Sebuah perusahaan ingin menggunakan identitas korporat yang sudah ada (seperti Active Directory) untuk secara terpusat memberikan karyawan akses single sign-on (SSO) ke beberapa akun AWS. Layanan mana yang PALING sesuai?

1 / 1
Pilih jawaban
BenarD

Penjelasan

Ringkasan pertanyaan

Pertanyaan yang menanyakan mekanisme mana yang memberikan SSO ke beberapa akun menggunakan identitas yang sudah ada.

Syarat yang harus dipenuhi
  • 1identitas korporat yang sudah adaMenggunakan kembali sistem autentikasi yang ada seperti Active Directory = federasi
  • 2single sign-on (SSO)Mengakses beberapa layanan dengan satu autentikasi
  • 3beberapa akun AWSManajemen akses terpusat lintas akun
Penjelasan per pilihan
ASalah

Buat IAM user terpisah untuk setiap karyawan di setiap akun AWS.

Membuat IAM user per akun berarti karyawan memegang kredensial sebanyak jumlah akun, yang merepotkan untuk dikelola.

Ia tidak memenuhi persyaratan untuk SSO terpusat dengan identitas yang sudah ada, sehingga tidak tepat.

BSalah

Bagikan root user di antara karyawan.

Membagikan root user adalah risiko keamanan serius dan bukan sarana SSO.

Ia sama sekali tidak sesuai dengan persyaratan, sehingga tidak tepat.

CSalah

Bagikan access key di dalam perusahaan.

Membagikan access key memiliki risiko kebocoran yang tinggi dan membuat individu mustahil diidentifikasi.

Ia tidak berkaitan dengan SSO dengan identitas yang sudah ada, sehingga tidak tepat.

DBenar

Gunakan AWS IAM Identity Center (federasi).

Benar. AWS IAM Identity Center terhubung (federasi) dengan identitas korporat yang sudah ada (Active Directory atau IdP eksternal) dan secara terpusat memberikan karyawan akses SSO ke beberapa akun AWS dan aplikasi.

Karyawan login sekali dengan kredensial korporat biasa mereka (ditambah MFA) dan dapat beralih dari portal ke beberapa akun dan aplikasi SaaS yang diotorisasi tanpa login lagi. Anda dapat mendefinisikan role sekali dan menetapkannya ke beberapa akun secara massal, seperti "keuangan mendapat read-only, developer mendapat admin," dan menghapus akses saat keluar atau pindah tercermin di semua akun hanya dengan operasi di sisi identitas korporat. Tidak perlu membuat IAM user per akun, yang juga mencegah akses tidak sah dari penghapusan yang terlupakan.

Poin penting

"SSO dengan identitas yang sudah ada" dan "manajemen terpusat beberapa akun" berarti IAM Identity Center (sebelumnya AWS SSO) / federasi. Membuat IAM user terpisah per akun tidak efisien dan tidak sesuai dengan persyaratan.

Tautan Terkait