A company needs a security engineer to implement a scalable solution for multi-account authentication and authorization. The solution should not introduce additional user-managed architectural components. Native AWS features should be used as much as possible. The security engineer has set up AWS Organizations with all features activated and AWS IAM Identity Center (AWS Single Sign-On) enabled.
Which additional steps should the security engineer take to complete the task?
A. Use AD Connector to create users and groups for all employees that require access to AWS accounts. Assign AD Connector groups to AWS accounts and link to the IAM roles in accordance with the employees’ job functions and access requirements. Instruct employees to access AWS accounts by using the AWS Directory Service user portal.
B. Use an IAM Identity Center default directory to create users and groups for all employees that require access to AWS accounts. Assign groups to AWS accounts and link to permission sets in accordance with the employees’ job functions and access requirements. Instruct employees to access AWS accounts by using the IAM Identity Center user portal.
C. Use an IAM Identity Center default directory to create users and groups for all employees that require access to AWS accounts. Link IAM Identity Center groups to the IAM users present in all accounts to inherit existing permissions. Instruct employees to access AWS accounts by using the IAM Identity Center user portal.
D. Use AWS Directory Service for Microsoft Active Directory to create users and groups for all employees that require access to AWS accounts. Enable AWS Management Console access in the created directory and specify IAM Identity Center as a source of information for integrated accounts and permission sets. Instruct employees to access AWS accounts by using the AWS Directory Service user portal.
B
一家公司需要一名安全工程师为多账户身份验证和授权实施一个可扩展的解决方案。该解决方案不应引入额外的用户管理架构组件。应尽可能多地使用原生 AWS 功能。安全工程师已设置好 AWS Organizations(所有功能均已激活)并启用了 AWS IAM Identity Center(AWS 单点登录)。安全工程师还应采取哪些额外步骤来完成此任务?
公司需要安全工程师实施可扩展的多账户认证授权方案,要求不引入额外用户管理架构组件、尽量用原生 AWS 功能,已知已设置好 AWS Organizations 并启用 AWS IAM Identity Center,问题是找出安全工程师完成该任务还需采取的额外步骤。
AWS Organizations:AWS 提供的一项服务,可集中管理和治理整个 AWS 环境,通过组织单元(OU)等结构对多个 AWS 账户进行分组和管理。
AWS IAM Identity Center(AWS Single Sign-On):用于集中管理对 AWS 服务和应用程序的访问,支持单点登录,可简化用户对多个 AWS 账户的访问管理。
可扩展解决方案需求:要能随着公司业务发展、账户和用户数量增加而轻松扩展。
不引入额外用户管理架构组件:意味着应利用 AWS 现有的身份管理功能,而非部署如额外的目录服务等。
使用原生 AWS 功能:优先考虑 AWS 自带的服务和功能来实现需求。
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
A. 不正确。使用 AD Connector 为所有需要访问 AWS 账户的员工创建用户和组。根据员工的工作职能和访问要求,将 AD Connector 组分配到 AWS 账户,并链接到 IAM 角色。指示员工使用 AWS Directory Service 用户门户访问 AWS 账户。AD Connector 是 AWS Directory Service 的一种类型,用于连接本地 Microsoft Active Directory,这引入了额外的架构组件(本地 AD)。
B. 正确。使用 IAM Identity Center 默认目录为所有需要访问 AWS 账户的员工创建用户和组。根据员工的工作职能和访问要求,将组分配到 AWS 账户,并链接到权限集。指示员工使用 IAM Identity Center 用户门户访问 AWS 账户。该方案不引入额外架构组件,根据工作职能和访问要求分配组并链接到权限集,符合可扩展和利用原生 AWS 功能的要求,是合适的方案。
C. 不正确。使用 IAM Identity Center 默认目录为所有需要访问 AWS 账户的员工创建用户和组。将 IAM Identity Center 组链接到所有账户中存在的 IAM 用户,以继承现有权限。指示员工使用 IAM Identity Center 用户门户访问 AWS 账户。该方案可能导致权限管理混乱,不符合可扩展和清晰管理的要求,且没有充分利用 IAM Identity Center 的权限集功能。
D. 不正确。使用 AWS Directory Service for Microsoft Active Directory 为所有需要访问 AWS 账户的员工创建用户和组。在创建的目录中启用 AWS Management Console 访问,并指定 IAM Identity Center 作为集成账户和权限集的信息源。指示员工使用 AWS Directory Service 用户门户访问 AWS 账户。该方案引入了额外的目录服务架构组件。