第021题 - sap
流星与彗星
图片来源及版权:Wang Hao; 后期处理:Song Wentao
说明:这两道条痕有多大的不同?右上方的条痕是紫金山-阿特拉斯彗星,展示出一条令人印象深刻的尘埃彗尾。这颗彗星是一座脏脏的大冰山,进入了内太阳系,被阳光加热,并释放出气体和尘埃。左下方的条痕则是一颗流星,展示出一条令人印象深刻的蒸发尾迹。这颗流星是一块冰冷的小岩石,进入了地球的大气层,被分子碰撞加热,并释放出气体和尘埃。这颗流星很可能曾是某颗彗星或小行星的一部分——后来也许构成了彗尾的一部分。这颗流星在一瞬间就消失了,但本用于记录长长的彗尾的一系列曝光偶然间捕捉到了它。这幅特写照片是一个多月前在中国四川省拍摄的。
问题翻译 (Question Translation)
English: A company is using an on-premises Active Directory service for user authentication. The company wants to use the same authentication service to sign in to the company’s AWS accounts, which are using AWS Organizations. AWS Site-to-Site VPN connectivity already exists between the on-premises environment and all the company’s AWS accounts. The company’s security policy requires conditional access to the accounts based on user groups and roles. User identities must be managed in a single location. Which solution will meet these requirements?
中文翻译: 一家公司正在使用本地 Active Directory 服务进行用户身份验证。该公司希望使用相同的身份验证服务登录公司使用的 AWS 账户,这些账户正在使用 AWS Organizations。公司内网环境与所有 AWS 账户之间已经存在 AWS Site-to-Site VPN 连接。公司的安全政策要求根据用户组和角色对账户进行条件访问。用户身份必须在单个位置进行管理。哪种解决方案将满足这些要求?
选项分析 (Answer Analysis)
选项 A
Configure AWS IAM Identity Center (AWS Single Sign-On) to connect to Active Directory by using SAML 2.0. Enable automatic provisioning by using the System for Cross-domain Identity Management (SCIM) v2.0 protocol. Grant access to the AWS accounts by using attribute-based access controls (ABACs). 配置 AWS IAM 身份中心 (AWS 单点登录) 通过 SAML 2.0 连接到 Active Directory。启用通过跨域身份管理系统(SCIM)v2.0 协议的自动配置。通过使用基于属性的访问控制 (ABAC) 授予访问 AWS 账户的权限。
分析:
- 优点:
- SAML 2.0 支持与现有 Active Directory 进行集成。
- SCIM 允许自动用户配置,符合现有的身份管理需求。
- ABAC 提供了基于用户属性的访问控制,灵活且强大。
此选项符合需求。
选项 B
Configure AWS IAM Identity Center (AWS Single Sign-On) by using IAM Identity Center as an identity source. Enable automatic provisioning by using the System for Cross-domain Identity Management (SCIM) v2.0 protocol. Grant access to the AWS accounts by using IAM Identity Center permission sets. 使用 IAM 身份中心作为身份源配置 AWS IAM 身份中心 (AWS 单点登录)。启用通过跨域身份管理系统(SCIM)v2.0 协议的自动配置。通过使用 IAM 身份中心权限集授予对 AWS 账户的访问权限。
分析:
- 不足之处:
- 虽然有效,但并不直接与现有的 Active Directory 集成。
- 会增加额外的配置步骤,且不一定适合单一认证服务的要求。
此选项没有直接连接到现有的 Active Directory 系统。
选项 C
In one of the company’s AWS accounts, configure AWS Identity and Access Management (IAM) to use a SAML 2.0 identity provider. Provision IAM users that are mapped to the federated users. Grant access that corresponds to appropriate groups in Active Directory. 在公司的一些 AWS 账户中,配置 AWS 身份和访问管理 (IAM) 以使用 SAML 2.0 身份提供者。配置与联邦用户映射的 IAM 用户。授予与 Active Directory 中的适当组相对应的访问权限。
分析:
- 缺点:
- 需要在每个 AWS 账户中分别配置,增加了管理和操作的复杂性。
- 不符合单一来源管理的需求,并且随着账户数量的增加,管理的开销较大。
此选项在管理便利性方面不足。
选项 D
In one of the company’s AWS accounts, configure AWS Identity and Access Management (IAM) to use an OpenID Connect (OIDC) identity provider. Provision IAM roles that grant access to the AWS account for the federated users that correspond to appropriate groups in Active Directory. Grant access to the required AWS accounts by using cross-account IAM roles. 在公司的一些 AWS 账户中,配置 AWS 身份和访问管理 (IAM) 以使用 OpenID Connect (OIDC) 身份提供者。配置 IAM 角色,以授予相应组 Active Directory 中的联合用户对 AWS 账户的访问权限。通过使用跨账户 IAM 角色授予对所需 AWS 账户的访问权限。
分析:
- 不足之处:
- 使用 OIDC 而不是 SAML 2.0,可能会与现有 Active Directory 集成不够顺利。
- 复杂的配置和管理过程可能导致不必要的开销。
此选项在集成性和便捷性方面不如 A。
最佳答案 (Correct Answer)
答案:A
详细解析 (Detailed Explanation)
1. 为什么选择 A?
- 最佳集成性和自动化:
- 通过 SAML 2.0 实现与现有 Active Directory 的无缝集成。
- SCIM 允许自动化用户管理,减少手动干预的需要。
- ABAC 提供灵活的访问控制,适应公司对用户组和角色的不同需求。
2. 为什么不选择其他选项?
- B (IAM 身份中心作为身份源): 这并没有优先处理现有 Active Directory 的问题,缺乏直接集成性。
- C (SAML 2.0 身份提供者): 准确性不足,并且在多个 AWS 账户间的管理不够便利。
- D (OIDC 身份提供者): 又将增加配置复杂性,不符合现有安全政策和管理要求。
总结 (Summary)
选择 A 是在考虑成本、操作简便性和集成性能的情况下,最佳的解决方案。
如果有其他问题,欢迎继续询问,我将以相同格式进行回复!