AZ-104Azure ストレージの実装と管理HARD単一選択

ある企業のセキュリティ要件として、Azure ストレージアカウントへのすべてのアクセスはストレージアカウントのアクセスキー(共有キー認証)を完全に無効化し、Entra ID 認証のみを強制したい。この設定を有効にした場合に影響を受けるシナリオとして正しいものはどれか。

  1. A. マネージド ID を使用する VM からの BLOB へのアクセスが失敗する
  2. B. アカウントキー認証を無効にすると、Storage Explorer から SAS を使った接続ができなくなる
  3. C. ストレージアカウントへの Azure Portal からの BLOB 閲覧ができなくなる
  4. D. アカウントキー認証を無効にすると、既存のストアドアクセスポリシーに紐づいた SAS も使用できなくなる
解答と解説を見る

正解: D

ストレージアカウントの共有キー認証を無効にすると(AllowSharedKeyAccess: false)、アカウントキーで署名されたすべての SAS(サービス SAS・アカウント SAS・ストアドアクセスポリシーに紐づいた SAS を含む)が使用不可になる。SAS の署名にはアカウントキーが使われるためである。唯一の例外はユーザー委任 SAS(Entra ID で署名)であり、これは引き続き有効である。マネージド ID を使った RBAC アクセスは Entra ID 認証であり、キー認証無効化の影響を受けない。Azure Portal の BLOB 閲覧は Entra ID 認証でも可能であり(適切なロールがあれば)、Portal 自体がブロックされるわけではない。Storage Explorer は SAS を Entra ID 認証に切り替えることで引き続き使用できるが、アカウントキーで生成した SAS は使えなくなる点は正しいが、選択肢 B の説明は不正確(ユーザー委任 SAS を使えば可能)。

▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題