Una empresa quiere usar sus identidades corporativas existentes (como Active Directory) para proporcionar de forma centralizada a los empleados acceso con inicio de sesión único (SSO) a varias cuentas de AWS. ¿Qué servicio es el MÁS adecuado?

1 / 1
Selecciona una respuesta
CorrectoD

Explicación

Resumen de la pregunta

Una pregunta sobre qué mecanismo proporciona SSO a varias cuentas usando identidades existentes.

Condiciones a cumplir
  • 1identidades corporativas existentesReutilizar un sistema de autenticación existente como Active Directory = federación
  • 2inicio de sesión único (SSO)Acceder a varios servicios con una sola autenticación
  • 3varias cuentas de AWSGestión de acceso centralizada entre cuentas
Explicación por opción
AIncorrecto

Crear un usuario de IAM independiente para cada empleado en cada cuenta de AWS.

Crear usuarios de IAM por cuenta significa que los empleados tienen tantas credenciales como cuentas, lo que es engorroso de gestionar.

No cumple el requisito de SSO centralizado con identidades existentes, por lo que es incorrecto.

BIncorrecto

Compartir el usuario root entre los empleados.

Compartir el usuario root es un riesgo de seguridad grave y no es un medio de SSO.

No se ajusta en absoluto al requisito, por lo que es incorrecto.

CIncorrecto

Compartir las claves de acceso dentro de la empresa.

Compartir las claves de acceso tiene un alto riesgo de filtración y hace imposible identificar a las personas.

No tiene relación con el SSO con identidades existentes, por lo que es incorrecto.

DCorrecto

Usar AWS IAM Identity Center (federación).

Correcto. AWS IAM Identity Center se conecta (federa) con las identidades corporativas existentes (Active Directory o un IdP externo) y proporciona de forma centralizada a los empleados acceso con SSO a varias cuentas de AWS y aplicaciones.

Los empleados inician sesión una vez con sus credenciales corporativas habituales (más MFA) y pueden cambiar desde el portal a varias cuentas y aplicaciones SaaS autorizadas sin volver a iniciar sesión. Se puede definir un rol una vez y asignarlo a varias cuentas de forma masiva, como "finanzas obtiene solo lectura, los desarrolladores obtienen administración", y al retirar el acceso por baja o traslado se refleja en todas las cuentas con una sola operación en el lado de la identidad corporativa. No hace falta crear usuarios de IAM por cuenta, lo que también evita accesos no autorizados por eliminaciones olvidadas.

Punto clave

"SSO con identidades existentes" y "gestión centralizada de varias cuentas" significan IAM Identity Center (antes AWS SSO) / federación. Crear usuarios de IAM independientes por cuenta es ineficiente y no se ajusta al requisito.

Enlaces relacionados