AWS認定資格 WEB問題集&徹底解説
ソリューションアーキテクト – アソシエイト
解説
正解はBです。Lake Formationのタグベースアクセス制御(LF-TBAC)は、複数アカウント間でのデータ共有において、きめ細かなアクセス制御を運用負荷なく実現する最適な手法です。データリソースにタグ(例:sensitivity=confidential、department=risk-analysis)を付与することで、Lake Formationがクロスアカウントでの権限管理を一元的に処理します。リスク分析部門は自身のアカウントから、タグで定義された必要なデータセットのみにアクセスでき、最小権限の原則が適用されます。この方式はAWS Lake Formationのネイティブ機能であるため、追加のデータ複製やインフラ管理が不要で、運用負荷が最小です。
選択肢A:AWS DataSyncによるデータ同期は、データの重複を生み出し、ストレージコストが増加します。また、同期スケジュールの管理、データ鮮度の維持、複数アカウントからの同期ジョブの設定など、継続的な運用負荷が発生します。データガバナンスの観点でも、元データとコピーの整合性管理が複雑になるため不適切です。
選択肢C:AWS Glueデータカタログの共有は可能ですが、カタログのメタデータ共有のみであり、実際のデータアクセス権限の管理はLake Formationまたは別のメカニズムで行う必要があります。各アカウントでクローラーを実行・管理する必要があり、きめ細かなアクセス制御をカタログレベルで実現することは困難です。この選択肢では要件を完全には満たせません。
選択肢D:各アカウントで個別にIAMロールとS3バケットポリシーを設定する方式は、アカウント数が多い場合に運用負荷が非常に高くなります。また、Lake Formationが提供するテーブル単位・カラム単位のアクセス制御やデータフィルタリング機能を活用できず、S3バケットレベルの粗いアクセス制御になるため、最小権限の原則を適切に適用できません。
AWS DataSync
AWS Glue
AWS Identity and Access Management (AWS IAM)
AWS Lake Formation
AWS Resource Access Manager (AWS RAM)
選択肢A:AWS DataSyncによるデータ同期は、データの重複を生み出し、ストレージコストが増加します。また、同期スケジュールの管理、データ鮮度の維持、複数アカウントからの同期ジョブの設定など、継続的な運用負荷が発生します。データガバナンスの観点でも、元データとコピーの整合性管理が複雑になるため不適切です。
選択肢C:AWS Glueデータカタログの共有は可能ですが、カタログのメタデータ共有のみであり、実際のデータアクセス権限の管理はLake Formationまたは別のメカニズムで行う必要があります。各アカウントでクローラーを実行・管理する必要があり、きめ細かなアクセス制御をカタログレベルで実現することは困難です。この選択肢では要件を完全には満たせません。
選択肢D:各アカウントで個別にIAMロールとS3バケットポリシーを設定する方式は、アカウント数が多い場合に運用負荷が非常に高くなります。また、Lake Formationが提供するテーブル単位・カラム単位のアクセス制御やデータフィルタリング機能を活用できず、S3バケットレベルの粗いアクセス制御になるため、最小権限の原則を適切に適用できません。
関連サービスの解説
Amazon Simple Storage Service (Amazon S3)AWS DataSync
AWS Glue
AWS Identity and Access Management (AWS IAM)
AWS Lake Formation
AWS Resource Access Manager (AWS RAM)
+ 質問 / コメント
解答・解説に疑問がある場合や、よりよい解説がある場合など、お気軽にコメントください。ただし、短文コメントは表示されません。また、中傷などコメントの内容によっては、会員機能を停止させて頂きます。教え学び合える場になれば嬉しいです。(コメント投稿にはログインが必要です)
正答率 58%
No.11 解説
ある金融企業は、5つのAWSアカウントに分散して顧客取引データを保管しています。各アカウントではAWS Lake Formationを使用してデータガバナンスを実施しており、データはAmazon S3に格納されています。新しく組織されたリスク分析部門が、複数アカウントに存在する特定のデータセットに対して読み取り専用のアクセス権を必要としています。この部門は独自のAWSアカウントを保有しており、セキュリティ要件として最小権限の原則を適用する必要があります。運用負荷を最小限に抑えながら、これらの要件を満たすソリューションはどれですか。
- リスク分析部門のアカウント内にS3バケットを新規作成し、AWS DataSyncを使用して各データ保有アカウントから必要なデータを定期的に同期する。
- Lake Formationのタグベースアクセス制御(LF-TBAC)を利用し、必要なデータリソースにタグを付与してから、リスク分析部門のアカウントに対してクロスアカウント権限を付与する。
- 各データ保有アカウントでAWS Glueクローラーを実行してデータカタログを作成し、AWS Resource Access Managerを使用してリスク分析部門とカタログを共有する。
- データ保有アカウントごとにIAMロールを作成し、リスク分析部門のプリンシパルを信頼ポリシーに追加した上で、各アカウントのS3バケットポリシーで直接アクセスを許可する。
次の問題前の問題
広告
会員機能
お役立ち情報
- プレミアム会員のご紹介
- 会員機能のご紹介
- おすすめの勉強方法
- 試験概要
- 資格を取得するメリット
- 合格率や難易度と勉強時間の目安
- AWSサービスの解説
- AWS認定資格の種類・対象者・受験料・合格ライン
- スマホのホーム画面に登録する方法
姉妹サイト
- CLF:AWS 認定クラウドプラクティショナー
- SAA:AWS 認定ソリューションアーキテクト-アソシエイト
- AIF:AWS 認定AIプラクティショナー
- SOA:AWS 認定CloudOpsエンジニア-アソシエイト
- DVA:AWS 認定デベロッパー-アソシエイト
- MLA:AWS 認定機械学習エンジニア-アソシエイト
- SAP:AWS 認定ソリューションアーキテクト-プロフェッショナル
- AZ-900:Microsoft Azure Fundamentals
- AI-900:Microsoft Azure AI Fundamentals