[AWS][SAA][EXAMTOPICS] Question 48 (확인)

A business wishes to migrate from many independent Amazon Web Services accounts to a consolidated, multi-account design. The organization intends to generate a large number of new AWS accounts for its business divisions. The organization must use a single corporate directory service to authenticate access to these AWS accounts.

Which steps should a solutions architect advocate in order to satisfy these requirements? (Select two.)

• A. Create a new organization in AWS Organizations with all features turned on. Create the new AWS accounts in the organization.
• B. Set up an Amazon Cognito identity pool. Configure AWS Single Sign-On to accept Amazon Cognito authentication.
• C. Configure a service control policy (SCP) to manage the AWS accounts. Add AWS Single Sign-On to AWS Directory Service.
• D. Create a new organization in AWS Organizations. Configure the organization's authentication mechanism to use AWS Directory Service directly.
• E. Set up AWS Single Sign-On (AWS SSO) in the organization. Configure AWS SSO, and integrate it with the company's corporate directory service.

 

한글로 번역

기업은 많은 독립적인 Amazon Web Services 계정에서 통합된 다중 계정 설계로 마이그레이션하기를 원합니다. 조직은 사업부를 위해 많은 수의 새 AWS 계정을 생성할 계획입니다. 조직은 이러한 AWS 계정에 대한 액세스를 인증하기 위해 단일 회사 디렉터리 서비스를 사용해야 합니다.

이러한 요구 사항을 충족하기 위해 솔루션 설계자는 어떤 단계를 옹호해야 합니까? (2개를 선택하세요.)

• A. 모든 기능이 켜진 상태로 AWS Organizations에서 새 조직을 생성합니다. 조직에서 새 AWS 계정을 생성합니다.
• B. Amazon Cognito 자격 증명 풀을 설정합니다. Amazon Cognito 인증을 수락하도록 AWS Single Sign-On을 구성합니다.
• C. AWS 계정을 관리하기 위해 서비스 제어 정책(SCP)을 구성합니다. AWS Directory Service에 AWS Single Sign-On을 추가합니다.
• D. AWS Organizations에서 새 조직을 생성합니다. AWS Directory Service를 직접 사용하도록 조직의 인증 메커니즘을 구성합니다.
• E. 조직에서 AWS Single Sign-On(AWS SSO)을 설정합니다. AWS SSO를 구성하고 회사의 회사 디렉터리 서비스와 통합합니다.

 

 

 

정답:

• A. Create a new organization in AWS Organizations with all features turned on. Create the new AWS accounts in the organization.

• E. Set up AWS Single Sign-On (AWS SSO) in the organization. Configure AWS SSO, and integrate it with the company's corporate directory service.

 

해설:

AWS Organizations

AWS Organizations는 AWS 리소스가 늘어나고 확장됨에 따라 환경을 중앙 집중식으로 관리하고 규제하는 데 도움이 됩니다. AWS Organizations를 통해 프로그래밍 방식으로 새 AWS 계정을 생성하고 리소스를 할당하며, 계정을 그룹화하여 워크플로를 구성하고, 거버넌스를 위해 계정이나 그룹에 정책을 적용하며, 모든 계정에 대해 단일 결제 방법을 사용하여 청구를 간소화할 수 있습니다.

또한, AWS Organizations는 다른 AWS 서비스에 통합되므로 중앙 구성, 보안 메커니즘, 감사 요구 사항 및 조직 내 계정에 걸쳐 공유되는 리소스를 정의할 수 있습니다. 모든 AWS 고객은 AWS Organizations를 추가 비용 없이 사용할 수 있습니다.

 

AWSSingle Sign-On

AD (Active Directory) 의 자체 관리 디렉터리에 있는 사용자도 SSO 액세스 권한을 가질 수 있습니다.AWS계정 및 클라우드 애플리케이션AWSSSO 사용자 포털. 그렇게 하려면AWS Directory Service에는 다음과 같은 두 가지 옵션이 있습니다.

• 양방향 트러스트 관계 만들기— 사이에 양방향 트러스트 관계가 생성되는 경우AWS Managed Microsoft ADAD의 자체 관리형 디렉터리를 사용하면 AD의 자체 관리 디렉터리에 있는 사용자는 회사 자격 증명을 사용하여 다양한 항목에 로그인할 수 있습니다.AWS서비스 및 비즈니스 애플리케이션. 단방향 트러스트가 작동하지 않음AWSSSO.양방향 트러스트 설정에 대한 자세한 내용은 단원을 참조하십시오.신뢰 관계를 생성해야 하는 경우의AWS Directory Service관리 안내서.
• AWSSingle Sign-On에는 사용자 및 그룹 메타데이터를 동기화하기 위해 도메인에서 사용자 및 그룹 정보를 읽을 수 있는 권한이 있는 양방향 트러스트가 필요합니다.AWS SSO는 사용 권한 집합이나 응용 프로그램에 대한 액세스 권한을 할당할 때 이 메타데이터를 사용합니다. 사용자 및 그룹 메타데이터는 다른 사용자나 그룹과 대시보드를 공유할 때와 같이 공동 작업을 위해 응용 프로그램에서도 사용됩니다. 신뢰AWSMicrosoft Active Directory를 도메인 허용 Directory ServiceAWS인증을 위해 도메인을 신뢰하는 SSO. 반대 방향에 대한 신뢰는 부여됩니다.AWS사용자 및 그룹 메타데이터를 읽을 수 있는 권한입니다.
• AD Connector 생성— AD Connector는 클라우드에서 정보를 캐시 저장하지 않고도 자체 관리형 AD로 디렉터리 요청을 리디렉션할 수 있는 디렉터리 게이트웨이입니다. 자세한 내용은 단원을 참조하십시오.

20220906

기업은 많은 독립적인 Amazon Web Services 계정에서 통합된 다중 계정 설계로 마이그레이션하기를 원합니다. 조직은 사업부를 위해 많은 수의 새 AWS 계정을 생성할 계획입니다. 조직은 이러한 AWS 계정에 대한 액세스를 인증하기 위해 단일 회사 디렉터리 서비스를 사용해야 합니다.

이러한 요구 사항을 충족하기 위해 솔루션 설계자는 어떤 단계를 옹호해야 합니까? (2개를 선택하세요.)

지문에서 통합된 다중 계정 설계로 마이그레이션하기를 원한다고 한다. 사업부를 위해 많은 수의 새 AWS 계정을 생성할 계획이며, 조직은 이러한 AWS 계정에 대한 액세스를 인증하기 위해 단일 회사 디렉터리 서비스를 사용해야 한다고 한다.

해당 지문에 적합한 솔루션은 
A : "모든 기능이 켜진 상태로 AWS Organizations에서 새 조직을 생성합니다. 조직에서 새 AWS 계정을 생성합니다."
E : "조직에서 AWS Single Sign-On(AWS SSO)을 설정합니다. AWS SSO를 구성하고 회사의 회사 디렉터리 서비스와 통합합니다."