Q27 — AWS SAP-C02 第3章

第 27/75 题 | ← 返回第3章

Q252. 解决方案架构师已使用公司本地身份提供商(IdP)实施了SAML 2.0联合身份解决方案,以验证用户对AWS环境的访问。当解决方案架构师通过联合身份Web门户测试身份验证时,可以访问AWS环境。但是,当测试用户尝试通过联合身份Web门户进行身份验证时,他们无法访问AWS环境。 解决方案架构师应检查哪些项目以确保身份联合正确配置?(选择三项。)

正确答案: B. 为联合用户或联合组创建的IAM角色的信任策略已将SAML提供商设置为主体。, D. Web门户使用SAML提供商的ARN、IAM角色的ARN和来自IdP的SAML断言调用AWS STS AssumeRoleWithSAML API。, F. 公司的IdP定义了将公司中的用户或组正确映射到具有适当权限的IAM角色的SAML断言。

解析

B. 为联合用户或联合组创建的IAM角色的信任策略已将SAML提供商设置为主体。这确保角色受到SAML提供商的信任。 D. Web门户使用SAML提供商的ARN、IAM角色的ARN和来自IdP的SAML断言调用AWS STS AssumeRoleWithSAML API。这确保使用正确的SAML断言进行身份验证和代入适当的IAM角色。 F. 公司的IdP定义了将公司中的用户或组正确映射到具有适当权限的IAM角色的SAML断言。这确保建立了IdP和IAM角色之间的正确映射,并向用户或组授予正确的权限。 A不是相关检查,因为它涉及单个IAM用户策略而不是SAML联合配置。C不是相关检查。E不是相关检查,因为它涉及网络连接而不是SAML联合配置。