A consultant agency needs to perform a security audit for a company’s production AWS account. Several consultants need access to the account. The consultant agency already has its own AWS account. The company requires multi-factor authentication (MFA) for all access to its production account. The company also forbids the use of long-term credentials.
Which solution will provide the consultant agency with access that meets these requirements?
A. Create an IAM group. Create an IAM user for each consultant. Add each user to the group. Turn on MFA for each consultant.
B. Configure Amazon Cognito on the company’s production account to authenticate against the consultant agency’s identity provider (IdP). Add MFA to a Cognito user pool.
C. Create an IAM role in the consultant agency’s AWS account. Define a trust policy that requires MFA. In the trust policy, specify the company’s production account as the principal. Attach the trust policy to the role.
D. Create an IAM role in the company’s production account. Define a trust policy that requires MFA. In the trust policy, specify the consultant agency’s AWS account as the principal. Attach the trust policy to the role.
D
一家咨詢機構需要對一家公司的生產(chǎn)型 AWS 賬戶進行安全審計。多名咨詢師需要訪問該賬戶。這家咨詢機構已經(jīng)擁有自己的 AWS 賬戶。公司要求所有對其生產(chǎn)賬戶的訪問都必須使用多因素身份驗證(MFA)。同時,公司禁止使用長期憑證。
咨詢機構需要訪問公司的生產(chǎn)型 AWS 賬戶進行安全審計,公司要求訪問必須使用多因素身份驗證(MFA)且禁止使用長期憑證,詢問哪種解決方案能滿足這些要求。
多因素身份驗證(MFA):一種安全認證方法,要求用戶提供兩種或更多種不同類型的身份驗證信息來證明其身份,增加賬戶安全性。
AWS IAM(Identity and Access Management):AWS 提供的身份和訪問管理服務,用于安全地管理對 AWS 服務和資源的訪問。可以通過創(chuàng)建 IAM 用戶、組、角色等來控制訪問權限。
IAM 角色:是一種 AWS 身份,它具有特定的權限策略。角色可以被其他 AWS 服務、用戶或外部身份(如來自其他 AWS 賬戶的身份)承擔,以獲取相應的權限。
信任策略:定義了哪些主體(如 AWS 賬戶、用戶或服務)可以承擔某個角色,以及承擔角色時需要滿足的條件(如是否需要 MFA)。
Amazon Cognito:AWS 提供的用戶身份和數(shù)據(jù)同步服務,可用于管理用戶身份驗證和授權,支持與外部身份提供商(IdP)集成。
技巧:排除明顯錯誤選項,在沒有明顯錯誤的選項中選擇最合理的選項。
A. 不正確。創(chuàng)建一個 IAM 組。為每位咨詢師創(chuàng)建一個 IAM 用戶。將每個用戶添加到該組中。為每位咨詢師啟用多因素身份驗證(MFA)。該方案在公司生產(chǎn)賬戶中創(chuàng)建 IAM 用戶和組,并為每個用戶啟用 MFA。但公司禁止使用長期憑證,創(chuàng)建 IAM 用戶會生成長期憑證(訪問密鑰),不符合公司要求。
B. 不正確。在公司的生產(chǎn)賬戶上配置 Amazon Cognito,以針對咨詢機構的身份提供商(IdP)進行身份驗證。向 Cognito 用戶池添加多因素身份驗證(MFA)。該方案使用 Amazon Cognito 集成了外部身份提供商并添加了 MFA,但這種方式相對復雜,且沒有直接利用 AWS IAM 角色這種更簡潔、更適合跨賬戶訪問管理的機制。
C. 不正確。在咨詢機構的 AWS 賬戶中創(chuàng)建一個 IAM 角色。定義一個需要多因素身份驗證(MFA)的信任策略。在信任策略中,將公司的生產(chǎn)賬戶指定為主體。將信任策略附加到該角色。信任策略指定公司生產(chǎn)賬戶為主體,意味著公司生產(chǎn)賬戶可以承擔此角色,但實際需求是咨詢機構訪問公司生產(chǎn)賬戶,邏輯錯誤,應該是咨詢機構賬戶作為可承擔角色的主體去訪問公司生產(chǎn)賬戶,所以該選項不正確。
D. 正確。在公司的生產(chǎn)賬戶中創(chuàng)建一個 IAM 角色。定義一個需要多因素身份驗證(MFA)的信任策略。在信任策略中,將咨詢機構的 AWS 賬戶指定為主體。將信任策略附加到該角色。該方案在公司生產(chǎn)賬戶創(chuàng)建 IAM 角色,通過信任策略指定咨詢機構 AWS 賬戶為主體,且要求 MFA。這樣咨詢機構人員可以通過承擔該角色訪問公司生產(chǎn)賬戶,滿足公司對 MFA 的要求,同時避免了使用長期憑證(通過角色臨時獲取權限),符合題目要求。