Une entreprise souhaite accorder le même ensemble d'autorisations à 50 développeurs en même temps et gérer efficacement les ajouts, suppressions de membres et modifications d'autorisations. Quelle approche IAM est LA PLUS adaptée ?
Question sur la sélection de la méthode IAM LA PLUS efficace pour accorder les mêmes autorisations à plusieurs utilisateurs.
Attacher manuellement une politique individuelle à chacun des 50 utilisateurs, un par un.
Attacher des politiques individuellement signifie que chaque modification d'autorisation nécessite de mettre à jour les 50 utilisateurs, ce qui entraîne des erreurs et des omissions.
Cela ne répond pas à l'exigence de gestion efficace, donc c'est incorrect.
Créer une politique gérée partagée et l'attacher directement à chacun des 50 utilisateurs.
Utiliser une politique gérée partagée peut accorder les mêmes autorisations à tous, mais chaque ajout ou suppression nécessite toujours d'attacher ou de détacher la politique pour chaque utilisateur individuellement. Avec plusieurs politiques, le nombre d'opérations croît au rythme nombre d'utilisateurs × nombre de politiques. Il n'existe pas non plus d'unité de gestion permettant de savoir qui sont les développeurs et quelles politiques leur sont attachées, ce qui facilite les oublis. Avec un groupe IAM, les autorisations sont appliquées ou supprimées simplement en modifiant l'appartenance au groupe, et la liste des membres est visible d'un coup d'œil. Cette approche est donc moins efficace qu'un groupe IAM, ce qui la rend incorrecte.
Créer un groupe IAM, attacher les autorisations au groupe et ajouter les utilisateurs au groupe.
Correct. En attachant des autorisations (politiques) à un groupe IAM et en ajoutant les utilisateurs IAM des développeurs à ce groupe, les mêmes autorisations s'appliquent à tous les membres. Une modification d'autorisation ne nécessite de mettre à jour la politique du groupe qu'une seule fois et elle s'applique à tous, et l'ajout ou la suppression de membres se fait simplement en rejoignant ou en quittant le groupe.
Créer un rôle IAM partagé que tous les utilisateurs peuvent assumer et y attacher les autorisations.
Un rôle IAM est un mécanisme permettant d'assumer (basculer vers) des autorisations de façon temporaire, adapté à l'attribution d'autorisations aux services ou à l'accès inter-comptes.
Pour la gestion quotidienne de l'appartenance et de l'ensemble d'autorisations de 50 personnes, un groupe IAM est le choix approprié. Demander à tout le monde de basculer vers un rôle à chaque fois est une approche indirecte par rapport à l'exigence, ce qui la rend incorrecte.
'Plusieurs utilisateurs avec les mêmes autorisations' et 'gestion efficace' = Groupe IAM. Modifier la politique du groupe se reflète pour tous les membres. L'attachement individuel crée un travail par utilisateur, et les rôles sont principalement destinés à l'utilisation temporaire des autorisations.