Q55 — AWS SAP-C02 第1章
第 55/75 题 | ← 返回第1章
Q130. 一家公司的环境只有一个 AWS 账户。解决方案架构师正在审查环境以推荐公司可以改进的方面,特别是在 AWS 管理控制台的访问方面。公司的 IT 支持人员目前使用映射到其工作角色的命名 IAM 用户进行身份验证来访问控制台执行管理任务。IT 支持人员不再想同时维护 Active Directory 和 IAM 用户账户。他们希望能够使用现有的 Active Directory 凭证访问控制台。解决方案架构师正在使用 AWS IAM Identity Center (AWS Single Sign-On) 来实现此功能。哪个解决方案最经济高效地满足这些要求?
- A. 在 AWS Organizations 中创建组织。在 Organizations 中开启 IAM Identity Center 功能。在 AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) 中创建和配置目录,与公司的本地 Active Directory 建立双向信任。配置 IAM Identity Center 并将 AWS Managed Microsoft AD 目录设置为身份源。创建权限集并将其映射到 AWS Managed Microsoft AD 目录中的现有组。
- B. 在 AWS Organizations 中创建组织。在 Organizations 中开启 IAM Identity Center 功能。创建和配置 AD Connector 以连接到公司的本地 Active Directory。配置 IAM Identity Center 并选择 AD Connector 作为身份源。创建权限集并将其映射到公司 Active Directory 中的现有组。
- C. 在 AWS Organizations 中创建组织。为组织开启所有功能。在 AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) 中创建和配置目录,与公司的本地 Active Directory 建立双向信任。配置 IAM Identity Center 并选择 AWS Managed Microsoft AD 目录作为身份源。创建权限集并将其映射到 AWS Managed Microsoft AD 目录中的现有组。
- D. 在 AWS Organizations 中创建组织。为组织开启所有功能。创建和配置 AD Connector 以连接到公司的本地 Active Directory。配置 IAM Identity Center 并将 AD Connector 设置为身份源。创建权限集并将其映射到公司 Active Directory 中的现有组。 ✓
正确答案: D. 在 AWS Organizations 中创建组织。为组织开启所有功能。创建和配置 AD Connector 以连接到公司的本地 Active Directory。配置 IAM Identity Center 并将 AD Connector 设置为身份源。创建权限集并将其映射到公司 Active Directory 中的现有组。
解析
为以最经济高效的方式实施 IAM Identity Center 与 Active Directory 的集成,推荐的解决方案是: D. 在 AWS Organizations 中创建组织。为组织开启所有功能。创建和配置 AD Connector 以连接到公司的本地 Active Directory。配置 IAM Identity Center 并将 AD Connector 设置为身份源。创建权限集并将其映射到公司 Active Directory 中的现有组。 说明: AD Connector 比 AWS Managed Microsoft AD 更经济,因为它是一个轻量级的代理服务,将目录请求转发到本地 Active Directory,而无需在云中维护完整的目录。IAM Identity Center 需要 Organizations 开启所有功能(不仅仅是整合账单)。