はじめに

AWS 認定ソリューションアーキテクト – プロフェッショナル（SAP)試験の勉強に向けた頭の整理として、以下の内容について用語レベルでまとめていきます。

• IAMと認証連携【本記事】
• セキュリティ
• コンピュートおよびロードバランシング
  • AmazonEC2
  • AWSオートスケーリング
  • Amazon ECS
  • AWS Lambda
  • ELB(Elastic Load Balancing)
  • APIゲートウェイ
  • Route53
• ストレージ
• キャッシング
• データベース
• サービスコミュニケーション
• データエンジニアリング
• モニタリング
• デプロイおよびインスタンス管理
• コスト管理
• マイグレーション
• VPC

※この項目分類については、UdemyのUltimate AWS Certified Solutions Architect Professional 2020コースを参考にしています。

IAM

• アイデンティティ(ユーザなど)のリソースへのアクセス権限などを制御・管理するサービス。アクセス方法としては ①マネジメントコンソール、②AWS CLI、③AWS SDK、④IAM HTTPS APIの4つの方法がある。

STS

• STSとはAWS Security Token Serviceの略であり、一時的なセキュリティ認証情報をユーザ(IAMユーザ以外含む)に与えることでAWSリソースへのアクセスを許可することが可能。これによりassume role やidentity federationなどを実現。クロスアカウントアクセスも実現可能。

Cognito

• IAMユーザを作成することなく、匿名ユーザに対してもウェブアイデンティティフェデレーションを実現する仕組み。MFAもサポート。認証されたユーザの権限はIAMポリシーによって制御可能。

SAML2.0

• SAMLとはSecurity Assertion Markup Languageの略称であり、アクティブディレクトリなどを利用して複数のクラウドサービスへのシングルサインオンを実現するプロトコルのこと。IdP(アイデンティティプロバイダ)がSAMLに対応していない場合はCustomer Identity Broker Applicationを使用(STS APIのAssumeRoleかGetFederationTokenのいずれかを利用)

AWS Directory Services

• AWS Directory Servicesとは、Microsoft Active Directory (AD) を AWS の他のサービスと併用するための仕組み。管理者はユーザ、グループ、デバイスに関する保存したディレクトリを通じてリソースへのアクセスを管理可能。また、各種第三者アプリケーションに対してSSO(後述)を提供することも可能。

• おおまかに①AWS Managed Microsoft AD、②AD Connector、③Simple ADに分類することができる。

AWS Organization

• 複数アカウントをまとめて管理する仕組み。マスターアカウントは子アカウントを作成・招待することができ、IAMロールを作成したりAssume Roleを使うことでマスターから子アカウントにアクセス可能。これらの子アカウント作成ははAPIによって自動化可能。

• 複数アカウントをまとめることで各アカウントの支払いを集約することができ、それによってボリュームディスカウントを受けることができる。リザーブドインスタンスもOrganization内でシェア可能。

• OrganizationはOrganizational Units(OU)という単位で整理され、Root OU配下に組織単位・プロジェクト単位・開発環境単位などで自由に分けることができる。Organization単位でサービスコントロールポリシー(SCP)を設定することで、リソースへのアクセス制御を実現可能。

AWS Resource Access Manager

• AWSリソースをOrganization内の他アカウントと共有するための仕組み。

AWS Single Sign On(SSO)

• 複数アカウントと第三者アプリケーションのSSOを一元管理するサービス。オンプレミスAD、第三者アプリケーション、カスタムSAMLアプリケーションとの連携が可能。