tsumiki-media logo

tsumiki-media

Command Palette

Search for a command to run...

AWSサービス比較
約15分
中級
6/10
2025年7月2日

AWS SCS-C02 対策 Cognito vs STS vs IAM Identity Center

AWS Cognito、STS、IAM Identity Centerの適用場面を徹底解析。エンタープライズ認証、アプリケーションユーザー認証、システム間認証の3つのカテゴリ別に使い分けのポイントを解説します。

この記事のポイント

  • 1
    Cognito、STS、IAM Identity Centerの基本的な違いを理解する
  • 2
    3つのサービスの適用場面と選択基準を把握する
  • 3
    資格試験の問題を通じて使い分けのポイントを理解する

目次

3つのサービスの特徴と適用領域

AWS認証サービスは利用者の種類に応じて最適なサービスが決まります。IAM Identity Centerは企業の従業員向けの統合認証に特化し、Cognitoはアプリケーションの顧客向け認証を提供し、STSはシステム間の一時的な認証を担います。

資格試験では「誰が」「何のために」認証を必要としているかを正確に判断することで、最適なサービスを瞬時に選択できます。

Amazon Cognito

主な対象ユーザー
アプリ顧客・外部ユーザー
認証方式
ソーシャルログイン・メール認証
用途
eコマース・モバイルアプリ
管理の複雑さ
低(マネージド)
セッション期間
アクセストークン60分
料金体系
月間アクティブユーザー数

AWS STS

主な対象ユーザー
システム・サービス
認証方式
一時トークン発行
用途
クロスアカウントアクセス
管理の複雑さ
中(ロール設定要)
セッション期間
15分-12時間
料金体系
APIコール数

AWS IAM Identity Center

主な対象ユーザー
企業従業員
認証方式
企業IDプロバイダー統合
用途
マルチアカウント企業統合
管理の複雑さ
低(権限セット)
セッション期間
1-12時間
料金体系
無料

資格試験での選択基準と判断フロー

AWS資格試験では、認証の要件を3つのカテゴリに分類して判断します。以下のフローチャートに従うことで、迷わず正解を選択できるようになります。

重要なポイントは、最初に利用者の種類を確認し、次に認証の目的を明確にすることです。

実践問題で確認

前セクションで学んだ判断基準を、AWS資格試験対策で確認してみましょう。3つの代表的なカテゴリ別に問題を解いて、各サービスの使い分けを実践的に理解します。

各問題では、判断フローに従って正解を導出する思考プロセスを体験できます。

AWS認定セキュリティ - 専門知識

練習問題

大手製造企業が、外部のセキュリティ評価会社に自社のAWS環境の定期的な監査を依頼しています。この企業はAWS Organizationsを使用して複数のAWSアカウントを管理しており、開発、テスト、本番環境用に分離されたアカウントを持っています。 セキュリティチームは、監査プロセスを簡素化するために、外部のセキュリティ評価会社に一時的な認証情報を提供する方法を検討しています。同時に複数のセキュリティ評価会社が監査を行う可能性があるため、認証情報の共有は安全でなければなりません。さらに、各評価会社は監査のために特定のAWSアカウントのみにアクセスする必要があります。 セキュリティチームには以下の要件があります: - 認証情報は一時的であること - 各セキュリティ評価会社は割り当てられたアカウントのみにアクセスできること - なりすましや「混乱した代理」の問題を防止すること - 運用オーバーヘッドを最小限に抑えること - AWS環境全体で監査証跡を維持すること これらの要件を最も効果的に満たす方法は何ですか?

AWS認定セキュリティ - 専門知識

練習問題

あるスタートアップ企業が、モバイルアプリケーション向けのバックエンドサービスをAWS上に構築しています。現在、数千人のユーザーがアプリを利用していますが、ユーザー認証はモバイルアプリ内で直接管理されており、ユーザー名とパスワードはAmazon RDSデータベースに保存されています。 最近、パスワードリセット要求や認証トラブルに関するサポートチケットが急増しています。さらに、ソーシャルメディアアカウントでのログインオプションを追加してユーザー登録プロセスを簡素化したいとの要望も増えています。セキュリティチームは、以下の要件を満たすソリューションを実装したいと考えています: - パスワード管理の負担を軽減 - 多要素認証(MFA)のサポート - ソーシャルIDプロバイダーとの連携 - ユーザー認証情報の安全な保護 - 将来的なスケーラビリティの確保 これらの要件を最も効率的に満たすソリューションはどれですか?

AWS認定セキュリティ - 専門知識

練習問題

ある企業は複数のAWSアカウントを所有しており、開発者がアプリケーションの開発と保守のためにこれらのアカウントのリソースにアクセスする必要があります。セキュリティチームは、開発者が複数のAWSアカウントやIDプロバイダーを使用する際のセキュリティリスクを最小限に抑えるためのソリューションを設計しています。 要件は以下の通りです: - 開発者は企業の既存のIDプロバイダーで一度認証すれば、複数のAWSアカウントのリソースにアクセスできる必要がある - すべてのアクセスは一時的な認証情報に基づくものでなければならない - 認証情報は最大8時間のみ有効とする - 第三者によるアクセスには追加のセキュリティレイヤーが必要 最も効率的でセキュアなアプローチはどれですか?

まとめ

IAM Identity Centerは企業の従業員向けマルチアカウント統合認証に最適で、ディレクトリサービス統合と権限セットにより効率的な管理を実現します。

Amazon Cognitoはeコマースやモバイルアプリの外部顧客向け認証に特化し、ソーシャルログインとMFA機能を標準提供します。

AWS STSはシステム間の一時的なクロスアカウントアクセスに使用し、AssumeRoleによるセキュアな認証情報発行を担います。

資格試験では利用者の種類(従業員・顧客・システム)を最初に判断し、それに応じて適切なサービスを選択することが成功の鍵です。

理解度チェック

企業従業員・アプリ顧客・システム間認証の違いを理解できているか?

各サービスの主要機能と制限を把握しているか?

利用者種別から適切なサービス選択までのフローを理解しているか?

問題文の要件から瞬時に正解サービスを判断できるか?

他の問題も解いてみませんか?

tsumikiでは、AWS認定試験の合格に必要な知識を体系的に学習できます。実践的な問題を通じて、AWSスキルを身につけましょう。

tsumikiで学習する