Q6 — AWS DEA-C01 第1章
第 6/100 問 | ← 第1章
ある会社は、Amazon S3内のデータに対して1回限りのクエリを実行するためにAmazon Athenaを使用しています。同社にはいくつかのユースケースがあります。同社は、同一AWSアカウント内のユーザー、チーム、およびアプリケーション間でクエリプロセスとクエリ履歴へのアクセスを分離するための権限制御を実装する必要があります。
- A. 各ユースケースごとにS3バケットを作成します。適切な個別のIAMユーザーに権限を付与するS3バケットポリシーを作成し、そのS3バケットに適用します。
- B. 各ユースケースごとにAthenaワークグループを作成します。ワークグループにタグを適用し、タグを使用して適切な権限をワークグループに適用するIAMポリシーを作成します。 ✓
- C. 各ユースケースごとにIAMロールを作成します。各ユースケースに応じて適切な権限をロールに割り当て、Athenaに関連付けます。
- D. 各ユースケースごとに、適切な個別のIAMユーザーに権限を付与するAthenaで使用される特定のテーブルに対するAWS Glue Data Catalogリソースポリシーを作成し、そのリソースポリシーを適用します。
正解: B. 各ユースケースごとにAthenaワークグループを作成します。ワークグループにタグを適用し、タグを使用して適切な権限をワークグループに適用するIAMポリシーを作成します。
解説
Amazon Athenaワークグループは、クエリ実行、結果、およびアクセス履歴を分離するために使用されます。各ワークグループは、独立した権限、暗号化設定、およびクエリ履歴を設定できます。タグとIAMポリシーを組み合わせることで、異なるユースケースに対する細かいアクセス制御が可能となり、ユーザー、チーム、アプリケーション間の権限分離要件を満たします。他の選択肢であるS3バケットポリシー、IAMロール、Glue Data Catalogリソースポリシーは、Athenaのクエリ履歴の分離を直接管理できません。『Amazon Athena User Guide』によると、ワークグループはクエリ分離およびアクセス制御の管理における中心的なメカニズムです。選択肢Bは、ワークグループとタグをIAMポリシーと組み合わせることで、権限分離を正しく実現します。選択肢A、C、Dは、データの冗長性、クエリ履歴制御の欠如、または権限粒度の不足といった問題を抱えています。