Q74 — AWS DEA-C01 第1章
第 74/100 题 | ← 返回第1章
一家公司在AWS上构建了一个数据湖。该数据湖从各业务部门摄取数据源。该公司使用Amazon Athena进行查询。存储层为Amazon S3,并使用AWS Glue Data Catalog作为元数据存储库。 该公司希望将数据提供给数据科学家和业务分析师使用。但首先,该公司需要基于用户角色和职责,对Athena实施细粒度的列级数据访问控制。 哪种解决方案能满足这些要求?
- A. 设置AWS Lake Formation。在Lake Formation中,按IAM角色为用户和应用程序定义基于安全策略的规则。 ✓
- B. 为AWS Glue表定义基于资源的IAM策略。将相同策略附加到IAM用户组。
- C. 为AWS Glue表定义基于身份的IAM策略。将相同策略附加到IAM角色。将包含用户的IAM角色关联至IAM组。
- D. 在AWS Resource Access Manager(AWS RAM)中创建资源共享,以向IAM用户授予权限。
正确答案: A. 设置AWS Lake Formation。在Lake Formation中,按IAM角色为用户和应用程序定义基于安全策略的规则。
解析
AWS Lake Formation用于管理数据湖权限,支持基于角色的精细访问控制,包括列级权限。根据AWS文档,Lake Formation通过权限模板和安全策略实现用户、角色对特定数据列的访问限制,替代了传统IAM策略的复杂性。选项B错误,因Glue表不支持资源策略;选项C的IAM策略无法直接实现列级控制;选项D的RAM用于资源共享而非权限控制。选项A的Lake Formation策略直接满足题干需求。