Q23 — AWS SAA-C03 第5章

第 23/65 問 | ← 第5章

Q323. ある企業は、複数のAWSアカウントにまたがって数ペタバイトのデータを保存しています。この企業では、AWS Lake Formation を使用してデータレイクを管理しています。データサイエンスチームは、分析目的で、自社アカウント内の特定のデータをエンジニアリングチームと安全に共有したいと考えています。これらの要件を満たす、運用オーバーヘッドが最も少ないソリューションはどれですか?

正解: D. Lake Formation のタグベースアクセス制御(Tag-based Access Control)を活用し、必要なデータに対してエンジニアリングチームの各アカウントへクロスアカウントのアクセス権限を承認・付与します。

解説

Lake Formation はタグベースアクセス制御を提供しており、タグに基づいて特定のリソースに対するクロスアカウントのアクセス権限を付与できます。この手法により、データサイエンスチームは、データを共通アカウントにコピーしたり、他アカウントのユーザーにIAMロールを付与したりすることなく、選択的にエンジニアリングチームとデータを共有できます。データサイエンスチームは単にリソースに適切なタグを付与し、そのタグに基づいてLake Formation経由でエンジニアリングチームのアカウントへのアクセスを許可すればよいのです。オプションAはデータのコピーを伴うため、時間とコストがかかり、さらに複数アカウントのユーザーに対するIAMロール管理が必要となり、運用オーバーヘッドが増加します。オプションBは、データが複数アカウントに分散している場合、各アカウントでGrantコマンドを実行する必要があり、煩雑になります。オプションCのAWS Data Exchangeは、主に異なる組織間でのデータ交換を目的として設計されており、同一組織内でのデータ共有には不適切です。