Một công ty muốn dùng các danh tính doanh nghiệp hiện có (như Active Directory) để tập trung cung cấp cho nhân viên quyền truy cập một lần (single sign-on, SSO) vào nhiều tài khoản AWS. Dịch vụ nào phù hợp NHẤT?
Câu hỏi về cơ chế nào cung cấp SSO vào nhiều tài khoản bằng các danh tính hiện có.
Tạo một IAM user riêng cho mỗi nhân viên trong mỗi tài khoản AWS.
Tạo IAM users theo từng tài khoản nghĩa là nhân viên giữ số thông tin xác thực bằng số tài khoản, gây phiền phức khi quản lý.
Nó không đáp ứng yêu cầu SSO tập trung bằng danh tính hiện có, nên không đúng.
Chia sẻ root user giữa các nhân viên.
Chia sẻ root user là một rủi ro bảo mật nghiêm trọng và không phải là một phương tiện SSO.
Nó hoàn toàn không phù hợp với yêu cầu, nên không đúng.
Chia sẻ access keys trong nội bộ công ty.
Chia sẻ access keys có rủi ro rò rỉ cao và khiến không thể xác định cá nhân.
Nó không liên quan đến SSO bằng danh tính hiện có, nên không đúng.
Sử dụng AWS IAM Identity Center (federation).
Chính xác. AWS IAM Identity Center kết nối (federate) với các danh tính doanh nghiệp hiện có (Active Directory hoặc một IdP bên ngoài) và tập trung cung cấp cho nhân viên quyền truy cập SSO vào nhiều tài khoản AWS và ứng dụng.
Nhân viên đăng nhập một lần bằng thông tin xác thực doanh nghiệp thường dùng (cộng MFA) và có thể chuyển từ portal sang nhiều tài khoản đã được ủy quyền cùng các ứng dụng SaaS mà không cần đăng nhập lại. Bạn có thể định nghĩa một role một lần và gán nó cho nhiều tài khoản hàng loạt, như "tài chính được chỉ-đọc, lập trình viên được quyền admin", và việc thu hồi quyền truy cập khi nghỉ việc hay chuyển bộ phận được phản ánh trên tất cả tài khoản chỉ với một thao tác ở phía danh tính doanh nghiệp. Không cần tạo IAM users theo từng tài khoản, điều này cũng ngăn truy cập trái phép do quên xóa.
"SSO với danh tính hiện có" và "quản lý tập trung nhiều tài khoản" nghĩa là IAM Identity Center (trước đây là AWS SSO) / federation. Tạo IAM users riêng theo từng tài khoản là không hiệu quả và không phù hợp với yêu cầu.