Q48 — AWS DEA-C01 第1章
第 48/100 問 | ← 第1章
ある会社はAWS上でデータレイクを構築する必要があります。この会社は、特定のチームに対して行レベルおよび列レベルのデータアクセスを提供しなければなりません。チームは、Amazon Athena、Amazon Redshift Spectrum、およびAmazon EMRからのApache Hiveを介してデータにアクセスします。 これらの要件を満たすソリューションのうち、最も少ない運用オーバーヘッドで実現できるのはどれですか?
- A. データレイクのストレージにAmazon S3を使用します。S3アクセスポリシーを用いて、行および列によるデータアクセスを制限します。Amazon S3を介してデータアクセスを提供します。
- B. データレイクのストレージにAmazon S3を使用します。Amazon EMR経由のApache Rangerを用いて、行および列によるデータアクセスを制限します。Apache Pigを用いてデータアクセスを提供します。
- C. データレイクのストレージにAmazon Redshiftを使用します。Redshiftのセキュリティポリシーを用いて、行および列によるデータアクセスを制限します。Apache SparkおよびAmazon Athenaフェデレーテッドクエリを用いてデータアクセスを提供します。
- D. データレイクのストレージにAmazon S3を使用します。AWS Lake Formationを用いて、行および列によるデータアクセスを制限します。AWS Lake Formationを介してデータアクセスを提供します。 ✓
正解: D. データレイクのストレージにAmazon S3を使用します。AWS Lake Formationを用いて、行および列によるデータアクセスを制限します。AWS Lake Formationを介してデータアクセスを提供します。
解説
AWS Lake Formationは、データレイク全体の権限管理を一元化するサービスであり、行レベルおよび列レベルのアクセス制御をサポートし、Amazon Athena、Redshift Spectrum、EMRとシームレスに統合されます。S3アクセスポリシーでは行・列レベルの細かい制御はできません(A)。Apache RangerはEMR環境に特化しており、追加設定が必要です(B)。Redshiftはデータレイクストレージとして不適切であり、外部サービスからのクエリに対応したセキュリティポリシーもありません(C)。Lake Formationは複数のクエリサービスにまたがるアクセス制御を集中管理でき、保守の複雑さを低減します。AWS公式ドキュメントでも、Lake Formationがデータレイク内で細かいアクセスポリシーを定義できることを明記しています。