Une entreprise souhaite utiliser ses identités d'entreprise existantes (comme Active Directory) pour fournir de manière centralisée aux employés un accès par authentification unique (SSO) à plusieurs comptes AWS. Quel service est LE PLUS adapté ?

1 / 1
Sélectionnez une réponse
CorrectD

Explication

Aperçu de la question

Une question demandant quel mécanisme fournit un SSO à plusieurs comptes en utilisant les identités existantes.

Conditions à remplir
  • 1identités d'entreprise existantesRéutiliser un système d'authentification existant comme Active Directory = fédération
  • 2authentification unique (SSO)Accéder à plusieurs services avec une seule authentification
  • 3plusieurs comptes AWSGestion centralisée des accès entre comptes
Explication par option
AIncorrect

Créer un utilisateur IAM distinct pour chaque employé dans chaque compte AWS.

Créer des utilisateurs IAM par compte signifie que les employés détiennent autant d'identifiants qu'il y a de comptes, ce qui est lourd à gérer.

Cela ne répond pas à l'exigence d'un SSO centralisé avec les identités existantes, c'est donc incorrect.

BIncorrect

Partager l'utilisateur root entre les employés.

Partager l'utilisateur root est un risque de sécurité grave et n'est pas un moyen de SSO.

Cela ne convient pas du tout à l'exigence, c'est donc incorrect.

CIncorrect

Partager les clés d'accès au sein de l'entreprise.

Partager les clés d'accès présente un risque élevé de fuite et rend impossible l'identification des individus.

C'est sans rapport avec le SSO basé sur les identités existantes, c'est donc incorrect.

DCorrect

Utiliser AWS IAM Identity Center (fédération).

Correct. AWS IAM Identity Center se connecte (fédère) avec les identités d'entreprise existantes (Active Directory ou un IdP externe) et fournit de manière centralisée aux employés un accès SSO à plusieurs comptes AWS et applications.

Les employés se connectent une fois avec leurs identifiants d'entreprise habituels (plus MFA) et peuvent basculer depuis le portail vers plusieurs comptes et applications SaaS autorisés sans se reconnecter. Vous pouvez définir un rôle une fois et l'attribuer à plusieurs comptes en masse, comme « la finance obtient un accès en lecture seule, les développeurs un accès admin », et le retrait de l'accès lors d'un départ ou d'une mutation est répercuté sur tous les comptes par une simple opération du côté de l'identité d'entreprise. Il n'est pas nécessaire de créer des utilisateurs IAM par compte, ce qui évite aussi les accès non autorisés dus à des suppressions oubliées.

À retenir

« SSO avec les identités existantes » et « gestion centralisée de plusieurs comptes » signifient IAM Identity Center (anciennement AWS SSO) / fédération. Créer des utilisateurs IAM distincts par compte est inefficace et ne correspond pas à l'exigence.

Liens connexes