Q41 — AWS SCS-C02 第1章
第 41/100 题 | ← 返回第1章
一家公司使用第三方身份提供商和基于SAML的单点登录(SSO)来管理其AWS账户。在第三方身份提供商更新了已过期的签名证书后,用户尝试登录时收到以下错误消息:Error: Response Signature Invalid(服务:AWSSecurityTokenService;状态码:400;错误码:InvalidIdentityToken)。一名安全工程师需要提供一种解决方案,以修正该错误并尽可能减少运维开销。 以下哪项解决方案满足这些要求?
- A. 使用AWS管理控制台,将第三方签名证书的新私钥上传到AWS Identity and Access Management(IAM)中定义的AWS身份提供商实体。
- B. 使用新公钥对身份提供商的元数据文件进行签名。使用AWS CLI将该签名上传到AWS Identity and Access Management(IAM)中定义的AWS身份提供商实体。
- C. 从身份服务提供商处下载更新后的SAML元数据文件。使用AWS CLI更新AWS Identity and Access Management(IAM)中定义的AWS身份提供商实体中的该文件。 ✓
- D. 使用AWS管理控制台,配置AWS Identity and Access Management(IAM)中定义的AWS身份提供商实体,使其同步获取新公钥。
正确答案: C. 从身份服务提供商处下载更新后的SAML元数据文件。使用AWS CLI更新AWS Identity and Access Management(IAM)中定义的AWS身份提供商实体中的该文件。
解析
在AWS环境中使用第三方身份提供商和基于SAML的SSO时,身份提供商更新签名证书后,AWS必须同步最新证书以确保SAML响应验证通过。AWS文档指出,IAM中的身份提供商实体需包含身份提供商的元数据文件,其中包含公钥证书。当证书更新后,需重新下载该元数据文件并更新IAM配置。选项C通过AWS CLI更新元数据文件,符合操作流程。其他选项涉及私钥(不安全)、签名步骤(多余)或自动同步(无此默认功能),均不符合要求。