Q23 — AWS SAA-C03 第5章
第 23/65 問 | ← 第5章
Q323. ある企業は、複数のAWSアカウントにまたがって数ペタバイトのデータを保存しています。この企業では、AWS Lake Formation を使用してデータレイクを管理しています。データサイエンスチームは、分析目的で、自社アカウント内の特定のデータをエンジニアリングチームと安全に共有したいと考えています。これらの要件を満たす、運用オーバーヘッドが最も少ないソリューションはどれですか?
- A. 必要なデータを共通のアカウントにコピーします。そのアカウント内でIAMアクセスロールを作成し、エンジニアリングチームの各アカウントのユーザーを信頼されたエンティティとして指定する許可ポリシーを設定してアクセスを付与します。
- B. データが格納されている各アカウントで、Lake Formation の permissions Grant コマンドを使用して、必要なエンジニアリングチームのユーザーがデータにアクセスできるように許可します。
- C. AWS Data Exchange を使用して、必要なデータをエンジニアリングチームの各アカウントに対して非公開でパブリッシュします。
- D. Lake Formation のタグベースアクセス制御(Tag-based Access Control)を活用し、必要なデータに対してエンジニアリングチームの各アカウントへクロスアカウントのアクセス権限を承認・付与します。 ✓
正解: D. Lake Formation のタグベースアクセス制御(Tag-based Access Control)を活用し、必要なデータに対してエンジニアリングチームの各アカウントへクロスアカウントのアクセス権限を承認・付与します。
解説
Lake Formation はタグベースアクセス制御を提供しており、タグに基づいて特定のリソースに対するクロスアカウントのアクセス権限を付与できます。この手法により、データサイエンスチームは、データを共通アカウントにコピーしたり、他アカウントのユーザーにIAMロールを付与したりすることなく、選択的にエンジニアリングチームとデータを共有できます。データサイエンスチームは単にリソースに適切なタグを付与し、そのタグに基づいてLake Formation経由でエンジニアリングチームのアカウントへのアクセスを許可すればよいのです。オプションAはデータのコピーを伴うため、時間とコストがかかり、さらに複数アカウントのユーザーに対するIAMロール管理が必要となり、運用オーバーヘッドが増加します。オプションBは、データが複数アカウントに分散している場合、各アカウントでGrantコマンドを実行する必要があり、煩雑になります。オプションCのAWS Data Exchangeは、主に異なる組織間でのデータ交換を目的として設計されており、同一組織内でのデータ共有には不適切です。