411-AWS SAP AWS 「理論・実践・一問道場」Amazon Cognito

type

status

date

slug

summary

理論

1. Amazon Cognito

概要: Amazon Cognitoは、AWSでのユーザー管理と認証を行うサービスです。主に、ユーザーがアプリケーションにアクセスする際の認証を管理するために使用されます。

MFA対応: Cognitoでは、ユーザーに対して多要素認証（MFA）を強制できます。これにより、セキュリティを強化し、ユーザーの認証をより安全に行うことができます。

ALB統合: CognitoのユーザープールをALBに統合することで、ALBを介してアプリケーションにアクセスするユーザーの認証を強制できます。これにより、アプリケーションに対するアクセス制御を効果的に実現できます。

2. Application Load Balancer (ALB)

概要: ALBは、HTTP/HTTPSリクエストの負荷分散を行うAWSのサービスです。ALBは、リスナールールを使用してトラフィックをさまざまなターゲットにルーティングできます。

認証機能: ALBには、Cognitoを統合して認証を強制する機能があります。リスナールールを設定し、Cognitoを通じてユーザー認証を行うことが可能です。

3. 多要素認証 (MFA)

概要: MFAは、ユーザーの認証に追加のセキュリティ層を提供します。通常、ユーザー名とパスワードに加えて、物理的なデバイス（例: スマートフォンアプリ）から生成されるコードを使用します。

AWSでのMFA: AWSでは、MFAを有効にすることで、管理者アカウントやユーザーアカウントのセキュリティを強化できます。特に重要な操作（例: IAMポリシーの変更、AWSリソースの削除）にMFAを要求することが推奨されます。

4. AWS Identity and Access Management (IAM)

概要: IAMは、AWSリソースへのアクセスを管理するサービスで、ポリシーに基づいてユーザーやグループにアクセス許可を設定します。

MFAとの統合: IAMユーザーは、MFAデバイスを設定して、AWSコンソールやAPIへのアクセスにMFAを強制することができます。

5. IAM Identity Center (AWS Single Sign-On)

概要: AWS IAM Identity Centerは、企業のユーザーにシングルサインオン（SSO）機能を提供するサービスです。これにより、複数のAWSアカウントや外部アプリケーションに対して一元的にアクセス管理を行うことができます。

MFA対応: IAM Identity Centerは、MFAをサポートしており、企業のポリシーに基づいてMFAを必要とすることができます。ただし、ALBとの統合には慎重な設定が必要です。

結論

ユーザーアクセス制御とMFAの設定は、セキュリティ強化のために重要なステップです。AWSのCognitoやIAMを適切に使用し、ALBと組み合わせることで、インターネットからのアクセスに対してセキュアな認証を実現できます。特に、Cognitoを利用したMFAの強制は、インターネット上でのアプリケーションアクセスにおけるセキュリティのベストプラクティスです。

実践

略

一問道場

問題 #411

ある会社が、AWS上でサードパーティ製のウェブアプリケーションを展開しています。このアプリケーションはDockerイメージとしてパッケージ化されています。会社はそのDockerイメージをAmazon Elastic Container Service (Amazon ECS) のAWS Fargateサービスとして展開しています。アプリケーションへのトラフィックはApplication Load Balancer (ALB)によって転送されています。

会社は、特定のユーザーリストにのみインターネットからアプリケーションへのアクセスを許可する必要があります。会社はアプリケーションを変更できず、アイデンティティプロバイダーとの統合もできません。すべてのユーザーは、多要素認証(MFA)を通じて認証されなければなりません。

どのソリューションがこれらの要件を満たしますか？

A. Amazon Cognitoでユーザープールを作成します。プールをアプリケーションに対して設定します。必要なユーザーをプールに登録します。プールをMFAを必要とするように設定します。ALBでリスナールールを設定し、Amazon CognitoのホストされたUIを通じて認証を要求します。

B. ユーザーをAWS Identity and Access Management (IAM)で設定します。Fargateサービスにリソースポリシーを適用して、ユーザーがMFAを使用することを要求します。ALBでリスナールールを設定し、IAMを通じて認証を要求します。

C. ユーザーをAWS Identity and Access Management (IAM)で設定します。AWS IAM Identity Center (AWS Single Sign-On) を有効にします。ALBのリソース保護を設定し、MFAを使用することを要求するリソース保護ルールを作成します。

D. AWS Amplifyでユーザープールを作成します。プールをアプリケーションに対して設定します。必要なユーザーをプールに登録します。プールをMFAを必要とするように設定します。ALBでリスナールールを設定し、AmplifyのホストされたUIを通じて認証を要求します。

解説

この問題は、AWS上でホストされているアプリケーションに対して、特定のユーザーにのみアクセスを許可し、そのユーザーが多要素認証（MFA）を通じて認証されるようにする方法に関するものです。

それぞれの選択肢について解説します。

A. Amazon Cognitoでユーザープールを作成する

説明: Amazon Cognitoは、ユーザー認証を管理するためのサービスです。ユーザープールを作成し、そのプールに必要なユーザーを登録し、MFAを必須とすることができます。ALBのリスナールールを設定することで、Amazon CognitoのホストされたUIを使用して認証を強制できます。

適切な理由: このソリューションは要件を満たします。Cognitoを使えば、ユーザー管理やMFA認証を簡単に設定でき、ALBでのリスナールールを使ってその認証を強制できます。アプリケーションの変更なしに、ユーザー認証とMFAを実現できます。

B. IAMでユーザーを設定し、Fargateサービスにリソースポリシーを適用する

説明: IAMを使用してユーザーを設定し、Fargateサービスに対してリソースポリシーを設定し、MFAを必須にする方法です。しかし、ALBでの認証にIAMを使って制限することは一般的には推奨されません。

不適切な理由: IAMでMFAを強制することは可能ですが、ALBでIAMを使って直接ユーザー認証を行う方法は適切ではありません。ALBはIAM認証の直接的な仕組みをサポートしておらず、この方法では要件に合致しません。

C. IAM Identity Center (AWS Single Sign-On) を有効にする

説明: IAM Identity Center（旧AWS SSO）を使って、ユーザーにシングルサインオンでアクセスを提供する方法です。リソース保護ルールを使用して、ALBでMFAを要求することができますが、IAM Identity CenterをALBに直接統合することは複雑で、一般的にはサポートされていません。

不適切な理由: IAM Identity Centerはユーザー認証の管理に役立ちますが、ALBで直接MFAを要求するためには、他のサービス（Cognitoなど）の方が適切です。この方法は、要件を満たすために複雑な設定が必要になります。

D. AWS Amplifyでユーザープールを作成する

説明: AWS Amplifyは主にフルスタックのアプリケーション開発をサポートするツールです。Amplifyでユーザープールを作成して、ユーザーを登録し、MFAを要求することができますが、Amplifyは主にフロントエンドのアプリケーションと統合されるものであり、ALBと直接連携させるのは通常の使用方法ではありません。