A company needs a security engineer to implement a scalable solution for multi-account authentication and authorization. The solution should not introduce additional user-managed architectural components. Native AWS features should be used as much as possible. The security engineer has set up AWS Organizations with all features activated and AWS IAM Identity Center (AWS Single Sign-On) enabled.
Which additional steps should the security engineer take to complete the task?
A. Use AD Connector to create users and groups for all employees that require access to AWS accounts. Assign AD Connector groups to AWS accounts and link to the IAM roles in accordance with the employees’ job functions and access requirements. Instruct employees to access AWS accounts by using the AWS Directory Service user portal.
B. Use an IAM Identity Center default directory to create users and groups for all employees that require access to AWS accounts. Assign groups to AWS accounts and link to permission sets in accordance with the employees’ job functions and access requirements. Instruct employees to access AWS accounts by using the IAM Identity Center user portal.
C. Use an IAM Identity Center default directory to create users and groups for all employees that require access to AWS accounts. Link IAM Identity Center groups to the IAM users present in all accounts to inherit existing permissions. Instruct employees to access AWS accounts by using the IAM Identity Center user portal.
D. Use AWS Directory Service for Microsoft Active Directory to create users and groups for all employees that require access to AWS accounts. Enable AWS Management Console access in the created directory and specify IAM Identity Center as a source of information for integrated accounts and permission sets. Instruct employees to access AWS accounts by using the AWS Directory Service user portal.
B
一家公司需要一名安全工程師為多賬戶身份驗證和授權實施一個可擴展的解決方案。該解決方案不應引入額外的用戶管理架構組件。應盡可能多地使用原生 AWS 功能。安全工程師已設置好 AWS Organizations(所有功能均已激活)并啟用了 AWS IAM Identity Center(AWS 單點登錄)。安全工程師還應采取哪些額外步驟來完成此任務?
公司需要安全工程師實施可擴展的多賬戶認證授權方案,要求不引入額外用戶管理架構組件、盡量用原生 AWS 功能,已知已設置好 AWS Organizations 并啟用 AWS IAM Identity Center,問題是找出安全工程師完成該任務還需采取的額外步驟。
AWS Organizations:AWS 提供的一項服務,可集中管理和治理整個 AWS 環境,通過組織單元(OU)等結構對多個 AWS 賬戶進行分組和管理。
AWS IAM Identity Center(AWS Single Sign-On):用于集中管理對 AWS 服務和應用程序的訪問,支持單點登錄,可簡化用戶對多個 AWS 賬戶的訪問管理。
可擴展解決方案需求:要能隨著公司業務發展、賬戶和用戶數量增加而輕松擴展。
不引入額外用戶管理架構組件:意味著應利用 AWS 現有的身份管理功能,而非部署如額外的目錄服務等。
使用原生 AWS 功能:優先考慮 AWS 自帶的服務和功能來實現需求。
技巧:排除明顯錯誤選項,在沒有明顯錯誤的選項中選擇最合理的選項。
A. 不正確。使用 AD Connector 為所有需要訪問 AWS 賬戶的員工創建用戶和組。根據員工的工作職能和訪問要求,將 AD Connector 組分配到 AWS 賬戶,并鏈接到 IAM 角色。指示員工使用 AWS Directory Service 用戶門戶訪問 AWS 賬戶。AD Connector 是 AWS Directory Service 的一種類型,用于連接本地 Microsoft Active Directory,這引入了額外的架構組件(本地 AD)。
B. 正確。使用 IAM Identity Center 默認目錄為所有需要訪問 AWS 賬戶的員工創建用戶和組。根據員工的工作職能和訪問要求,將組分配到 AWS 賬戶,并鏈接到權限集。指示員工使用 IAM Identity Center 用戶門戶訪問 AWS 賬戶。該方案不引入額外架構組件,根據工作職能和訪問要求分配組并鏈接到權限集,符合可擴展和利用原生 AWS 功能的要求,是合適的方案。
C. 不正確。使用 IAM Identity Center 默認目錄為所有需要訪問 AWS 賬戶的員工創建用戶和組。將 IAM Identity Center 組鏈接到所有賬戶中存在的 IAM 用戶,以繼承現有權限。指示員工使用 IAM Identity Center 用戶門戶訪問 AWS 賬戶。該方案可能導致權限管理混亂,不符合可擴展和清晰管理的要求,且沒有充分利用 IAM Identity Center 的權限集功能。
D. 不正確。使用 AWS Directory Service for Microsoft Active Directory 為所有需要訪問 AWS 賬戶的員工創建用戶和組。在創建的目錄中啟用 AWS Management Console 訪問,并指定 IAM Identity Center 作為集成賬戶和權限集的信息源。指示員工使用 AWS Directory Service 用戶門戶訪問 AWS 賬戶。該方案引入了額外的目錄服務架構組件。