AZ-104Azure ストレージの実装と管理MEDIUM単一選択

ある企業が Azure ストレージアカウントへのアクセスをセキュアにしたい。アプリケーションは Azure VM 上で動作しており、ストレージアカウントのアクセスキーや接続文字列をコード・設定ファイルに保存せずに、最もセキュアな方法でストレージにアクセスさせたい場合に最も適切なアプローチはどれか。

  1. A. ストレージアカウントの共有アクセスキーを 30 日ごとに自動ローテーションする
  2. B. VM のシステム割り当てマネージド ID を有効にし、ストレージ BLOB データ閲覧者ロールを割り当てる
  3. C. SAS トークンを環境変数に格納して VM から参照する
  4. D. アクセスキーを Azure Key Vault に保存し、アプリケーションから Key Vault を参照する
解答と解説を見る

正解: B

マネージド ID を使うと、VM はシークレットや認証情報を一切管理せずに Azure Entra ID(旧 Azure AD)トークンを自動取得してストレージにアクセスできる。ストレージ BLOB データ閲覧者(Storage Blob Data Reader)などのデータプレーンロールを割り当てることで、最小権限の原則に従った RBAC 制御も実現できる。Key Vault 参照はシークレット管理の改善としては有効だが、依然としてシークレット(アクセスキー)が存在するためマネージド ID ほどセキュアではない。SAS トークンを環境変数に保存する方法はシークレットの漏洩リスクが残る。アクセスキーの自動ローテーションは漏洩リスクの軽減策にはなるが、シークレットが存在することには変わりない。

📚 関連サービスの解説: Azure Blob Storage
▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題