Q51 — AWS DEA-C01 第1章
第 51/100 問 | ← 第1章
ある会社は、Amazon S3内のデータレイクにデータを保存しています。このデータレイクに保存されているデータの一部には、個人を特定できる情報(PII)が含まれています。複数のユーザーグループが生データにアクセスする必要があります。この会社は、ユーザーグループが必要なPIIのみにアクセスできるようにする必要があります。 これらの要件を満たすソリューションのうち、最も少ない労力で実現できるのはどれですか?
- A. Amazon Athenaを使用してデータをクエリします。AWS Lake Formationをセットアップし、会社のIAMロール向けにデータフィルターを作成してアクセスレベルを確立します。各ユーザーを、そのユーザーのPIIアクセス要件に一致するIAMロールに割り当てます。 ✓
- B. Amazon QuickSightを使用してデータにアクセスします。QuickSightの列レベルセキュリティ機能を活用して、Amazon Athena経由でAmazon S3からユーザーが取得できるPIIを制限します。ユーザーのPIIアクセス要件に基づいてQuickSightのアクセスレベルを定義します。
- C. Athenaクエリをバックグラウンドで実行するカスタムクエリビルダーUIを構築します。Amazon Cognitoでユーザーグループを作成し、ユーザーのPIIアクセス要件に基づいてユーザーグループにアクセスレベルを割り当てます。
- D. 異なる粒度のアクセス権限を持つIAMロールを作成します。IAMユーザーグループにこれらのIAMロールを割り当てます。IDベースのポリシーを用いて、ユーザーグループに対して列レベルでアクセスレベルを割り当てます。
正解: A. Amazon Athenaを使用してデータをクエリします。AWS Lake Formationをセットアップし、会社のIAMロール向けにデータフィルターを作成してアクセスレベルを確立します。各ユーザーを、そのユーザーのPIIアクセス要件に一致するIAMロールに割り当てます。
解説
この状況において、選択肢Aが最適な解です。Amazon Athenaによるデータクエリと、AWS Lake Formationによるデータフィルターの作成を組み合わせることで、会社のIAMロールごとにアクセスレベルを設定し、各ユーザーをそのPIIアクセス要件に合致するIAMロールに割り当てることができます。これは比較的直接的かつ効率的な方法です。選択肢Bでは、Amazon QuickSightの列レベルセキュリティ機能を活用できますが、Athenaへの依存と追加設定が必要で、複雑さが増します。選択肢Cでは、カスタムクエリビルダーUIの構築と、Amazon Cognitoでのユーザーグループ管理など、追加の作業が発生します。選択肢Dでは、異なる粒度のアクセス権限を持つIAMロールの作成と、列レベルでのアクセス制御の設定が必要で、これも相対的に複雑です。以上より、選択肢Aが最も少ない労力で要件を満たし、正解です。