type
status
date
slug
summary
tags
category
icon
password
理論
AWS IAM Identity Center(AWS SSO)を活用するための本質的な知識を以下に整理します。
1. AWS IAM Identity Center (AWS SSO) 概要
- AWS SSO は、AWS のリソースへのアクセス管理を簡素化するサービスです。これにより、オンプレミスのディレクトリ(Active Directory)と統合して、ユーザーの認証と認可を一元的に管理できます。
- 企業内のユーザーが既存のディレクトリの資格情報を使って、複数のAWSアカウントやアプリケーションにシングルサインオン(SSO)でアクセスできるようにします。
2. AWS SSO の主要な設定
- ディレクトリの選択:
- AWS SSO には、2種類のアイデンティティソースを設定できます:
- AWS Managed Microsoft AD: AWS が提供する管理型の Microsoft Active Directory。
- AD Connector: 企業のオンプレミス Active Directory と AWS を接続するサービス。これにより、既存の Active Directory の資格情報を使用してAWSリソースにアクセスできます。
- ユーザーとグループ管理:
- AWS SSO 内でユーザーを作成するか、外部ディレクトリと同期して管理することができます。
- 既存のディレクトリのユーザーとグループを活用し、AWS のリソースへのアクセス権を割り当てます。
3. アクセス管理の効率化
- SSO によるユーザー管理の簡素化:
- 複数のアカウントやアプリケーションに対して、1つのログイン情報でアクセスできるため、パスワード管理やユーザー管理の負担が軽減されます。
- アクセスの一元管理が可能となり、セキュリティ強化にもつながります。
4. コスト効率の観点
- AD Connector vs. AWS Managed Microsoft AD:
- AD Connector は既存のオンプレミス Active Directory を活用するため、追加のコストが発生しません。
- 一方、AWS Managed Microsoft AD は AWS が完全に管理するディレクトリサービスで、運用コストがかかります。小規模環境や既存のディレクトリがある場合は、AD Connector の方がコスト効果的です。
AWS Organizationsの機能
機能 | 説明 | 小規模環境への適用 |
組織単位 (OUs) | 複数のアカウントを整理・管理するための機能。 | 小規模環境では不要な場合が多い。 |
サービスコントロールポリシー (SCPs) | AWSアカウントに対してアクセス制御を強化する機能。 | 設定が複雑で、小規模環境では過剰な場合がある。 |
AWS Budgets と Cost Explorer | 複数アカウントのコスト管理と予算設定を行う機能。 | 小規模環境では過剰で、管理負担が増える可能性がある。 |
Consolidated Billing(統合請求) | 複数のAWSアカウントの請求をまとめて1つにする機能。 | 少数アカウントでは不要な場合が多い。 |
AWS Single Sign-On(SSO) | 複数のAWSアカウントや外部アプリケーションに対してシングルサインオン(SSO)アクセスを提供する機能。 | 小規模環境では設定が煩雑になりやすい。 |
複数アカウント管理 | 複数のAWSアカウントを一元管理し、セキュリティやガバナンスを強化する機能。 | 少数のアカウントの場合、設定が過剰になることが多い。 |
リソース共有 | 複数のAWSアカウント間でリソースを共有する機能。 | 少数アカウントでの運用には過剰な機能。 |
まとめ
- 上記の機能は、組織が大規模に運用される場合や、複数アカウントを管理する必要がある場合に有用です。
- 小規模な環境では、設定や管理が複雑になり過ぎるため、最小限の機能だけを選択する方がコスト効率が良く、運用が簡単です。
アイデンティティソース
アイデンティティソースとは、ユーザー認証を行うために使用される「ユーザー情報の元となる場所」です。AWSの文脈では、アイデンティティソースは、ユーザーの認証情報が格納され、アクセス制御が行われる場所を指します。
例えば、AWSでのアイデンティティソースには次のようなものがあります。
1. AWS IAM(Identity and Access Management)
- IAMユーザーとその認証情報(ユーザー名、パスワード、アクセスキーなど)はAWS IAM内に管理されます。IAMをアイデンティティソースとして使用すると、AWSのリソースへのアクセス管理がIAMユーザーごとに行われます。
2. AWS IAM Identity Center(旧AWS SSO)
- IAM Identity Center(SSO)をアイデンティティソースに設定すると、オンプレミスのActive Directoryや外部の認証プロバイダー(Google WorkspaceやOktaなど)を通じて、AWSアカウントへのアクセスを管理できます。これにより、SSO(シングルサインオン)が実現され、ユーザーは一度認証すれば、複数のAWSアカウントやサービスにアクセスできるようになります。
3. AWS Directory Service
- AD ConnectorやAWS Managed Microsoft ADなどのサービスをアイデンティティソースに設定することで、オンプレミスのActive Directoryと連携して、AWSのサービスにアクセスできるようになります。これにより、Active Directoryに登録されているユーザーアカウントを使ってAWSリソースにアクセスできるようになります。
アイデンティティソースの選定の重要性
アイデンティティソースは、組織がどのようにユーザーの認証と認可を管理するかに大きな影響を与えます。例えば:
- IAMユーザーをアイデンティティソースとして選んだ場合、ユーザーのパスワードやアクセスキーなどをAWS内で管理する必要があります。
- IAM Identity Centerを選択した場合、既存のActive Directoryや外部の認証システムを利用して一元的にユーザー管理と認証を行えるため、ユーザー管理が簡素化されます。
まとめ
アイデンティティソースは、AWS環境にアクセスするために認証を行う場所を意味し、通常はIAM、IAM Identity Center、またはディレクトリサービス(AD ConnectorやAWS Managed Microsoft AD)などが用いられます。どのアイデンティティソースを選ぶかは、組織のユーザー管理方針やコスト効率に影響を与えます。
例
- ユーザーの認証:
- Active Directory (AD) がユーザーの認証を担当します。ユーザーが企業の内部ネットワークにログインする際に、ADはそのユーザーの資格情報(ユーザー名とパスワード)を確認します。
- 認証結果の伝達:
- 認証が成功すると、ADはそのユーザーの認証情報を**IAM Identity Center (SSO)**に伝えます。この情報は、ユーザーがAWSリソースにアクセスするための権限を持っているかどうかを確認するために使用されます。
- アクセスの許可:
- IAM Identity Centerは、ユーザーがどのようなAWSリソースにアクセスできるかを制御します。たとえば、IAM Identity Center内で設定された許可セット(Permission Sets)に基づいて、ユーザーにアクセス権が割り当てられます。
この流れにより、オンプレミスAD(Active Directory)がユーザー認証を担当し、認証後のアクセス制御はIAM Identity Centerが担当します。この構成は、企業の既存のActive Directory資格情報を活用し、AWS Management ConsoleへのアクセスをSSOでシームレスに統合するためのものです。
実践
一問道場
ある企業は、単一のAWSアカウントを使用する環境を持っています。ソリューションアーキテクトがこの環境をレビューし、特にAWS Management Consoleへのアクセス方法に関して改善点を提案しようとしています。現在、ITサポート担当者は、ジョブロールに紐づけられたIAMユーザーとして認証を行い、コンソールにアクセスして管理タスクを実行しています。
ITサポート担当者は、Active DirectoryとIAMユーザーアカウントの両方を管理することを望まなくなり、既存のActive Directoryの資格情報を使用してコンソールにアクセスできるようにしたいと考えています。ソリューションアーキテクトは、この機能を実現するためにAWS IAM Identity Center(AWS Single Sign-On)を使用しています。
この要件を最もコスト効率よく満たすソリューションはどれですか?
選択肢:
A:
- AWS Organizationsで組織を作成
- OrganizationsでIAM Identity Center機能を有効にする
- AWS Directory Service for Microsoft Active Directory(AWS Managed Microsoft AD)でディレクトリを作成し、企業のオンプレミスActive Directoryとの双方向トラストを設定
- IAM Identity Centerを設定し、AWS Managed Microsoft ADディレクトリをアイデンティティソースとして選択
- 既存のAWS Managed Microsoft ADディレクトリ内のグループに許可セットを作成して割り当て
B:
- AWS Organizationsで組織を作成
- OrganizationsでIAM Identity Center機能を有効にする
- AD Connectorを作成して、企業のオンプレミスActive Directoryに接続
- IAM Identity Centerを設定し、AD Connectorをアイデンティティソースとして選択
- 既存のActive Directory内のグループに許可セットを作成して割り当て
C:
- AWS Organizationsで組織を作成
- 組織のすべての機能を有効にする
- AWS Directory Service for Microsoft Active Directory(AWS Managed Microsoft AD)でディレクトリを作成し、企業のオンプレミスActive Directoryとの双方向トラストを設定
- IAM Identity Centerを設定し、AWS Managed Microsoft ADディレクトリをアイデンティティソースとして選択
- 既存のAWS Managed Microsoft ADディレクトリ内のグループに許可セットを作成して割り当て
D:
- AWS Organizationsで組織を作成
- 組織のすべての機能を有効にする
- AD Connectorを作成して、企業のオンプレミスActive Directoryに接続
- IAM Identity Centerを設定し、AD Connectorをアイデンティティソースとして設定
- 既存のActive Directory内のグループに許可セットを作成して割り当て
解説
要件の理解:
問題では、企業のITサポート担当者が現在、AWS Management ConsoleへのアクセスにIAMユーザーアカウントを使用しているが、既存のActive Directory(AD)の資格情報を使用してAWSにアクセスしたいという要件があります。また、ITサポート担当者はActive DirectoryとIAMユーザーの両方のアカウントを管理することを望まなくなっているため、**IAM Identity Center(旧AWS Single Sign-On)**を使って、Active Directoryの資格情報を活用し、AWSにアクセスできるようにするという目的です。
解決策の分析:
IAM Identity Center(旧AWS Single Sign-On)は、AWS環境でシングルサインオン(SSO)機能を提供し、既存のユーザー認証基盤(例えば、Active Directory)と統合して、複数のAWSアカウントやサービスにアクセスできるようにします。これにより、Active Directoryに基づいてAWSのアクセス管理が可能になります。
AD Connectorを使用すると、オンプレミスのActive DirectoryとAWSサービス(IAM Identity Centerなど)を接続することができます。これにより、AWS側で別途ユーザーを作成することなく、Active DirectoryのユーザーをAWS Management Consoleにアクセスさせることができます。
選択肢の評価:
Aの選択肢:
- AWS Managed Microsoft AD を使用する方法です。これは、オンプレミスのActive DirectoryとAWS Managed Microsoft AD(AWSが提供するActive Directory)を双方向で接続し、その後、IAM Identity Centerを利用して、AWS Managed Microsoft ADをアイデンティティソースとして使います。
- これは機能的には正しいですが、コスト効率が悪いです。AWS Managed Microsoft ADはAD Connectorよりも高額です。
Bの選択肢:
- AD Connector を使用してオンプレミスのActive DirectoryとAWSを接続し、IAM Identity Centerを利用して認証します。
- ただし、IAM Identity CenterはAWS Organizationsの「すべての機能」が有効化されている状態でのみ利用可能です。問題文にあるように、「IAM Identity Centerを機能として有効にする」ということはできません。AWS Organizationsを「すべての機能」にする必要があります。従って、この選択肢は不適切です。
Cの選択肢:
- AWS Managed Microsoft ADを使用し、IAM Identity Centerを設定します。これも機能的には正しいですが、コスト効率が悪いという点でAと同様です。
Dの選択肢:
- AD Connectorを使用して、オンプレミスのActive Directoryと接続し、IAM Identity Centerを設定します。
- 重要な点は、AWS Organizationsで「すべての機能」を有効にすることです。この設定で、IAM Identity Centerを有効化することができます。
- この選択肢が最もコスト効率が良い解決策です。AD Connectorを使うことで、オンプレミスのActive Directoryと直接接続し、IAM Identity Centerを活用して既存のユーザーアカウントをAWSで利用するため、最もコストパフォーマンスが高いです。
結論:
最もコスト効率よく要件を満たす解決策は、Dです。この選択肢では、AD Connectorを使って既存のActive Directoryと接続し、IAM Identity Centerを有効にして、AWS Management Consoleへのアクセスをシームレスに行います。
- 作者:みなみ
- 链接:https://tangly1024.com/資格勉強/16bd7ae8-88e2-801c-8c3f-c266f5ce2d2f
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
.png?table=block&id=021326af-6a29-487e-ac2f-560985ab23b3&t=021326af-6a29-487e-ac2f-560985ab23b3&width=800&cache=v2)
