T3-Q53: SAML障害時のブレークグラスはSAMLロールではなくローカルIAMユーザー + Session Manager監査
SAMLフェデレーション障害時の緊急アクセスを、EC2キーペアやAssumeRoleWithSAMLではなく独立経路で設計する。
AWS SCS-C03 Break Glass SAML Session Manager
対象誤答: T3 Q53 BREAK GLASS SESSION MANAGER
あなたの選択と正答
| 観点 | 内容 |
|---|---|
| あなたの選択 | EC2キーペアを作成し、CloudTrailでキー使用を監視する。Session Managerも設定する。 |
| 正答 | SAMLに依存しないローカルIAMユーザーを作成してCloudTrail/CloudWatch/EventBridgeで監視し、EC2アクセスはSession Managerで監査する。 |
| 誤答の引力 | ブレークグラスをEC2のSSHアクセス問題として狭く見ている。要件はAWSアカウントへの緊急アクセスと全アクティビティ記録。 |
| 判断軸 | SAML障害時に使う経路はSAMLへ依存させない。EC2への人間アクセスはSession ManagerでCloudTrail記録と通知を組み合わせる。 |
この問題の芯
T3-Q53 は、普段は SAML フェデレーションでAWSアクセスしているが、SAML障害時だけ使うブレークグラスユーザーを作り、その活動を記録してセキュリティチームへ送る問題。あなたは EC2キーペアを含む選択肢を選んだ。正解は、SAMLに依存しないローカルIAMユーザーと、EC2アクセスにはSession Manager + CloudTrail/SNS通知。
ブレークグラスの要件
ブレークグラスは「通常経路が壊れたときの独立した緊急経路」。SAMLに問題がある時に AssumeRoleWithSAML を使う設計は矛盾する。
またEC2キーペアはEC2のSSHアクセスだけの話。AWSコンソールやAPI全体への緊急アクセス、誰が何をしたかの監査には弱い。
正しい構成の分解
| 要件 | 主役 |
|---|---|
| SAML障害時でも使える | ローカルIAMユーザー |
| 権限を絞る | IAMポリシー + MFA + break-glass運用 |
| EC2へ人が入る | Systems Manager Session Manager |
| API活動を記録 | CloudTrail |
| セキュリティチーム通知 | EventBridge / CloudWatch / SNS |
次回の秒殺ルール
「SAMLに問題が発生した際のみ」という文が出たら、SAML依存の選択肢は落とす。
EC2キーペアはAWSアカウント全体のブレークグラスではない。
人のEC2アクセスを監査したいなら Session Manager。
仕上げの一問一答
- この問題の主語は何か: IAM User
- 先に除外する選択肢: 問題文の主語と違うサービス責務に寄っているもの。
- 最後に確認する語: 「最もコスト効率」「組織全体」「未指定を拒否」「監査」「自動有効化」などの制約語。