[SAP-C02][문제 풀이] #21 Active Directory AWS 연동 문제

하위 문제 풀이는 개인적 의견일 수 있습니다. AWS 공식 문서를 참조하는 것을 추천 드립니다.

 

[영문]

A company is using an on-premises Active Directory service for user authentication. The company wants to use the same authentication service to sign in to the company’s AWS accounts, which are using AWS Organizations. AWS Site-to-Site VPN connectivity already exists between the on-premises environment and all the company’s AWS accounts.
The company’s security policy requires conditional access to the accounts based on user groups and roles. User identities must be managed in a single location.
Which solution will meet these requirements?

• A. Configure AWS IAM Identity Center (AWS Single Sign-On) to connect to Active Directory by using SAML 2.0. Enable automatic provisioning by using the System for Cross-domain Identity Management (SCIM) v2.0 protocol. Grant access to the AWS accounts by using attribute-based access controls (ABACs).
• B. Configure AWS IAM Identity Center (AWS Single Sign-On) by using IAM Identity Center as an identity source. Enable automatic provisioning by using the System for Cross-domain Identity Management (SCIM) v2.0 protocol. Grant access to the AWS accounts by using IAM Identity Center permission sets.
• C. In one of the company’s AWS accounts, configure AWS Identity and Access Management (IAM) to use a SAML 2.0 identity provider. Provision IAM users that are mapped to the federated users. Grant access that corresponds to appropriate groups in Active Directory. Grant access to the required AWS accounts by using cross-account IAM users.
• D. In one of the company’s AWS accounts, configure AWS Identity and Access Management (IAM) to use an OpenID Connect (OIDC) identity provider. Provision IAM roles that grant access to the AWS account for the federated users that correspond to appropriate groups in Active Directory. Grant access to the required AWS accounts by using cross-account IAM roles.

 

[한글] (번역기)

회사에서 사용자 인증을 위해 온-프레미스 Active Directory 서비스를 사용하고 있습니다. 이 회사는 AWS 조직을 사용하는 회사의 AWS 계정에 로그인할 때 동일한 인증 서비스를 사용하려고 합니다. 온프레미스 환경과 회사의 모든 AWS 계정 간에 이미 AWS 사이트 간 VPN 연결이 존재합니다.
회사의 보안 정책에 따라 사용자 그룹 및 역할에 따라 계정에 조건부 액세스가 필요합니다. 사용자 ID는 단일 위치에서 관리되어야 합니다.
이러한 요구 사항을 충족하는 솔루션은 무엇인가요?

A. SAML 2.0을 사용하여 Active Directory에 연결하도록 AWS IAM Identity Center(AWS 싱글 사인온)를 구성합니다. SCIM(도메인 간 신원 관리 시스템) v2.0 프로토콜을 사용하여 자동 프로비저닝을 사용하도록 설정합니다. ABAC(속성 기반 액세스 제어)를 사용하여 AWS 계정에 대한 액세스 권한을 부여합니다.
B. IAM Identity Center를 ID 소스로 사용하여 AWS IAM Identity Center(AWS 싱글사인온)를 구성합니다. 도메인 간 신원 관리 시스템(SCIM) v2.0 프로토콜을 사용하여 자동 프로비저닝을 사용 설정합니다. IAM Identity Center 권한 세트를 사용하여 AWS 계정에 대한 액세스 권한을 부여합니다.
C. 회사의 AWS 계정 중 하나에서 SAML 2.0 ID 공급자를 사용하도록 AWS IAM(신원 및 액세스 관리)을 구성합니다. 페더레이션 사용자에 매핑된 IAM 사용자를 프로비저닝합니다. Active Directory의 적절한 그룹에 해당하는 액세스 권한을 부여합니다. 계정 간 IAM 사용자를 사용하여 필요한 AWS 계정에 대한 액세스 권한을 부여합니다.
D. 회사의 AWS 계정 중 하나에서 OIDC(OpenID Connect) ID 공급자를 사용하도록 AWS IAM(ID 및 액세스 관리)을 구성합니다. Active Directory의 적절한 그룹에 해당하는 페더레이션 사용자에 대해 AWS 계정에 대한 액세스 권한을 부여하는 IAM 역할을 프로비저닝합니다. 계정 간 IAM 역할을 사용하여 필요한 AWS 계정에 대한 액세스 권한을 부여합니다.

 

[풀이]

• 회사에서 온프레미스 AD 서비스 사용 중, AWS 계정에 로그인할 때 동일한 인증 서비스 사용하려고 함, 온프레미스와 AWS 환경 간 S2S VPN 존재, User ID는 단일 위치에서 관리되어야함, 사용자 그룹 및 역할에 따라 계정에 조건부 액세스가 필요함
• AWS Directory Service와 IAM Identity Center 서비스를 사용하면 되는 듯하다. 처음 알게된 서비스
• 정답을 모르겠어서 답을 확인한 결과 A가 답이다.
• AD Connector 서비스는 AWS 앱을 온프레미스 디렉터리에 연결하는 이중 가용 영역 프록시 서비스입니다. AD Connector는 인증을 위해 로그인 요청을 Active Directory 도메인 컨트롤러에 전달하고 애플리케이션이 디렉터리에서 데이터를 쿼리할 수 있는 기능을 제공합니다. AD Connector를 구성할 때 AWS에서 안전하게 저장한 서비스 계정 자격 증명을 제공합니다. 이 계정은 AWS에서 원활한 도메인 조인, SSO(Single Sign-On) 및 AWS 애플리케이션(WorkSpaces, WorkDocs 및 WorkMail) 기능을 활성화하는 데 사용됩니다. AD Connector는 프록시 역할을 하기 때문에 사용자 자격 증명을 저장하거나 캐시하지 않습니다. 대신 인증, 조회 및 관리 요청은 Active Directory에서 처리됩니다.
• AWS IAM Identity Center는 사용자 및 그룹 메타데이터를 동기화하기 위해 도메인에서 사용자 및 그룹 정보를 읽을 수 있는 권한을 갖기 위해 양방향 트러스트가 필요합니다. IAM Identity Center는 권한 집합 또는 애플리케이션에 대한 액세스를 할당할 때 이 메타데이터를 사용합니다. 사용자 및 그룹 메타데이터는 다른 사용자 또는 그룹과 대시보드를 공유할 때와 같이 공동 작업을 위해 애플리케이션에서 사용되기도 합니다. Microsoft Active Directory용 AWS Directory Service에서 도메인에 대한 신뢰는 IAM Identity Center가 인증을 위해 도메인을 신뢰하도록 허용합니다. 반대 방향의 신뢰는 AWS에 사용자 및 그룹 메타데이터를 읽을 수 있는 권한을 부여합니다.
• Active Directory(AD)의 자체 관리 디렉터리에 있는 사용자도 AWS 액세스 포털에서 AWS 계정 및 클라우드 애플리케이션에 대한 싱글 사인온 액세스 권한을 가질 수 있습니다.
• https://docs.aws.amazon.com/singlesignon/latest/userguide/connectonpremad.html
• https://aws.amazon.com/ko/blogs/security/how-to-connect-your-on-premises-active-directory-to-aws-using-ad-connector/
• https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html

 

[출처] : https://www.examtopics.com/exams/amazon/aws-certified-solutions-architect-professional-sap-c02

위 문제에 대한 저작권은 상위 출처 링크에 있으며 해당 게시글로 문제 시 댓글 부탁 드리며 삭제 조치 진행 하겠습니다.