Azureサービス深掘り応用
Power BIで行レベルセキュリティ(RLS)を実装し、営業部員AはRegion=「東日本」、営業部員BはRegion=「西日本」のみ表示可能に設定していました。このときDAX式で定義されたRLSルールが「ユーザー名」ではなく「Azure ADグループメンバーシップ」に基づいて評価された場合、どのような問題が発生する可能性が最も高いですか?
A.Azure ADグループベースのRLSは公式非サポート機能であるため、ルール評価時にエラーが発生し、すべてのユーザーがデータ閲覧不可になる
✗ Azure ADグループベースのRLSはサポートされている実装方法です。エラー発生による完全なアクセス不可ではなく、同期遅延が主な問題です。
B.グループメンバーシップは動的に変更されるため、Power BIキャッシュとAzure ADグループの同期遅延により、権限外データが一時的に表示される可能性がある← 正解
✓ 正解です。グループメンバーシップはAzure ADで動的に管理されるため、メンバーシップ変更とPower BIキャッシュの同期遅延により、権限外データが一時的に表示される可能性があります。
C.グループベースRLSでは複数グループ所属ユーザーの場合、ルール評価順序によっては両グループのデータが表示され、権限分離が破綻する可能性がある
✗ DAX RLSは複数グループ所属時の処理を適切に設計すれば、同時表示を防ぐことができます。設計不備による可能性はありますが、仕様上の問題ではありません。
D.Power BI Serviceはユーザーコンテキストとグループコンテキストを区別するため、グループベースRLSでは権限範囲外データが自動的にフィルタリングされる
✗ Power BIはグループコンテキストを自動的には区別しません。RLS設定の設計責任はアプリケーション実装者にあります。
この問題のポイント
グループメンバーシップはAzure ADで動的に管理されるため、メンバーシップ変更とPower BIキャッシュの同期遅延により、権限外データが一時的に表示される可能性があります。
「Azureサービス深掘り」の他の問題
Cosmos DBではなくAzure SQL Databaseを選ぶべきシナリオはどれか?Cosmos DBでコンテナのパーティションキーとして「category(値:電子機器・衣類・食品の3種類のみ)」を選ん…Azure Event Hubs・Azure Service Bus・Azure Event Gridを比較したとき、「…Azure Synapse Analytics Dedicated SQL Poolのデータ分散戦略で「小さなテーブル(…Azure Data Factoryの「スケジュールトリガー」と「タンブリングウィンドウトリガー」の違いとして正しいのは…Azure Data FactoryのCopy ActivityとMapping Data Flowの使い分けとして正し…
IT・クラウド の関連資格
AWS Certified Cloud Practitioner(CLF-C02)
AWSクラウドの入門資格。クラウドの概念・AWSのコアサービス・セキュリティ・料金モデルを問う。
AWS Certified Solutions Architect - Associate(SAA-C03)
AWSでのシステム設計能力を問うアソシエイト資格。高可用性・セキュリティ・コスト最適化の設計が中心。
AZ-900:Microsoft Azure Fundamentals
クラウドとAzureの基礎を問うMicrosoft認定資格。クラウドの概念、Azureの主要サービス、セキュリティ・コンプライアンス・料金を扱う。