AWS :Analiza Danych
Bezpieczeństwo danych
1. Jesteś architektem danych pracującym dla dużej międzynarodowej organizacji, która umożliwia różnym dostawcom dostęp do szczegółów inwentarza dostępnych jako pliki w Twoim kontenerze S3. Dostawca ma konto AWS. W jaki sposób możesz zapewnić dostawcy dostęp do tego kontenera?
A. Utwórz nową grupę IAM i przyznaj dostawcy odpowiedni dostęp do tego kontenera.
B. Utwórz rolę międzykontową dla konta dostawcy i przyznaj tej roli odpowiedni dostęp do kontenera S3.
C. Utwórz nowego użytkownika IAM i przyznaj dostawcy odpowiedni dostęp do tego kontenera.
D. Utwórz zasady kontenera S3, które umożliwiają dostawcy odczytywanie danych z kontenera z jego konta AWS.
2. Jesteś inżynierem danych, który odpowiadał za budowę magazynu danych przy użyciu Redshift. Skonfigurowałeś analityków z aplikacjami klienckimi Redshift działającymi na instancji EC2 w celu uzyskania dostępu do Redshift. Analitycy skarżyli się na brak możliwości dostępu do klastra Redshift. Co z poniższych zrobisz, aby zapewnić prawidłowy dostęp do klastra Redshift?
A. Użyj AWS CLI zamiast narzędzi klienta Redshift.
B. Zmodyfikuj NACL w podsieci.
C. Zmodyfikuj grupy zabezpieczeń VPC.
D. Dołącz odpowiednią rolę IAM do klastra Redshift, aby uzyskać właściwy dostęp do instancji EC2.
3. Pracujesz dla średniej wielkości firmy produkującej traktory, która zapewnia dostęp do najnowszych analiz sprzedaży przechowywanych w Redshift na urządzeniach mobilnych swoich doradców ds. sprzedaży. Aplikacje na tych urządzeniach mobilnych będą wymagały dostępu do Amazon Redshift, gdzie przechowywane są hurtownie danych do analiz na dużą skalę. Która z poniższych opcji jest najprostszym i najbezpieczniejszym sposobem zapewnienia dostępu do magazynu danych Redshift z aplikacji mobilnej?
A. Utwórz użytkownika w Redshift i podaj poświadczenia aplikacji mobilnej.
B. Zezwól użytkownikowi federacji tożsamości internetowej na przyjęcie roli, która umożliwia dostęp do tabel i hurtowni danych Redshift, podając tymczasowe poświadczenia za pomocą STS.
C. Utwórz użytkownika IAM i wygeneruj klucze szyfrowania dla tego użytkownika. Zapewnij użytkownikowi dostęp do Redshift i zakoduj na stałe dane uwierzytelniające użytkownika w aplikacji mobilnej.
D. Utwórz zasady dostępu Redshift tylko do odczytu w IAM i użyj zasad w swojej aplikacji mobilnej.
4. Prawda czy fałsz? Amazon Kinesis Firehose nie oferuje szyfrowania po stronie serwera.
A. Prawda
B. Fałsz
5. Które z poniższych można wykorzystać do ograniczenia dostępu użytkownika do operacji Athena, w tym Athena Workgroups?
A. Athena Workgroups
B. Athena Federated Query
C. AWS Glue Catalog
D. IAM (Identity and Access Management)
Odpowiedzi
1. D. Udostępnianie zasobów innym kontom odbywa się przy użyciu dostępu międzykontowego. Opcja A jest nieprawidłowa, ponieważ dostawca ma już konto. Odpowiedź jest niejasna, ponieważ nie określa, gdzie utworzyć grupę IAM i brakuje szczegółów. Opcja B jest nieprawidłowa, ponieważ nie ma czegoś takiego jak rola międzykontowa. Opcja C jest nieprawidłowa.
2. C. Domyślnie dostęp do Amazon Redshift jest zablokowany. Aby zapewnić dostęp do klastra, należy skonfigurować grupy zabezpieczeń dla klastra z odpowiednimi ścieżkami dostępu.
3. B. Zawsze, gdy natrafisz na takie pytanie, ważne jest, aby zrozumieć, że rola IAM jest ogólnie preferowanym sposobem w porównaniu z tworzeniem użytkownika IAM. Ponadto użycie STS (AWS Security Token Service), który oferuje federację tożsamości internetowych, może pomóc w aplikacji federacyjnej od dostawców tożsamości, takich jak Facebook, Amazon i Google. Pozwala to nie tylko na szczegółową kontrolę dostępu, ale także zapewnia znacznie ściślejszą kontrolę.
4. B. Więcej informacji znajdziesz pod następującym linkiem: aws.amazon.com/about-aws/whats-new/2019/11/amazon-kinesis-data-firehose-adds-support-for-customer-provided- keys-for-server-side-encryption.
5. D. Więcej informacji znajdziesz pod następującym linkiem: docs.aws.amazon.com/athena/ latest/ug/security-iam-athena.html.
