AZ700-SEC#88
Azure Bastion Premium を本番環境にデプロイして セッション録画機能を有効化する手順を、正しい順序に並べてください。
- AzureBastionSubnet (固定名、最小 /26) を VNet に作成
- Azure Bastion Premium SKU をデプロイ + Public IP 関連付け
- 録画保存用 Storage Account を作成 + Bastion に関連付け
- 録画ファイルへのアクセス監査 + Retention Policy を設定
解説
【正しい順序】
- ステップ 1: AzureBastionSubnet 作成
- ステップ 2: Bastion Premium デプロイ
- ステップ 3: 録画 Storage 関連付け
- ステップ 4: 監査 + Retention
【各ステップの理由】
- ステップ 1 AzureBastionSubnet 作成: Azure Bastion は AzureBastionSubnet という名前固定 (最小 /26) のサブネットを必須要件とします。
- ステップ 2 Bastion Premium デプロイ: Premium SKU を選んで Bastion ホストをデプロイし、Public IP (Standard SKU) を Frontend に関連付けます。
- ステップ 3 録画 Storage 関連付け: 録画ファイル保存用の Storage Account を作成し、Bastion 側で関連付けてセッション録画を有効化します。
- ステップ 4 監査 + Retention: 録画ファイルへのアクセスを RBAC + 監査ログで制御し、Retention Policy で保持期間 (例: 1 年) を自動管理します。
【誤った順序の問題点】
- AzureBastionSubnet を作らずに Bastion デプロイ: 専用サブネット名が必須要件のため、デプロイが失敗します。
- Premium SKU 以外でセッション録画: セッション録画は Premium 限定機能で、Basic / Standard では利用できません。
コメント