【2024/7/8(月)開催】Entra(SC-300)勉強会
問題
Sub1 という Azure サブスクリプションがあり、そこには RG1 というリソース グループが含まれています。RG1 には、DB1 という Azure Cosmos DB データベースと、AKS1 という Azure Kubernetes Service (AKS) クラスターが含まれています。
AKS1からDB1 内のデータを読み込みできるようにする必要があります。ソリューションは、次の要件を満たしている必要があります。
• マネージド ID を使用して、AKS1 がDB1 にアクセスできるようにします。
• 最小権限の原則に従います。
以下のどの設定が適切でしょうか。
- A. Sub1 の所有者ロールをマネージドIDに割り当てます。
- B. RG1 の閲覧者ロールをマネージドIDに割り当てます。
- C. DB1 の閲覧者ロールをマネージドIDに割り当てます。
解答
C. DB1 の閲覧者ロールをマネージドIDに割り当てます。
解説
マネージドID
・App service、Azure VMなど主要なAzureリソースでサポートされているIDの種別
・アクセス元のAzureリソース(AKS1)にマネージドIDを紐づけて使う
・マネージドIDにロールを付与することで、アクセス元はAzureリソース(AKS1)は、別のAzureリソース(DB1)へのアクセス権限を得ることができる。
最小権限の原則
アクセス元には必要最低限のロールのみを付与すべき、というセキュリティの考え方
サブスクリプション、リソースグループ、リソースの関係
上位層で付与したロールは、下位にも継承される
たとえば、サブスクリプションの閲覧者ロールを付与した場合、そのサブスクリプション配下に存在する、リソースグループ・リソースへの閲覧者ロールも付与される。
最小権限の原則を考慮すると、より下位層のロールを付与するのが望ましい。
その他の選択肢
- A. Sub1 の所有者ロールをマネージドIDに割り当てます。 → ロール付与の対象が広すぎる、権限(所有者)が過剰
- B. RG1 の閲覧者ロールをマネージドIDに割り当てます。 → ロール付与の対象が広すぎる
(おまけ)2種類のロール
【割り当てられたロール】
管理ポータル(Share Point 管理者ポータル、Intune管理者ポータルなど)が操作できるようになる
【Azureロールの割り当て】※本日の問題はこちら
Azure リソースを操作できるようになる