MENU

会員登録（無料）

Question#17(AZ-204)

この問題のディスカッション

Question#17(AZ-204)

セキュリティ要件を満たすために、Azure Functions を保護する必要があります。

実行すべき2つのアクションはどれですか？

A. 論理削除（soft-delete）とパージ保護（purge-protection）機能が有効な Azure Key Vault に RSA-HSM キーを保存する。
B. コンテナーに不変ポリシー（immutability policy）が適用された Azure Blob Storage に RSA-HSM キーを保存する。
C. 新しい Azure AD サービスプリンシパルを使用して、Free ティアの Azure App Configuration インスタンスを作成する。
D. 割り当てられた Azure AD マネージド ID を使用して、Standard ティアの Azure App Configuration インスタンスを作成する。
E. Azure Cosmos DB に RSA-HSM キーを保存する。カスタマーマネージドキーと許可されたロケーションに関する組み込みポリシーを適用する。

正解と解説ディスカッション 0

正解：A, D

この問題の背景にある「セキュリティ要件」では、通常「キーの不慮の削除防止」と「シークレット情報の安全な一元管理」が求められています。

1. なぜ A が正解なのか (Key Vault の保護)

RSA-HSM キーの保管: HSM（ハードウェアセキュリティモジュール）で保護されたキーを保管する場所として、Azure Key Vault は唯一の適切な選択肢です。
論理削除とパージ保護: * 論理削除 (Soft-delete): 削除されたキーを一定期間保持し、復元可能にします。
- パージ保護 (Purge-protection): 保持期間が経過するまで、キーを完全に削除（パージ）することを禁止します。
これらにより、悪意のある削除やミスによるデータ損失を防ぐという高度なセキュリティ要件を満たします。

2. なぜ D が正解なのか (App Configuration とマネージド ID)

Standard ティア: Azure App Configuration の「Standard ティア」は、暗号化キーの保護やより高度なセキュリティ機能、SLAを提供します（Free ティアでは不足する場合があります）。
マネージド ID: サービスプリンシパル（選択肢C）のようにパスワードやキーを手動で管理する必要がなく、Azure サービス間で安全に認証を行えるため、セキュリティ上最も推奨される方法です。

コメント

コメント

コメントするコメントをキャンセル