Q56 — AWS SOA-C02 第1章

第 56/100 题 | ← 返回第1章

一家公司的系统运维管理员使用AWS IAM Identity Center(AWS单点登录)连接至Active Directory。该管理员创建了一个新账户,公司所有用户均需访问该账户。 管理员使用Active Directory域用户组(Domain Users)为该新账户分配权限,因为所有用户已是该组成员。但当用户尝试登录时,访问被拒绝。 哪项操作可解决此访问问题?

正确答案: D. 修正Active Directory组的权限,使IAM Identity Center具有读取权限。

解析

IAM Identity Center必须能读取Active Directory中组的成员身份信息,才能将组映射到AWS账户权限。若AD组权限配置不当(如缺少‘读取成员身份’权限),IAM Identity Center将无法同步用户归属关系,导致授权失败。选项D直接修复此根本原因——确保IAM Identity Center服务主体在AD中拥有必要的读取权限(如Read Members、List Contents等)。选项A绕过问题但未解决同步失效根源;选项B时间偏差通常影响Kerberos认证,与组同步无关;选项C重建账户不解决AD权限缺失问题。因此,D是唯一正确操作。