ID・アクセス定義問題
あるシステム管理者がAzureのアクセス制御を設計している。「特定のユーザーがあるリソースグループ内のリソースを読み取りできるが、削除はできない状態にしたい」。最小権限の原則に従った最適なアプローチはどれか。
A.サブスクリプションレベルでOwnerロールを付与する
✗ サブスクリプションレベルのOwnerは全権限。最小権限の原則に反し、削除も可能になってしまう。
B.リソースグループにReaderロールを付与する← 正解
✓ 正解。Readerロールは読み取り専用で削除・変更はできない。リソースグループのスコープで付与することで、対象リソースグループ内のリソースのみに限定した最小権限を実現できる。
C.リソースグループにContributorロールを付与する
✗ ContributorはリソースグループのOwner以外の変更・作成が可能で削除もできる。「削除はできない」という要件に合わない。
D.サブスクリプションにContributorロールを付与する
✗ サブスクリプションスコープのContributorはサブスクリプション全体への変更・削除権限。最小権限の原則に反する。
「ID・アクセス」の他の問題
ある企業がMicrosoft Entra IDを導入した。「社員が一度サインインするだけで、Microsoft 365・…ある金融機関のセキュリティ担当者が、社員がAzureポータルにサインインする際に「パスワードだけでなく、スマートフォンへ…ある企業が「社外のネットワーク(自宅・カフェなど)からAzureにアクセスする場合はMFAを強制し、社内ネットワークから…ある企業でAzureを管理するIT部門が、開発チームに「特定のリソースグループ内でVMを作成・管理できるが、削除はできな…あるシステム管理者がAzureのRBACについて説明している。「あるユーザーにサブスクリプションレベルでReaderロー…ある企業がオンプレミスのActive Directory(AD)ドメインと、Azureのクラウドリソース(Microso…
IT・クラウド の関連資格
AWS Certified Cloud Practitioner(CLF-C02)
AWSクラウドの入門資格。クラウドの概念・AWSのコアサービス・セキュリティ・料金モデルを問う。
AWS Certified Solutions Architect - Associate(SAA-C03)
AWSでのシステム設計能力を問うアソシエイト資格。高可用性・セキュリティ・コスト最適化の設計が中心。
DP-900:Microsoft Azure Data Fundamentals
Azureのデータサービスの基礎を問うMicrosoft認定資格。リレーショナル/非リレーショナルデータ、分析ワークロード、コアのデータ概念を扱う。