ある企業が、Amazon S3 バケットを使ったデータレイクを構築しており、異なるチームに対してデータへのアクセス制御を行いたい。データはテーブル形式で管理されており、特定のチームは特定のテーブル(S3 プレフィックス)にしかアクセスできないようにしたい。また、列レベルのアクセス制御(特定のカラムを除外する)も将来的に実装したい。最も適切なアクセス制御サービスはどれか。
- A. Amazon Athena のビュー(CREATE VIEW)を使ってチームごとにアクセスできる列を制限する。
- B. AWS Lake Formation を使ってデータレイクのテーブルレベル・列レベルのアクセス制御を設定する。IAM ユーザー・ロールや SAML フェデレーテッドユーザーに対して Glue Data Catalog テーブル単位・列単位の細かなアクセス許可を付与できる。
- C. Amazon Macie でデータを分類してアクセス制御の参考にする。
- D. S3 バケットポリシーでチームごとにプレフィックスのアクセス許可を設定する。
解答と解説を見る
正解: B
AWS Lake Formation はデータレイクの中央集権型アクセス制御プラットフォームで、Glue Data Catalog のデータベース・テーブル・列レベルの細かいアクセス制御(Fine-Grained Access Control)を提供する。IAM ポリシーよりも直感的な許可管理が可能で、テーブルレベルの許可(特定のチームは特定のテーブルのみ)と列レベルのアクセス制御(特定のカラムを除外)の両方をサポートする。Athena・EMR・Redshift Spectrum などから Lake Formation の権限が自動的に適用される。選択肢DのS3 バケットポリシーはプレフィックスレベルのアクセス制御は可能だが、テーブル内の列レベル制御はできない。選択肢CのMacie はデータ分類・機密データ検出サービスであり、アクセス制御の設定はしない。選択肢AのAthena のビューは実装可能だが、各チームがビューを使わず元のテーブルを直接クエリできてしまうため、確実なアクセス制御にはならない。Lake Formation は Athena の実行レベルで権限を強制する。