Q23 — AWS SAA-C03 第5章
第 23/65 题 | ← 返回第5章
Q323.一家公司在多个 AWS 账户中存储数 PB 的数据.该公司使用 AWS Lake Formation 来管理其数据湖.该公司的数据科学团队希望与公司的工程团队安全地共享其账户中的选择性数据以用于分析目的.哪种解决方案能够以最少的运营开销满足这些要求?
- A. 将所需数据复制到通用帐户.在该账户中创建一个 IAM 访问角色.通过指定将工程团队帐户中的用户作为可信实体包括在内的权限策略来授予访问权限
- B. 在每个存储数据的账户中使用 Lake Formation permissions Grant 命令允许所需的工程团队用户访问数据
- C. 使用 AWS Data Exchange 将需要的数据私下发布到需要的工程团队账户
- D. 使用基于 Lake Formation 标签的访问控制,为工程团队账户授权和授予所需数据的跨账户权限 ✓
正确答案: D. 使用基于 Lake Formation 标签的访问控制,为工程团队账户授权和授予所需数据的跨账户权限
解析
Lake Formation 提供基于标签的访问控制,允许您根据标签为特定资源授予跨账户权限.这种方法使数据科学团队能够有选择地与工程团队共享他们帐户中的数据,而无需将数据复制到通用帐户或向另一个帐户中的用户授予 IAM 访问角色.数据科学团队只需使用适当的属性标记资源,然后使用 Lake Formation 根据这些标记向工程团队帐户授予访问权限.选项 A 涉及将数据复制到通用帐户,这可能既费时又费钱.它还需要为多个账户中的用户管理 IAM 访问角色,这可能会导致运营开销增加.选项 B 涉及在存储数据的每个帐户中使用 Lake Formation Grant 命令,如果数据分布在多个帐户中,这可能会很麻烦.选项 C 涉及使用 AWS Data Exchange,它可能不适合在组织内共享数据,因为它主要是为不同组织之间的数据交换而设计的.