加筆・修正しました。
  • 2025/9/6 問題ID: CLF202C031 SQLインジェクションや XSS に対する保護対策に関する問題を加筆・修正しました。

Reference Books

一夜漬け AWS認定 クラウドプラクティショナー[C02対応] 直前対策テキスト

一夜漬け AWS認定 クラウドプラクティショナー[C02対応] 直前対策テキスト
詳細・購入はこちら

 必要最小限の内容を、効率よく学習できる構成となっており、忙しい社会人にもお薦め!模擬試験1回分付きで、試験直前の総仕上げにぴったりの1冊です。実は、本サイトの管理者も前版ですが直前対策に利用しました!

図解即戦力 AWS のしくみと技術がこれ1冊でしっかりわかる教科書[改訂2版]

図解即戦力 AWS のしくみと技術がこれ1冊でしっかりわかる教科書[改訂2版]
詳細・購入はこちら

 これからIT業界に転職することを考えている方やエンジニア1年生の方などで、緑のテキストが少し難しく感じる人にお薦めの1冊です。AWSのしくみや技術をわかりやすく解説する図解本となっています。さらに、2025年4月21日に頁数を大幅に増やして、よりたくさんのサービスをフルカラーの図解で解説する第2版がリリースされました。これからの購入を検討されている方はこちらを確認ください。