Q48 — AWS SAA-C03 第4章

第 48/105 题 | ← 返回第4章

Q243.一家公司正在将应用程序迁移到 AWS.应用程序部署在不同的帐户中.公司使用 AWS Organizations 集中管理账户.公司的安全团队需要跨公司所有帐户的单点登录 (SSO) 解决方案.公司必须继续管理其本地自管理 Microsoft Active Directory 中的用户和组哪种解决方案可以满足这些要求?

正确答案: B. 从 AWS SSO 控制台启用 AWS Single Sign-On (AWS SSO).使用适用于 Microsoft Active Directory 的 AWS Directory Service 创建双向林信任以将公司自行管理的 Microsoft Active Directory 与 AWS SSO 连接起来

解析

创建双向信任关系——当在AWS托管的Microsoft AD和AD中的自管理目录之间创建双向信任关系时,AD中的自管理目录中的用户可以使用其公司凭据登录各种AWS服务和业务应用程序。单向信任与IAM身份中心不兼容。 AWS IAM身份中心(AWS单点登录的继承者)需要双向信任,以便它有权限从您的域读取用户和组信息,以同步用户和组元数据。IAM Identity Center在为权限集或应用程序分配访问权限时使用此元数据。用户和组元数据也被应用程序用于协作,例如当您与另一个用户或组共享仪表板时。从AWS Directory Service for Microsoft Active Directory到您域的信任允许IAM Identity Center信任您的域进行身份验证。相反方向的信任授予AWS读取用户和组元数据的权限。