Q6 — AWS DEA-C01 第1章
第 6/100 题 | ← 返回第1章
一家公司使用Amazon Athena对Amazon S3中的数据执行一次性查询。该公司有多个使用场景。该公司必须实施权限控制,以在相同AWS账户内的用户、团队和应用程序之间隔离查询流程及查询历史访问权限。
- A. 为每个使用场景创建一个S3存储桶。为每个S3存储桶创建一个S3存储桶策略,向适当的独立IAM用户授予权限,并将该S3存储桶策略应用于对应S3存储桶。
- B. 为每个使用场景创建一个Athena工作区。为工作区添加标签。创建一个IAM策略,利用这些标签向工作区授予适当的权限。 ✓
- C. 为每个使用场景创建一个IAM角色。为每个使用场景的角色分配适当权限,并将该角色与Athena关联。
- D. 为每个使用场景创建一个AWS Glue Data Catalog资源策略,向适当的独立IAM用户授予权限,并将该资源策略应用于Athena所使用的特定表。
正确答案: B. 为每个使用场景创建一个Athena工作区。为工作区添加标签。创建一个IAM策略,利用这些标签向工作区授予适当的权限。
解析
Amazon Athena工作组用于隔离查询执行、结果和访问历史。每个工作组可配置独立的权限、加密设置和查询历史记录。通过标签(tags)结合IAM策略精细化控制不同用例的访问权限,符合需求中的用户、团队、应用间的权限分离。其他选项涉及的S3存储桶策略、IAM角色或Glue Data Catalog策略无法直接管理Athena的查询历史隔离。《Amazon Athena User Guide》指出工作组是管理查询隔离和访问控制的核心机制。选项B利用工作组与标签结合IAM策略,正确实现权限分离。选项A、C、D分别存在数据冗余、缺乏查询历史控制或权限粒度不足的问题。