Q55 — AWS SAP-C02 第1章

第 55/75 题 | ← 返回第1章

Q130. 一家公司的环境只有一个 AWS 账户。解决方案架构师正在审查环境以推荐公司可以改进的方面,特别是在 AWS 管理控制台的访问方面。公司的 IT 支持人员目前使用映射到其工作角色的命名 IAM 用户进行身份验证来访问控制台执行管理任务。IT 支持人员不再想同时维护 Active Directory 和 IAM 用户账户。他们希望能够使用现有的 Active Directory 凭证访问控制台。解决方案架构师正在使用 AWS IAM Identity Center (AWS Single Sign-On) 来实现此功能。哪个解决方案最经济高效地满足这些要求?

正确答案: D. 在 AWS Organizations 中创建组织。为组织开启所有功能。创建和配置 AD Connector 以连接到公司的本地 Active Directory。配置 IAM Identity Center 并将 AD Connector 设置为身份源。创建权限集并将其映射到公司 Active Directory 中的现有组。

解析

为以最经济高效的方式实施 IAM Identity Center 与 Active Directory 的集成,推荐的解决方案是: D. 在 AWS Organizations 中创建组织。为组织开启所有功能。创建和配置 AD Connector 以连接到公司的本地 Active Directory。配置 IAM Identity Center 并将 AD Connector 设置为身份源。创建权限集并将其映射到公司 Active Directory 中的现有组。 说明: AD Connector 比 AWS Managed Microsoft AD 更经济,因为它是一个轻量级的代理服务,将目录请求转发到本地 Active Directory,而无需在云中维护完整的目录。IAM Identity Center 需要 Organizations 开启所有功能(不仅仅是整合账单)。