AWS

AWS認定ビッグデータスペシャリティサンプル試験問題1

AWSAWS認定ビッグデータスペシャリティAWS認定資格

質問

原文

1) A company needs to deploy a data lake solution for their data scientists in which all company data is accessible and stored in a central S3 bucket. The company segregates the data by business unit, using specific prefixes. Scientists can only access the data from their own business unit. The company needs a single sign-on identity and management solution based on Microsoft Active Directory (AD) to manage access to the data in Amazon S3.

Which method meets these requirements?

    A) Use AWS IAM Federation functions and specify the associated role based on the users' groups in AD.
    B) Create bucket policies that only allow access to the authorized prefixes based on the users' group name in Active Directory.
    C) Deploy the AD Synchronization service to create AWS IAM users and groups based on AD information.
    D) Use Amazon S3 API integration with AD to impersonate the users on access in a transparent manner.

googleで日本語翻訳

1)企業は、すべての企業データにアクセスして中央のS3バケットに格納するデータ科学者向けにデータレーキソリューションを導入する必要があります。 企業は、特定のプレフィックスを使用してビジネス単位でデータを分離します。 科学者は自分のビジネスユニットからのみデータにアクセスできます。 Amazon S3のデータへのアクセスを管理するために、Microsoft Active Directory(AD)に基づくシングルサインオンIDと管理ソリューションが必要です。

どの方法がこれらの要件を満たしていますか?

     A)AWS IAM連携機能を使用し、ADのユーザーのグループに基づいて関連する役割を指定します。
     B)Active Directory内のユーザーのグループ名に基づいて、許可されたプレフィックスへのアクセスのみを許可するバケットポリシーを作成します。
     C)ADSynchronizationサービスをデプロイして、AD情報に基づいてAWS IAMユーザーおよびグループを作成します。
     D)ADとのAmazon S3 APIの統合を使用して、透過的な方法でユーザーを偽装します。

bingで日本語翻訳

1) 会社は、すべての会社のデータがアクセスされ、中央の s3 バケットに格納されているデータサイエンティストのためのデータ湖のソリューションを展開する必要があります。会社は、特定の接頭語を使用して、ビジネス単位でデータを分離します。科学者は自分の部署のデータにしかアクセスできません。同社は、amazon s3 のデータへのアクセスを管理するために、microsoft active directory (ad) に基づくシングルサインオン id と管理ソリューションを必要としています。

どのメソッドがこれらの要件を満たしているか

a) aws iam フェデレーション機能を使用し、ad 内のユーザーのグループに基づいて関連するロールを指定します。
b) アクティブディレクトリ内のユーザーのグループ名に基づいて、承認されたプレフィックスへのアクセスのみを許可するバケットポリシーを作成します。
c) ad 同期サービスを展開して、広告情報に基づいて aws iam ユーザーとグループを作成します。
d) ad と amazon s3 api の統合を使用して、ユーザーを透過的な方法でアクセス権で偽装します。

解答

原文

1) A - Identity Federation allows organizations to associate temporary credentials to users authenticated through an external identity provider such as Microsoft Active Directory (AD). These temporary credentials are linked to AWS IAM roles that grant access to the S3 bucket. 
Option B does not work because bucket policies are linked to IAM principles and cannot recognize AD attributes. 
Option C does not work because AD Synchronization will not sync directly with AWS IAM, and custom synchronization would not result in Amazon S3 being able to see group information. 
D isn't possible because there is no feature to integrate Amazon S3 directly with external identity providers.

googleで日本語翻訳

1)A - アイデンティティ・フェデレーションは、組織がMicrosoft Active Directory(AD)などの外部アイデンティティ・プロバイダを介して認証されたユーザーに一時的な資格証明を関連付けることを可能にします。 これらの一時的な認証情報は、S3バケットへのアクセスを許可するAWS IAMロールにリンクされています。
オプションBは、バケットポリシーがIAM原則にリンクされており、AD属性を認識できないため機能しません。
オプションCは動作しません。これは、AD同期がAWS IAMと直接同期しないためで、カスタム同期ではAmazon S3がグループ情報を参照できなくなります。
Amazon S3を外部IDプロバイダと直接統合する機能がないため、Dは不可能です。

bingで日本語翻訳

1) a id フェデレーションを使用すると、組織は microsoft active directory (ad) などの外部 id プロバイダーを介して認証されたユーザーに一時的な資格情報を関連付けることができます。これらの一時的な資格情報は、s3 バケットへのアクセスを許可する aws iam ロールにリンクされます。
バケットポリシーが iam プリンシパルにリンクされており、ad 属性を認識できないため、オプション b は機能しません。
ad 同期は aws iam と直接同期されないため、オプション c は機能しませんが、カスタム同期では amazon s3 がグループ情報を表示できなくなります。
amazon s3 を外部 id プロバイダと直接統合する機能がないため、d は使用できません。