Q74 — AWS DEA-C01 第1章
第 74/100 問 | ← 第1章
ある企業は、AWS上にデータレイクを保有しています。このデータレイクは、事業部門からのデータソースを取り込みます。企業はクエリのためにAmazon Athenaを使用しており、ストレージ層はAWS Glue Data Catalogをメタデータリポジトリとして使用するAmazon S3です。 企業は、データサイエンティストおよびビジネスアナリストにデータを提供したいと考えています。ただし、まずユーザーの役割および責任に基づく、Athena向けの細かい、カラムレベルのデータアクセス管理が必要です。 これらの要件を満たすソリューションはどれですか?
- A. AWS Lake Formationをセットアップします。Lake Formation内でIAMロールに基づくユーザーおよびアプリケーションのセキュリティポリシールールを定義します。 ✓
- B. AWS Glueテーブル向けにIAMリソースベースポリシーを定義します。同じポリシーをIAMユーザーグループにアタッチします。
- C. AWS Glueテーブル向けにIAM IDベースポリシーを定義します。同じポリシーをIAMロールにアタッチします。IAMロールを、ユーザーを含むIAMグループに関連付けます。
- D. AWS Resource Access Manager(AWS RAM)でリソース共有を作成し、IAMユーザーへのアクセスを許可します。
正解: A. AWS Lake Formationをセットアップします。Lake Formation内でIAMロールに基づくユーザーおよびアプリケーションのセキュリティポリシールールを定義します。
解説
AWS Lake Formationは、データレイクの権限管理を目的として設計されており、ロールベースの細かいアクセス制御(カラムレベルのアクセス制御を含む)をサポートします。AWSドキュメントによると、Lake Formationは権限テンプレートおよびセキュリティポリシーを通じて、特定のデータ列に対するユーザーおよびロールのアクセスを制限できます。これは、従来のIAMポリシーの複雑性を置き換えるものです。選択肢Bは誤りで、Glueテーブルはリソースポリシーをサポートしていません。選択肢CのIAMポリシーではカラムレベルの制御を直接実現できません。選択肢DのRAMは、リソース共有を目的としており、権限制御には使用されません。したがって、選択肢AのLake Formationポリシーが問題文の要件を直接満たします。