Question#16(AZ-204)
在庫サービスの開発にあたり、小売店舗のロケーションデータへのアクセスを許可する必要があります。
何を使用すべきですか?
正解:C
なぜこのシナリオでは RBAC ではなく SASトークン が最適解になるのか、その理由は以下の3点に集約されます。
1. 外部ベンダー(サードパーティ)への提供
外部の業者にアクセス権を与える際、相手に Microsoft Entra ID(旧Azure AD)のアカウントを持たせて RBAC を設定するのは管理コストが高くなります。SASトークンであれば、生成したURLを渡すだけでアクセスを許可できます。
2. 期間限定のアクセス(3ヶ月間)
SASトークンには有効期限(Expiry Time)を直接埋め込むことができます。3ヶ月後に自動的にアクセス権が消滅するため、「3ヶ月間限定」という要件に完璧に合致し、削除し忘れなどのセキュリティリスクを防げます。
3. 非常に細かいアクセス制御(最小権限)
RBACでも権限を絞ることは可能ですが、SASトークンは「特定のBlob(ファイル)1つだけ」に対して「読み取りのみ」という非常にピンポイントな許可を与えるのが得意です。
コメント