AZ-305 Microsoft Azure Infrastructure Solutions 取得学習会 2024 第6回

Transcript

1. © Techpit,inc All Rights Reserved. AZ-104: Microsoft Azure Infrastructure Solutions

   試験問題サンプル

2. © Techpit,inc All Rights Reserved. 問題 1問目

3. © Techpit,inc All Rights Reserved. 試験問題サンプル 1 
 Azure サブスクリプションと

   User1 という名前のユーザーがあります。 ロールを User1 に割り当てて、このユーザーがサブスクリプション内のすべての種類のリソースを作成および管理できるようにする必要があります。 この解決 策では、User1 が他のユーザーにロールを割り当てられないようにする必要があります。 Azure ロールベースのアクセス制御 (RBAC) のどのロールを User1 に割り当てる必要がありますか ? A. API Management サービス共同作成者 B. 共同作成者 C. 所有者 D. 閲覧者

4. © Techpit,inc All Rights Reserved. 試験問題サンプル 1（ヒント） 
 Azure サブスクリプションと

   User1 という名前のユーザーがあります。 ロールを User1 に割り当てて、このユーザーがサブスクリプション内のすべての種類のリソースを作成および管理できるようにする必要があります。 この解決 策では、User1 が他のユーザーにロールを割り当てられないようにする必要があります。 Azure ロールベースのアクセス制御 (RBAC) のどのロールを User1 に割り当てる必要がありますか ? ※RABC の制御が行えるロールは何でしょうか？ A. API Management サービス共同作成者 B. 共同作成者 C. 所有者 D. 閲覧者

5. © Techpit,inc All Rights Reserved. 解答 1問目

6. © Techpit,inc All Rights Reserved. 解答 【回答】 B 【解説】 共同作成者ロールは、全てのリソースに対する作成、管理の権限を持ちますが、他のユーザに新

   しいアクセスを委任する権限を持ちません。 所有者ロールは、共同作成者ロールの権限にプラスして、他のユーザに新しいアクセスを委任す る権限を持ちます。 その為回答は B になります。

7. © Techpit,inc All Rights Reserved. 解説 1問目

8. © Techpit,inc All Rights Reserved. 試験問題サンプル 1 
 代表的なロール Azure

   に用意されている代表的なロールを解説します - 〇〇閲覧者(リーダー) - 対象のリソースに対する読み取りアクセス許可 - 〇〇所有者 - 対象のリソースに対する作成、読み取り、変更アクセス、権限変更等のフルアクセス - 〇〇共同作成者 - 対象のリソースに対する作成、読み取り、変更アクセス - 権限の変更は出来ない ロール名は、閲覧者 (リーダー、Reader)、所有者(Owner、オーナー)、共同作成者(Contributor) など表記がかなり揺れているのでロールを設定する 際は注意しましょう ビルトインのロールで制御しきれない場合は、カスタムロールを作成する事も可能です。 ※ 大体の場合において、カスタムロールは管理しきれなくなるので、可能な限りビルトインのロールを組み合わせる運用がおすすめです

9. © Techpit,inc All Rights Reserved. 試験問題サンプル 1 
 最小特権の原則 ユーザやプロセスに必要最小限の権限だけを与えるセキュリティ原則です。

   適切に実装することで、アプリケーションに対する攻撃面を縮小し、セキュリティ侵害が発生した場合の影響範囲を狭めることが出来ます。 推奨事項の一覧 - 未使用のアクセス許可と再割り当て可能なアクセス許可を取り消し、過剰な特権が与えられているアプリケーションを防止する - ID プラットフォームの同意フレームワークを使用して、保護されたデータへのアクセスを求めるアプリケーションからの要求に対して、人間の 同意がひつようになるようにする - 開発の全ての段階で、最低限の特権に留意してアプリケーションを構築する - デプロイされたアプリケーションを定期的に監査し、過剰な特権を持つモノを特定する

10. © Techpit,inc All Rights Reserved. 問題 2問目

11. © Techpit,inc All Rights Reserved. 試験問題サンプル 2 
 ある金融機関が、自社のインフラストラクチャを強化するために Azure

    を実装しています。 規制に関する要件が原因で、厳密なアクセスの制御を維持する必 要 があります。 あなたは、財務チームがリソースを変更するための権限なしで Azure サービスのコストを表示し予算を管理できるようにする必要があります。 サブスクリプション スコープで財務チームに割り当てるべきロールはどれですか ? A. 閲覧者 B. 課金データ閲覧者 C. 共同作成者 D. コスト管理の共同作成者

12. © Techpit,inc All Rights Reserved. 試験問題サンプル 2（ヒント） 
 ある金融機関が、自社のインフラストラクチャを強化するために Azure

    を実装しています。 規制に関する要件が原因で、厳密なアクセスの制御を維持する必 要 があります。 あなたは、財務チームがリソースを変更するための権限なしで Azure サービスのコストを表示し予算を管理できるようにする必要があります。 サブスクリプション スコープで財務チームに割り当てるべきロールはどれですか ? ※ 最小特権の原則を考えます A. 閲覧者 B. 課金データ閲覧者 C. 共同作成者 D. コスト管理の共同作成者

13. © Techpit,inc All Rights Reserved. 解答 2問目

14. © Techpit,inc All Rights Reserved. 解答 【回答】 D 【解説】 課金閲覧者は、課金情報を表示する為のロールであり、予算管理は行えません。

    共同作成者は、最小特権の原則に違反します。 その為回答は、D になります。

15. © Techpit,inc All Rights Reserved. 解説 2問目

16. © Techpit,inc All Rights Reserved. 試験問題サンプル 2 
 課金情報管理 課金情報管理は、主に下記の内容を対象としたロールです

    - 対象 : 課金情報と請求に関連する内容 - 出来ること : 課金情報の確認、請求書の閲覧、支払方法の変更、課金アカウントの設定等 - ロールの目的 : Azure のサービスやリソースに対する支払い、請求書管理を担当する

17. © Techpit,inc All Rights Reserved. 試験問題サンプル 2 
 VPN Gateway

    コスト管理は、主に下記の内容を対象としたロールです - 対象 : Azure のリソースの利用コストを監視し、最適化する役割 - 出来ること : リソースの使用状況に基づいて、コスト分析や予算設定、コストのアラート設定等 - ロールの目的 : リソースの使用に伴うコストの追跡、最適化を行い、無駄を減らすことが目的です 財務管理は、こちらのロールが適しています

18. © Techpit,inc All Rights Reserved. 問題 3問目

19. © Techpit,inc All Rights Reserved. 試験問題サンプル 3 
 機密情報を格納する container1

    という名前の BLOB コンテナーを持つ storageaccount1 という名前の Azure Storage アカウントがあります。 container1 のコンテンツが最終変更日から 6 か月間変更または削除されないようにする必要があります。 何を構成する必要がありますか ? A. カスタム Azure ロール B. ライフサイクル管理 C. 変更フィード D. 不変ポリシー

20. © Techpit,inc All Rights Reserved. 試験問題サンプル 3（ヒント） 
 機密情報を格納する container1

    という名前の BLOB コンテナーを持つ storageaccount1 という名前の Azure Storage アカウントがあります。 container1 のコンテンツが最終変更日から 6 か月間変更または削除されないようにする必要があります。 何を構成する必要がありますか ? ※ ストレージのデータ管理には何が必要でしょうか？ A. カスタム Azure ロール B. ライフサイクル管理 C. 変更フィード D. 不変ポリシー

21. © Techpit,inc All Rights Reserved. 解答 3問目

22. © Techpit,inc All Rights Reserved. 解答 【回答】 D 【解説】 不変ポリシーを設定することで、時間ベースのアイテム保持ポリシーまたは、訴訟ホールドポリ

    シーを適用できます。 その為回答は、D になります。

23. © Techpit,inc All Rights Reserved. 解説 3問目

24. © Techpit,inc All Rights Reserved. 試験問題サンプル 3 
 不変ポリシー Blob

    ストレージには、不変ポリシーを適用することで不変ストレージとして使うことが出来ます。 これは、WORM(Write Once, Read Many)状態でデータを格納できます。 WORM 状態のデータは、ユーザが指定した間隔でデータを変更または削除できなくなります。 不変ポリシーは、下記の 2つがサポートされます。 1. 時間ベースのアイテム保持ポリシー 2. 訴訟ホールドポリシー これらのポリシーは、互いに同時に設定できます。 ホールド範囲は、下記のいずれかになります。 - バージョンレベルの WORM ポリシー - コンテナレベルの WORM ポリシー

25. © Techpit,inc All Rights Reserved. 試験問題サンプル 3 
 時間ベースの保持ポリシー 時間ベースの保持ポリシーは、最短保持期間

    1日、最長間隔は 146,000 日(400年)で設定が出来ます。 このポリシーを構成すると、影響を受けるオブジェクトは、有効な保持期間中、不変状態になります。 ポリシーの保持期間は延長でき、不変ストレージでは、指定した保持期間の最新の値が有効な保持期間として計算されます。

26. © Techpit,inc All Rights Reserved. 試験問題サンプル 3 
 訴訟ホールドポリシー 訴訟ホールドポリシーは、法的調査の目的または、一般的な保護ポリシーの為に適用できる一時的な変更防止ポリシーです。

    このポリシーは、明示的にクリアされるまで WORM 状態でデータが保存されます。 データの保持期間が不明な場合は、訴訟ホールドポリシーを利用します。

27. © Techpit,inc All Rights Reserved. ありがとうございました