難問応用
ある企業がAzure Storageのアカウントレベルで暗号化キーをカスタマー管理キー(CMK)に変更し、Azure Key Vaultに暗号化キーを保管しています。その後、Key Vaultでの人的エラーにより、当該ストレージアカウント用の暗号化キーが誤って『削除予定状態(soft deleted)』に設定されました。この時点でストレージアカウント内の既存データへのアクセス状況として最も正確なものはどれか。
A.キーが削除予定状態でも復旧期間内であれば、既存データは読み取り可能でアクセス制限は発生しない← 正解
✓ 正解です。Key VaultのCMKがsoft delete状態でも、Azure Storageのメモリキャッシュやローカルキャッシュ内にキーが存在すれば読み取りは可能です。復旧期間内に削除を取り消せば、キャッシュ有効期限内は正常に機能します。
B.キーがsoft deleteされた時点でただちにすべてのデータアクセスがブロックされる
✗ CMKのsoft deleteは即座にすべてのアクセスをブロックしません。キャッシュやレプリケーション遅延の余地があり、完全なブロックはhard delete時に発生します。
C.既存データはアクセス可能だが、新規データの書き込みはできなくなる
✗ ストレージアカウントのCMK設定では、読み取りと書き込みの制限のタイミングは同じです。読み取り専用になるシナリオではなく、両方できなくなるか、キャッシュがあれば一時的に両方できる状態です。
D.soft deleteは『論理削除』のため、キーの完全削除(hard delete)が実行されるまではデータアクセスに影響しない
✗ soft deleteの理解は正しいですが、Azureの設計ではsoft delete状態のキーでは『新規操作が制限される』ケースもあり、完全なノーインパクトではありません。ただし読み取り『だけ』は可能な場合が多いです。
この問題のポイント
Key VaultのCMKがsoft delete状態でも、Azure Storageのメモリキャッシュやローカルキャッシュ内にキーが存在すれば読み取りは可能です。復旧期間内に削除を取り消せば、キャッシュ有効期限内は正常に機能します。
「難問」の他の問題
ある管理者がVM・NIC・ディスクを含むリソースグループにReadOnlyロックを設定した。その後、このリソースグループ…ある企業がAzure App Serviceを使いWebアプリをPaaSでホストしている。「このサービスモデルにおいて、…ある企業がAzure Storageの冗長オプションを選択している。「プライマリリージョンが完全に停止した際も、Micr…ある企業がAzureの4種類の負荷分散サービスの違いを学習している。「ユーザーのDNSクエリを受け取り、最もパフォーマン…ある企業がAzureのサブスクリプション階層を設計している。「10のサブスクリプションすべてに同じAzure Polic…あるシステム管理者がAzureのリソースロックについて「OwnerロールがあればReadOnlyロックを設定している場合…
IT・クラウド の関連資格
AWS Certified Cloud Practitioner(CLF-C02)
AWSクラウドの入門資格。クラウドの概念・AWSのコアサービス・セキュリティ・料金モデルを問う。
AWS Certified Solutions Architect - Associate(SAA-C03)
AWSでのシステム設計能力を問うアソシエイト資格。高可用性・セキュリティ・コスト最適化の設計が中心。
DP-900:Microsoft Azure Data Fundamentals
Azureのデータサービスの基礎を問うMicrosoft認定資格。リレーショナル/非リレーショナルデータ、分析ワークロード、コアのデータ概念を扱う。