一家拥有多个IT部门,每个部门都有自己的AWS帐户的大型企业的CISO希望在一个中央位置管理用户的AWS权限,并且可以将用户身份验证凭证与公司现有的本地解决方案同步.哪种解决方案可以满足CISO的要求()
A.根据中央账户中用户的功能职责定义AWSIAM角色.创建一个基于SAML的身份管理提供程序.将本地组中的用户映射到IAM角色.在其他帐户和中央帐户之间建立信任关系
B.使用AWS Organizations在所有AWS账户中部署一组通用的AWSIAM用户,组,角色和策略.在本地身份提供者和AWS账户之间实施联盟
C.在集中式帐户中使用AWSOrganizations定义服务控制策略(SCP).在每个帐户中创建一个基于SAML的身份管理提供程序,并将本地组中的用户映射到AWSIAM角色
D.对用户群进行彻底分析,并创建具有必要权限的AWSIAM用户账户.设置一个过程以根据本地解决方案中的数据进行预配和预配
A、根据中央账户中用户的功能职责定义AWSIAM角色.创建一个基于SAML的身份管理提供程序.将本地组中的用户映射到IAM角色.在其他帐户和中央帐户之间建立信任关系
解析:https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html并在页面上搜索"信任".另外,有人问"可以管理用户的AWS许可",SCP对此没有太大帮助.这更像是IAM的工作