Q56 — AWS SAP-C02 第1章
第 56/75 题 | ← 返回第1章
Q131. 一家公司正在使用本地 Active Directory 服务进行用户身份验证。公司希望使用相同的身份验证服务登录公司的 AWS 账户,这些账户使用 AWS Organizations。本地环境和所有公司 AWS 账户之间已存在 AWS Site-to-Site VPN 连接。公司的安全策略要求基于用户组和角色对账户进行条件访问。用户身份必须在单一位置管理。哪个解决方案将满足这些要求?
- A. 配置 AWS IAM Identity Center (AWS Single Sign-On) 使用 SAML 2.0 连接到 Active Directory。使用 System for Cross-domain Identity Management (SCIM) v2.0 协议启用自动预置。使用基于属性的访问控制 (ABAC) 授予对 AWS 账户的访问权限。 ✓
- B. 使用 IAM Identity Center 作为身份源配置 AWS IAM Identity Center (AWS Single Sign-On)。使用 System for Cross-domain Identity Management (SCIM) v2.0 协议启用自动预置。使用 IAM Identity Center 权限集授予对 AWS 账户的访问权限。
- C. 在公司的一个 AWS 账户中,配置 AWS Identity and Access Management (IAM) 使用 SAML 2.0 身份提供商。预置映射到联合用户的 IAM 用户。授予与 Active Directory 中适当组对应的访问权限。使用跨账户 IAM 用户授予对所需 AWS 账户的访问权限。
- D. 在公司的一个 AWS 账户中,配置 AWS Identity and Access Management (IAM) 使用 OpenID Connect (OIDC) 身份提供商。预置 IAM 角色,为与 Active Directory 中适当组对应的联合用户授予对 AWS 账户的访问权限。使用跨账户 IAM 角色授予对所需 AWS 账户的访问权限。
正确答案: A. 配置 AWS IAM Identity Center (AWS Single Sign-On) 使用 SAML 2.0 连接到 Active Directory。使用 System for Cross-domain Identity Management (SCIM) v2.0 协议启用自动预置。使用基于属性的访问控制 (ABAC) 授予对 AWS 账户的访问权限。
解析
为使用本地 Active Directory 管理 AWS 账户访问,推荐的解决方案是: A. 配置 AWS IAM Identity Center (AWS Single Sign-On) 使用 SAML 2.0 连接到 Active Directory。使用 System for Cross-domain Identity Management (SCIM) v2.0 协议启用自动预置。使用基于属性的访问控制 (ABAC) 授予对 AWS 账户的访问权限。 说明: IAM Identity Center 通过 SAML 2.0 连接到本地 Active Directory 可以实现单点登录。SCIM 自动预置用户信息。ABAC 允许基于用户属性(如组和角色)进行条件访问控制,满足安全策略要求。用户身份继续在本地 Active Directory 中管理。