Q73 — AWS SAP-C02 第2章
第 73/75 题 | ← 返回第2章
Q223. 一家公司有许多单独的 AWS 账户,不使用集中计费或管理。每个 AWS 账户为公司不同部门托管服务。该公司有一个已部署的 Microsoft Azure Active Directory。 解决方案架构师需要集中公司 AWS 账户的计费和管理。该公司希望开始使用身份联合而不是手动用户管理。该公司还希望使用临时凭证而不是长期访问密钥。 哪种步骤组合能满足这些要求?(选择三项。)
- A. 创建一个新的 AWS 账户作为管理账户。在 AWS Organizations 中部署组织。邀请每个现有 AWS 账户加入组织。确保每个账户接受邀请 ✓
- B. 将每个 AWS 账户的电子邮件地址配置为 aws+@example.com,以便账户管理电子邮件和发票发送到同一位置
- C. 在管理账户中部署 AWS Single Sign-On (AWS SSO)。将 AWS SSO 连接到 Azure Active Directory。配置 AWS SSO 自动同步用户和组 ✓
- D. 在管理账户中部署 AWS Managed Microsoft AD 目录。使用 AWS Resource Access Manager (AWS RAM) 与组织中的所有其他账户共享目录
- E. 创建 AWS Single Sign-On (AWS SSO) 权限集。将权限集附加到适当的 AWS SSO 组和 AWS 账户 ✓
- F. 在每个 AWS 账户中配置 AWS Identity and Access Management (IAM) 以使用 AWS Managed Microsoft AD 进行身份验证和授权
正确答案: A. 创建一个新的 AWS 账户作为管理账户。在 AWS Organizations 中部署组织。邀请每个现有 AWS 账户加入组织。确保每个账户接受邀请, C. 在管理账户中部署 AWS Single Sign-On (AWS SSO)。将 AWS SSO 连接到 Azure Active Directory。配置 AWS SSO 自动同步用户和组, E. 创建 AWS Single Sign-On (AWS SSO) 权限集。将权限集附加到适当的 AWS SSO 组和 AWS 账户
解析
选项 B 建议将每个 AWS 账户的电子邮件地址配置为相同地址。虽然此方法可以帮助集中电子邮件和发票,但不提供集中计费或管理功能。 选项 D 建议在管理账户中部署 AWS Managed Microsoft AD 目录并使用 AWS RAM 共享目录。虽然提供托管目录和目录共享功能,但不提供集中计费或管理功能。 选项 F 建议在每个 AWS 账户中配置 IAM 使用 AWS Managed Microsoft AD 进行身份验证和授权。虽然提供集中身份验证和授权,但不提供集中计费或管理功能。 因此,选项 A、C 和 E 提供了最合适的解决方案,创建新的 AWS 账户作为管理账户,在 AWS Organizations 中部署组织并邀请所有账户加入,在管理账户中部署 AWS SSO 并连接到 Azure Active Directory,配置自动同步用户和组,创建 AWS SSO 权限集并附加到适当的 AWS SSO 组和 AWS 账户。此方法提供集中管理、身份联合和临时凭证。