Q56 — AWS SOA-C02 第1章
第 56/100 問 | ← 第1章
ある会社のSysOps管理者は、AWS IAM Identity Center(AWS Single Sign-On)を使用してActive Directoryに接続しています。SysOps管理者は、会社のすべてのユーザーがアクセスする必要がある新しいアカウントを作成しました。 SysOps管理者は、すべてのユーザーが既にメンバーであるActive Directory Domain Usersグループを、新しいアカウントへのアクセス権限付与に使用しました。しかし、ユーザーがログインを試みると、アクセスが拒否されます。 このアクセス問題を解決するには、どのアクションを実行すればよいですか?
- A. 新しいグループを作成します。新しいグループにユーザーを追加してアクセスを許可します。
- B. Active Directoryドメインコントローラーの時刻を修正します。
- C. アカウントを削除し、IAM Identity Centerと統合された組織に再追加します。
- D. Active Directoryグループの権限を修正して、IAM Identity Centerが読み取りアクセスできるようにします。 ✓
正解: D. Active Directoryグループの権限を修正して、IAM Identity Centerが読み取りアクセスできるようにします。
解説
AWS IAM Identity Center(AWS Single Sign-On)は、Active Directory内のグループ情報を正しく読み取る必要があり、ユーザーのメンバーシップを同期できます。本問題では、ユーザーのアクセスが拒否される原因は、IAM Identity CenterがActive Directoryグループのメンバーシップを取得できないためです。AWSドキュメントによると、IAM Identity Centerが適切な読み取り権限を設定されていない場合、グループ内のユーザーを認識できません。選択肢Dは、IAM Identity CenterがActive Directoryグループを読み取れるよう権限を修正することを示しており、ユーザー情報の正しく同期されるようになります。選択肢A、B、Cは、権限設定という根本的な問題に触れていません。