AZ-900Azureの管理とガバナンスHARD単一選択

ある企業がAzureで「最小権限の原則(Principle of Least Privilege)」を徹底したい。アプリケーションがAzure Blob Storageの特定のコンテナにのみ読み取りアクセスするという要件に対して、最も適切なアクセス制御の設定はどれか。

  1. A. マネージドIDを使用し、特定コンテナへのStorage Blob Data Readerロールのみを割り当てる
  2. B. ストレージアカウントのアクセスキーをアプリケーションのコードに直接埋め込む
  3. C. ストレージアカウント全体にOwnerロールを割り当てる
  4. D. ストレージアカウントを「パブリックアクセス」に設定して誰でも読み取れるようにする
解答と解説を見る

正解: A

最小権限の原則の実装として最適なのは、アプリケーションにマネージドIDを割り当て(コードに資格情報を埋め込まない)、そのIDに対して「必要なコンテナへのBlobの読み取りのみ」を許可するStorage Blob Data Readerロールを割り当てることである。これにより書き込み・削除・他のコンテナへのアクセスが発生しないよう制限できる。選択肢CのOwnerロールはストレージアカウント全体の完全管理権限であり、最小権限の原則に著しく反する。選択肢Bのアクセスキーのコード埋め込みはセキュリティ上のリスク(コード漏洩=キー漏洩)が高く、鍵のローテーション管理も困難である。選択肢Dのパブリックアクセス設定は認証なしで誰でもアクセスできるため、最小権限どころかアクセス制御を失う最悪の設定である。

▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題