AWS認定資格 WEB問題集＆徹底解説

会員登録/ログイン

正解はBです。Lake Formationのタグベースアクセス制御（LF-TBAC）は、複数アカウント間でのデータ共有において、きめ細かなアクセス制御を運用負荷なく実現する最適な手法です。データリソースにタグ（例：sensitivity=confidential、department=risk-analysis）を付与することで、Lake Formationがクロスアカウントでの権限管理を一元的に処理します。リスク分析部門は自身のアカウントから、タグで定義された必要なデータセットのみにアクセスでき、最小権限の原則が適用されます。この方式はAWS Lake Formationのネイティブ機能であるため、追加のデータ複製やインフラ管理が不要で、運用負荷が最小です。

選択肢A：AWS DataSyncによるデータ同期は、データの重複を生み出し、ストレージコストが増加します。また、同期スケジュールの管理、データ鮮度の維持、複数アカウントからの同期ジョブの設定など、継続的な運用負荷が発生します。データガバナンスの観点でも、元データとコピーの整合性管理が複雑になるため不適切です。

選択肢C：AWS Glueデータカタログの共有は可能ですが、カタログのメタデータ共有のみであり、実際のデータアクセス権限の管理はLake Formationまたは別のメカニズムで行う必要があります。各アカウントでクローラーを実行・管理する必要があり、きめ細かなアクセス制御をカタログレベルで実現することは困難です。この選択肢では要件を完全には満たせません。

選択肢D：各アカウントで個別にIAMロールとS3バケットポリシーを設定する方式は、アカウント数が多い場合に運用負荷が非常に高くなります。また、Lake Formationが提供するテーブル単位・カラム単位のアクセス制御やデータフィルタリング機能を活用できず、S3バケットレベルの粗いアクセス制御になるため、最小権限の原則を適切に適用できません。

Amazon Simple Storage Service (Amazon S3)
AWS DataSync
AWS Glue
AWS Identity and Access Management (AWS IAM)
AWS Lake Formation
AWS Resource Access Manager (AWS RAM)