Question#31(AZ-700)
次の表に示すリソースを含む Azure サブスクリプションがあります。 
次の設定を持つサービスエンドポイントポリシーを作成します。
関連付けられたサブネット: Subnet1
サービス: Microsoft.Storage
スコープ: 単一のアカウント(Single account)
リソース: storage1
VM1 はどのリソースにアクセスできますか?
正解:A
この問題は、サービスエンドポイントポリシーが「どの範囲までアクセスを許可するか」という仕様を問うものです。
サービスエンドポイントポリシーの制限: サービスエンドポイントポリシーをサブネットに適用すると、そのサブネット内のリソースは、ポリシーで明示的に許可された Azure リソース以外にはアクセスできなくなります。この場合、
storage1のみが許可されているため、同じリージョンにあってもstorage2へのアクセスはブロックされます。地理冗長(RA-GRS)の扱い: Azure のサービスエンドポイントポリシーの重要な仕様として、「特定のストレージアカウントを許可すると、そのアカウントのプライマリリージョンだけでなく、ペアリージョンにある読み取り専用レプリカ(セカンダリエンドポイント)へのアクセスも自動的に許可される」というものがあります。
結論:
storage1(プライマリ) は明示的に許可されているためアクセス可能。storage1(セカンダリ/レプリカ) も仕様により自動的にアクセス可能。storage2は許可リストにないため、プライマリ・セカンダリ問わずアクセス不可。
コメント