Q76 — AWS SCS-C02 第1章
第 76/100 题 | ← 返回第1章
一家公司计划使用 AWS Organizations 创建一个组织。该公司需要将其用户管理与公司外部身份提供商(IdP)集成。同时,该公司还需从组织的管理账户集中管理对其所有 AWS 账户及应用程序的访问权限。
- A. 配置 AWS Directory Service 并连接外部 IdP。创建 IAM 策略,并将其关联至来自外部 IdP 的用户。
- B. 启用 AWS IAM Identity Center,并将外部 IdP 用作身份源。使用 IAM Identity Center 创建权限集(permission sets)和账户分配(account assignments)。 ✓
- C. 配置 AWS Identity and Access Management (IAM),将外部 IdP 用作身份提供商(IdP)。创建 IAM 策略,并将其关联至来自外部 IdP 的用户。
- D. 在组织的管理账户中启用 Amazon Cognito。创建一个身份池(identity pool)并将其与外部 IdP 关联。创建 IAM 角色,并将其关联至该身份池。
正确答案: B. 启用 AWS IAM Identity Center,并将外部 IdP 用作身份源。使用 IAM Identity Center 创建权限集(permission sets)和账户分配(account assignments)。
解析
AWS Organizations与外部身份提供商(IdP)集成及集中访问管理场景下,正确解决方案需结合AWS身份服务能力。AWS文档指出,IAM Identity Center(原AWS Single Sign-On)专为跨多账户和应用集中管理访问设计,支持外部IdP作为身份源。选项B通过启用IAM Identity Center集成外部IdP,利用权限集定义访问策略并分配到账户,满足统一管理需求。其他选项如Directory Service、IAM直接集成或Cognito,均不符合集成外部IdP同时集中管控多账户访问的核心要求。选项B正确。