type
status
date
slug
summary
tags
category
icon
password
Az305関連の問題を解釈をまとめる
📝 Az305問題
1.App1 という名前の Azure ウェブアプリをデプロイする予定で、Microsoft Entra ID 認証を使用します。App1 は、社内のユーザーによってインターネットからアクセスされます。すべてのユーザーは Windows 11 を実行するコンピューターを持っており、Entra ID に参加しています。ユーザーが認証を求められることなく App1 に接続でき、会社所有のコンピューターからのみ App1 にアクセスできるようにする解決策を推奨する必要があります。各要件について、何を推奨すべきですか?
ユーザーは、会社所有のコンピューターからのみ App1 にアクセスできます。
- A. Entra ID 管理単位 (administrative unit): これは、特定のユーザーやグループの管理を、組織内の限定された管理者に委任するための機能です。アクセス制御の目的で、デバイスの状態(会社所有かどうか)を判断する機能はありません。
- B. Azure Policy: これは、Azure リソースが組織のルールや標準に準拠していることを確保するための機能です。リソースのデプロイや構成を管理しますが、ユーザーの認証時にデバイスの状態に基づいてアクセスを許可または拒否する機能ではありません。
- C. 条件付きアクセス ポリシー (A Conditional Access policy): これは、Microsoft Entra ID の主要なセキュリティ機能です。ユーザーがリソースにアクセスしようとしたときに、複数の条件(ユーザー、場所、デバイスの状態、アプリケーションなど)に基づいてアクセスを許可、拒否、または追加の認証を要求することができます。この要件である「会社所有のコンピューター(Entra ID に参加またはハイブリッド参加済みデバイス)」からのアクセスを必須にするために、デバイスの状態を条件として設定することができます。これはこの要件に完全に一致します。
- D. Azure Application Gateway: これは、ウェブトラフィックを管理し、アプリケーションへのトラフィックを分散するためのロードバランサーです。ユーザー認証やデバイスの状態に基づくアクセス制御を行う機能はありません。
解答
C
2.あなたは、Windows Server 2022 を実行する 300 台の仮想マシンを含む Azure サブスクリプションを持っています。仮想マシンのシステムログにあるすべての警告イベントを一元的に監視する必要があります。ソリューションには何を含めるべきですか?
Azure で作成するリソース:
A. ストレージアカウント
B. 検索サービス
C. イベントハブ
D. Log Analytics ワークスペース
解答
仮想マシンのログを一元的に収集、保存、および監視するために最も適した Azure リソースは、D. Log Analytics ワークスペース です。
仮想マシンで実行する構成:
A. 継続的デリバリーを構成する
B. Azure Monitor エージェントをインストールする
C. イベントログリーダーグループのメンバーシップを変更する
D. イベントサブスクリプションを作成する
解答
仮想マシンに B. Azure Monitor エージェントをインストールする 必要があります。これにより、システムログが中央のワークスペースに送信され、一元的な監視が可能になります。
3.個人を特定できる情報 (PII) を保存する Azure SQL データベースをデプロイする予定です。特権を持つユーザーのみが PII を表示できるようにする必要があります。ソリューションに何を含めるべきですか
選択肢:
A. 透明なデータ暗号化 (TDE)
B. 動的データマスキング
C. データ検出と分類
D. ロールベースのアクセス制御 (RBAC)
解答
この質問の要件は、「特権を持つユーザーのみが PII を表示できる」ことです。つまり、データベースにアクセスできるユーザーの中でも、誰が機密データを完全に見ることができ、誰がマスクされた(隠された)データしか見ることができないかを制御したいというものです。
- B. 動的データマスキング は、この目的に最も適した機能です。特定の列(PIIを含む列など)に対して設定することで、非特権ユーザーのクエリ結果ではデータが自動的にマスクされます。一方、権限を持つユーザーは、マスクされていない元のデータを見ることができます。
- A. TDE は、保存中のデータを暗号化するものであり、ユーザーの権限に基づいて表示内容を制御するものではありません。
- C. データ検出と分類 は、PII を特定して分類するツールであり、アクセスを実際に制御する機能ではありません。
- D. RBAC は、Azure リソースへのアクセス権限(データベースの管理など)を制御するものであり、データベース内の特定のデータの表示を制御するものではありません。
4.あなたは、6,000人のユーザーが休暇申請を承認するために使用するアプリケーションを持っています。このアプリケーションは独自の資格情報ストアを管理しています。ユーザーは、アプリケーションにアクセスするためにユーザー名とパスワードを入力する必要があります。このアプリケーションはIDプロバイダーをサポートしていません。Microsoft Entra ID アプリケーション登録を使用して、シングルサインオン(SSO)認証を使用するようにアプリケーションをアップグレードする予定です。どのSSO方法を使用すべきですか?
- A. SAML: (Security Assertion Markup Language) アプリケーションがIDプロバイダー(この場合はEntra ID)と直接通信して認証情報を交換するための標準的なプロトコルです。アプリケーションがこのプロトコルをサポートしている必要があります。
- B. header-based: ユーザーの認証情報をHTTPヘッダーに埋め込んでアプリケーションに送信する方式です。アプリケーションが特定のヘッダーを読み取るように構成されている場合に機能します。
- C. OpenID Connect: アプリケーションがIDプロバイダーと通信して認証を行うための、OAuth 2.0に基づく最新の認証プロトコルです。これもアプリケーションがこのプロトコルをサポートしている必要があります。
- D. password-based: これは、アプリケーションがIDプロバイダーをサポートしていない場合に、SSOを実現するための方法です。Entra IDがユーザーのパスワードを安全に保存し、ユーザーに代わってアプリケーションのサインインフォームに資格情報を自動入力します。
解答
質問の重要なポイントは、**「The application does NOT support identity providers. (このアプリケーションはIDプロバイダーをサポートしていません。)」**という部分です。
- 選択肢AのSAMLや、選択肢CのOpenID Connectは、アプリケーションがSAMLプロトコルやOpenID Connectプロトコルを理解し、IDプロバイダーと通信できる場合にのみ使用できます。この質問では、アプリケーションがIDプロバイダーをサポートしていないと明記されているため、これらの方法は使えません。
- 選択肢Bのheader-basedも、通常は特定のプロキシやゲートウェイを介して、アプリケーションが特定のヘッダーを期待するように構成されている必要があります。
- 選択肢Dのpassword-based(パスワードベース)SSOは、アプリケーションが独自のユーザー名とパスワードシステムを持っており、SSOプロトコル(SAMLやOpenID Connect)をサポートしていない場合に、唯一の選択肢となります。この方法では、Entra ID がユーザーの資格情報を安全に保存し、ユーザーがアプリケーションにアクセスしようとすると、ブラウザ拡張機能などを通じて、その資格情報をアプリケーションのサインインフォームに自動的に入力します。これにより、ユーザーは Entra ID で一度サインインするだけで、他のアプリケーションのパスワードを再度入力する必要がなくなります。
したがって、このシナリオに最も適したSSO方法は、D. password-based です。
5.あなたは、Azure Functions を使用して Azure サブスクリプションのアクティビティログを読み取るアプリを開発しています。Azure Functions の認証ソリューションを推奨する必要があります。このソリューションは、管理作業を最小限に抑える必要があります。推奨事項に何を含めるべきですか?
A.Entra ID のエンタープライズアプリケーション
B.Entra ID のアプリケーション登録
C.システム割り当てマネージドID (system-assigned managed identities)
D.共有アクセス署名 (SAS)
解答
- A. Entra ID のエンタープライズアプリケーション: これは、組織がEntra IDに統合したアプリケーション(SaaSアプリなど)のことで、ユーザー管理やアクセス権の制御に使用されます。これは、アプリケーションの認証に直接関連するものではありますが、手動での設定や管理が必要になります。
- B. Entra ID のアプリケーション登録: これは、アプリケーションがEntra IDからトークンを取得して、別のリソースにアクセスするために必要な設定です。通常、クライアントIDとシークレットキー(または証明書)をアプリケーションに安全に保存し、管理する必要があります。このシークレットキーは期限があり、定期的にローテーションする必要があるため、管理作業が増加します。
- C. システム割り当てマネージドID (system-assigned managed identities): これが正解です。 マネージドIDは、Entra ID認証をサポートするAzureサービス間で、資格情報(IDとシークレット)を管理する手間をなくすために設計された機能です。
- システム割り当ての場合、IDはAzure Functions自体に紐付けられ、そのライフサイクルもAzure Functionsに依存します。
- Azureは、このIDを自動的に作成し、Entra IDに登録します。
- 開発者は、IDの管理(シークレットキーのローテーションなど)について気にする必要がなくなります。
- このIDに、アクティビティログを読み取るための適切な権限(例:Azure リソースに対する「閲覧者」ロール)を割り当てるだけで済みます。
- これにより、「管理作業を最小限に抑える」という要件が完全に満たされます。
- D. 共有アクセス署名 (SAS): SASは、ストレージアカウントなどの特定のAzureリソースに、特定の期間と権限でアクセスするための署名付きURLです。これは主にストレージリソースへのアクセスを制御するために使用され、この質問のような、アクティビティログへのアクセスには適していません。また、SASトークンの管理とローテーションも必要です。
6.あなたは、1,000個のリソースを含む Azure サブスクリプションを持っています。そのサブスクリプションのコンプライアンスレポートを生成する必要があります。ソリューションは、リソースを部署ごとにグループ化できることを保証しなければなりません。リソースを整理するために何を使用すべきですか?
A. Azure Policy とタグ
B. アプリケーショングループとクォータ
C. リソースグループとロールの割り当て
D. 管理単位と Azure Lighthouse
解答
A. Azure Policy とタグ
✅
- Tagsを使えば、「部署」などの属性(例: Department=HR, Department=Finance)を各リソースに付けて分類できます。
- Azure Policyを使えば、タグの有無や値を強制・監査(コンプライアンスチェック)できます。
- つまり、タグでグループ化し、Azure Policyで準拠状況をチェックできるので、コンプライアンスレポートの出力にも最適です。
B. アプリケーショングループとクォータ❌
- これは主に Azure Virtual Desktop (AVD) に関係する用語で、タグやコンプライアンスとは無関係。
C. リソースグループとロールの割り当て❌
- リソースグループはリソースの物理的な整理には使えますが、1つのリソースは1つのリソースグループにしか入れられません。
- 部署の分類やレポートの生成には柔軟性が不足。
- ロール割り当てはアクセス制御であり、コンプライアンスレポートとは直接関係しません。
D. 管理単位と Azure Lighthouse❌
- これは複数のサブスクリプションを管理する大規模なマルチテナント運用向け。
- 単一サブスクリプション内での部署ごとのグルーピングには過剰で不適切。
7.Azure サブスクリプションをお持ちです。このサブスクリプションには、複数の BLOB を含む BLOB コンテナーがあります。貴社の財務部門の複数のユーザーが 4 月に BLOB にアクセスする予定です。4 月のみ BLOB へのアクセスを可能にするためのソリューションを提案する必要があります。提案に含めるべきセキュリティソリューションはどれですか?
A. 条件付きアクセスポリシー
B. 証明書
C. 共有アクセス署名(SAS)
D. アクセスキー
解答
この質問に対する正解は C. 共有アクセス署名(SAS) です。
解説:
質問の要件は、特定の期間(4月のみ)に、特定のユーザーグループ(財務部門の複数のユーザー)がBLOBにアクセスできるようにすることです。
- A. 条件付きアクセスポリシー: これは、Entra ID(旧称 Azure AD)の機能で、ユーザー、場所、デバイスなどの条件に基づいてアクセスを制御します。ただし、BLOBへのアクセスを特定の月(4月)に限定するような時間の制約を直接設定するには、別の方法と組み合わせる必要があります。また、このポリシーは通常、Entra ID認証を使用するリソースに適用されます。
- B. 証明書: 証明書は認証に使用できますが、特定の期間にアクセスを限定する目的には、複雑な設定が必要です。これは、このシナリオに最もシンプルで直接的な解決策ではありません。
- C. 共有アクセス署名(SAS): これが最も適したソリューションです。 SASは、ストレージアカウント内のリソース(この場合はBLOB)へのアクセスを、特定の期間、特定の権限(読み取り、書き込みなど)、および特定のプロトコル(HTTPSなど)で、安全に委任するための署名付きURIです。
- 期間の指定: SASを作成する際に、有効な開始時刻と終了時刻(例:4月1日~4月30日)を正確に設定できます。これにより、要件である「4月のみ」のアクセスを簡単に実現できます。
- 権限の指定: BLOBへの「読み取り」権限のみを付与するなど、きめ細かなアクセス制御が可能です。
- 共有: SASはURLとして共有できるため、財務部門の複数のユーザーに簡単に提供できます。
- D. アクセスキー: ストレージアカウントのアクセスキーは、ストレージアカウント全体へのフルアクセスを許可します。これは非常に強力な権限であり、特定の期間やユーザーに限定する目的には適していません。アクセスキーを共有することは、セキュリティ上のリスクが非常に高いため、推奨されません。
したがって、特定の期間にBLOBへのアクセスを許可するという要件を満たすための最も適切で安全なソリューションは、C. 共有アクセス署名(SAS) です。
8.あなたは、アプリケーションをホストするための仮想マシンのファミリとディスクの種類を設計しています。なお、アプリケーションの実行には、次の要件があります:
- SR-IOV をサポートすること
- ディスクの IOPS として 15,000 をサポートすること
- コストを最小限に抑えること
この要件を満たす適切なソリューションを、それぞれ以下の選択肢から選んでください。
[仮想マシンのファミリ]
- A
- DS
- NC
- NV
[ディスクの種類]
- Standard HDD
- Standard SSD
- Premium SSD
解答
この問題では、次の3つの要件を満たすように仮想マシンのファミリとディスクの種類を選ぶ必要があります:
✅【要件まとめ】
- SR-IOV をサポートすること
- ディスク IOPS が 15,000 必要
- コストを最小限に抑えること
◆ 仮想マシンのファミリの選択
選択肢:A / DS / NC / NV
ファミリ | 概要 | SR-IOV | コスト | 備考 |
A | 一般用途・低コスト | ❌(SR-IOV未対応) | ◎ 安い | NG |
DS | 汎用+Premiumディスク対応 | ✅(SR-IOV対応) | ○ 中程度 | ◎ 最適解 |
NC | GPU向け(計算処理) | ✅ | ✖ 高い | コスト的にNG |
NV | GPU向け(可視化) | ✅ | ✖ 高い | コスト的にNG |
🔎 結論(VMファミリ):DS シリーズ
- SR-IOV をサポートし、Premiumディスク対応、かつ汎用的でコストも許容範囲。
- AシリーズはSR-IOV非対応なので不可。
- NC/NVはGPU前提で高価すぎるため不適。
◆ ディスクの種類の選択
選択肢:Standard HDD / Standard SSD / Premium SSD
ディスク種類 | 最大 IOPS | 備考 |
Standard HDD | 数百〜最大 500 | ✖ IOPS不足 |
Standard SSD | 最大 6,000程度 | ✖ IOPS不足 |
Premium SSD | 最大 20,000以上(SKUによる) | ✅ 条件満たす |
🔎 結論(ディスク種類):Premium SSD
- 唯一 15,000 IOPS を超える性能を提供できる。
- 他は性能不足。
✅【最終解答】
- 仮想マシンのファミリ:DS
- ディスクの種類:Premium SSD
この組合せなら、SR-IOVサポート、15,000 IOPSの達成、そして性能対コストのバランスがとれた現実的な構成となります。
9.あなたは、Microsoft SQL Server を実行する仮想マシンのディスクのホストキャッシュを設計しています。
- この仮想マシンには、2つのデータディスクが追加されています:
- 最初のディスク:保存 データベースファイル
- 2番目のディスク:保存 トランザクションログファイル
A. なし(None)
B. 読み取り専用(Read-only)
C. 書き込み専用(Write-only)
D. 読み取り/書き込み(Read/Write)
データディスクの用途 | 最適なホストキャッシュ設定 |
データベースファイルを保存するディスク | ?(選択肢A〜Dから選ぶ) |
トランザクションログファイルを保存するディスク | ?(選択肢A〜Dから選ぶ) |
10.あなたは、Azure Key Vaultを使用してデータ暗号化キーを格納する複数のAzure App Service Webアプリを所有しています。いくつかの部署から、Webアプリをサポートするために以下のリクエストが寄せられています。各部署のリクエストに対して、どのサービスを推奨すべきでしょうか?
品質保証部門 (Quality Assurance Department) のリクエスト:
- テスト環境で、追加のWebアプリを作成および構成するために、一時的な管理者アクセスを受け取りたい。
選択肢:
A. Entra ID Privileged Identity Management
B. Azure Managed Identity
C. Entra ID Connect
D. Entra ID Identity Protection
解答
- A. Entra ID Privileged Identity Management (PIM)
- 機能: 組織のIDとリソースへのアクセスを管理、制御、監視するためのサービスです。特に「一時的な」アクセス許可を付与し、その期間を制限したり、承認ワークフローを設定したりする機能があります。管理者権限のような特権的なロールに対して、Just-In-Time(必要な時だけ)でアクセスを提供するために使用されます。
- リクエストとの整合性: 品質保証部門が求めている「一時的な管理者アクセス」に直接合致します。特定の期間だけ必要な権限を付与し、不正利用のリスクを最小限に抑えることができます。
- B. Azure Managed Identity
- 機能: Azureリソース(例: Webアプリ)がAzure Key Vaultのような他のAzureリソースに安全にアクセスするためのIDを提供します。このIDはAzureによって管理され、開発者が認証情報をコードに埋め込む必要がなくなります。
- リクエストとの整合性: これは「Webアプリ」が他のリソースにアクセスするためのIDであり、人間(品質保証部門の担当者)が管理者権限を得るためのサービスではありません。したがって、このリクエストには不適切です。
- C. Entra ID Connect
- 機能: オンプレミスのActive DirectoryをMicrosoft Entra ID(旧称 Azure AD)と同期させるためのツールです。オンプレミスのIDをクラウドに拡張するために使用されます。
- リクエストとの整合性: これはIDの同期に関するサービスであり、一時的な権限付与の機能はありません。リクエスト内容とは全く関係ありません。
- D. Entra ID Identity Protection
- 機能: Entra IDのIDに影響を与える可能性のある脆弱性を検出したり、リスクベースのポリシーに基づいて異常なサインインを検出・対応したりするサービスです。
- リクエストとの整合性: これはセキュリティリスクを検出・軽減するためのサービスであり、一時的な管理者権限を付与する機能はありません。リクエスト内容とは異なります。
11.あなたは、Azure Key Vault を使用してデータ暗号化キーを保存している複数の Azure App Service Web アプリを管理しています。複数の部門が、それぞれの Web アプリをサポートするために次のような要求を出しています。各部門の要求に対して、どのサービスを推奨すべきですか?
開発部門
- アプリケーションが Key Vault にアクセスして、コード内で使用するキーを取得できるようにしたい。
A. Entra ID Privileged Identity Management
B. Azure Managed Identity(マネージドID)
C. Entra ID Connect
D. Entra ID Identity Protection
解答:
Azure Managed Identity は、Azure リソース(この場合は App Service Web アプリ)に自動的に管理される ID を提供します。この ID を使用すると、Web アプリはコードに資格情報を埋め込むことなく、Azure Key Vault に対して安全に認証を行い、必要なキーを取得できます。Key Vault 側では、この Managed Identity に対してアクセス許可を設定することで、アプリケーションのキーアクセスを制御できるため、開発部門の「アプリケーションが Key Vault にアクセスしてキーを取得できるようにする」という要求に最適です。
他のオプションは不適切です。
- A. Entra ID Privileged Identity Management:特権アクセスの一時的な管理に使用され、アプリケーションのキーアクセスには関係しません。
- C. Entra ID Connect:オンプレミスの Active Directory と Entra ID を同期するためのサービスで、この場面には関係しません。
- D. Entra ID Identity Protection:ID 関連のリスクを検出・対応するサービスで、アプリケーションの Key Vault アクセスには直接関係しません。
12.Azure Key Vault を使用してデータ暗号化キーを格納する Azure App Service の Web アプリがいくつかあります。いくつかの部門から、これらの Web アプリをサポートするために以下のリクエストがありました。各部門のリクエストに対して、どのサービスを推奨すべきでしょうか?
セキュリティ部門
- 管理ロールのメンバーシップを確認し、ユーザーに継続的なメンバーシップの正当な理由を提供するよう要求する。
- 管理者割り当ての変更に関するアラートを受け取る。
- 管理者のアクティベーション履歴を確認する。
A. Entra ID Privileged Identity Management(PIM)
B. Azure Managed Identity
C. Entra ID Connect
D. Entra ID Identity Protection
解答
この問題の正解は A. Entra ID Privileged Identity Management です。
解説
問題文にあるセキュリティ部門からのリクエストは、すべて Azure Entra ID (旧 Azure Active Directory) の特権ロール管理に関わるものです。
- 「管理ロールのメンバーシップを確認し、ユーザーに継続的なメンバーシップの正当な理由を提供するよう要求する」
これは、定期的なアクセスレビューの機能に該当します。特権ロールのメンバーシップを定期的に見直し、正当性がなくなったメンバーを削除することで、セキュリティリスクを低減します。
- 「管理者割り当ての変更に関するアラートを受け取る」
特権ロールの割り当てが変更された際に通知を受け取る機能です。不審な変更を早期に発見するのに役立ちます。
- 「管理者のアクティベーション履歴を確認する」
Just-In-Time (JIT) アクセスが有効な場合、特権ロールを一時的にアクティブ化した履歴を追跡できます。これにより、誰が、いつ、どのくらいの期間、特権アクセスを行使したかを監査できます。
これらの機能はすべて Entra ID Privileged Identity Management (PIM) が提供する主要な機能です。
他の選択肢が不適切な理由
- B. Azure Managed Identity
これは、Azure サービスが Azure AD を利用して認証を行うためのIDです。アプリケーションがキーコンテナにアクセスする際に、資格情報をコードに埋め込む必要がなくなります。ユーザーの管理ロールとは直接関係ありません。
- C. Entra ID Connect
オンプレミスの Active Directory と Azure Entra ID を同期するためのツールです。ハイブリッド環境でユーザーIDを管理するために使用されますが、特権ロールの管理機能ではありません。
- D. Entra ID Identity Protection
ユーザーのサインインや振る舞いからリスクを検知し、多要素認証の強制やパスワードリセットを促すなどの対応を行うサービスです。特権ロールのメンバーシップ自体を管理する機能ではありません。
13.あなたは、Azure Storage アカウントを使用するアプリをデプロイする予定です。このストレージアカウントには、次の要件を満たす必要があります:
- 複数のユーザーのデータを保存すること
- 各ユーザーのデータを別々のキーで暗号化すること
- ストレージアカウント内のすべてのデータを、カスタマー管理キー(customer-managed key)を使って暗号化すること
どの2つのオプションをデプロイできますか?
A. 汎用 v2 ストレージアカウント内の BLOB
B. プレミアム ファイル共有ストレージアカウント内のファイル
C. Azure Data Lake Storage Gen2 アカウント内の BLOB
D. 汎用 v2 ストレージアカウント内のファイル
解答:
A C
- A. blobs in a general purpose v2 storage account
- 要件1 & 2: Blob ストレージは、多数のオブジェクト(ユーザーデータ)を保存でき、クライアントサイド暗号化と組み合わせることで個別のキーでの暗号化が可能です。
- 要件3: 汎用 v2 ストレージアカウントは、カスタマーマネージドキーを使用したサーバーサイド暗号化をサポートしています。
- 結論: この選択肢はすべての要件を満たします。
- B. files in a premium file share storage account
- Azure Filesもカスタマーマネージドキーをサポートしていますが、各ユーザーのデータを個別のキーで暗号化するという要件には適していません。ファイル共有は、通常、複数のユーザーが共有するファイルにアクセスするシナリオ向けであり、個別のユーザーデータを個別のキーで暗号化するアーキテクチャは一般的ではありません。
- C. blobs in an Azure Data Lake Storage Gen2 account
- 要件1 & 2: ADLS Gen2 は Blob ストレージを基盤としているため、これらの要件を満たします。
- 要件3: ADLS Gen2 もカスタマーマネージドキーを使用したサーバーサイド暗号化をサポートしています。
- 結論: この選択肢はすべての要件を満たします。
- D. files in a general purpose v2 storage account
- Bと同様に、Azure Filesでは個別のユーザーデータを個別のキーで暗号化するという要件に適合しません。
- したがって、すべての要件を満たすことができるのは、Blob ストレージを使用する A と、それを基盤とする ADLS Gen2 を使用する C です。
14.あなたは Azure ガバナンス ソリューションを設計しています。すべての Azure リソースは、以下の運用情報に基づいて容易に識別可能である必要があります。環境、所有者、部門、およびコストセンター。Azure リソースのレポートを生成する際に、この運用情報を使用できるようにする必要があります。ソリューションには何を含めるべきですか?
A. Azure REST API をデータ ソースとして使用する Azure データ カタログ
B. Microsoft Entra ID の管理単位
C. 親グループを使用して階層を作成する Azure 管理グループ
D. タグ付けルールを強制する Azure Policy
解答
この問題の正解は D. an Azure policy that enforces tagging rules です。
解説
問題文は、Azure リソースを以下の運用情報(環境、所有者、部門、コストセンター)に基づいて識別し、それらの情報を使ってレポートを生成できるようにすることを求めています。
この要件を満たすための最も効果的な Azure ガバナンスの仕組みは、タグです。
- タグは、リソース、リソースグループ、サブスクリプションに適用できるキーと値のペアです。このタグに「環境」「所有者」「部門」「コストセンター」といった情報を設定することで、リソースの分類と識別が可能になります。
- Azure Policy は、特定のルールや効果をリソースに適用するサービスです。この問題のシナリオでは、「すべての新しいリソースに特定のタグ(例:Environment、CostCenter)を付けることを義務付ける」というルールを定義し、それを強制するために Azure Policy を使用します。これにより、すべてのリソースに一貫してタグが適用されるようになります。
この仕組みを導入することで、以下のことが可能になります。
- 識別: リソースがどの環境、部門、コストセンターに属しているかを一目で識別できます。
- レポート: Azure Cost Management などのツールを使用して、タグ情報に基づいてコストレポートや使用状況レポートをフィルタリング、グループ化、分析できます。
他の選択肢が不適切な理由
- A. an Azure data catalog that uses the Azure REST API as a data source
- Azure データ カタログは、組織内のデータ資産を発見、理解、管理するためのメタデータ管理サービスです。リソースの運用情報を管理する目的には適していません。
- B. Microsoft Entra ID administrative units
- Microsoft Entra ID の管理単位は、Entra ID のリソース(ユーザー、グループなど)を管理するためのコンテナです。Azure リソース自体を管理するためのものではありません。
- C. an Azure management group that uses parent groups to create a hierarchy
- 管理グループは、サブスクリプションの階層化とガバナンス(PolicyやRBACの適用)を大規模に管理するために使用されます。タグ付けポリシーの適用範囲を設定するのには使えますが、直接的にリソースに運用情報を付与するメカニズムではありません。タグ付けルールを強制する Azure Policy と組み合わせて使うのが一般的です。単体では問題の要件を満たせません。
15.あなたは contoso.com という Entra ID テナントを所有しており、その中に Group1 という名前のセキュリティグループがあります。Group1 は割り当てられたメンバーシップで構成されています。Group1 には、20 人のゲストユーザーを含む 50 人のメンバーがいます。あなたは、Group1 のメンバーシップを評価するためのソリューションを推奨する必要があります。そのソリューションは、以下の要件を満たさなければなりません。
- 評価は3か月ごとに自動的に繰り返される必要がある。
- すべてのメンバーは、Group1 にいる必要があるかどうかを報告できなければならない。
- Group1 にいる必要がないと報告したユーザーは、Group1 から自動的に削除される必要がある。
- Group1 にいる必要があるかどうかを報告しなかったユーザーは、Group1 から自動的に削除される必要がある。
推奨されるソリューションには、何を含めるべきですか?
A. Group1 のメンバーシップ タイプを動的ユーザーに変更する。
B. Entra ID Identity Protection を実装する。
C. Entra ID Privileged Identity Management (PIM) を実装する。
D. アクセス レビューを作成する。
解説
この問題の正解は D. Create an access review です。
解説
問題文のすべての要件は、Entra ID (旧 Azure Active Directory) のアクセスレビュー機能によって直接的に満たされます。
- 「評価は3か月ごとに自動的に繰り返される必要がある」
- アクセスレビューでは、レビューを定期的に実行するようにスケジュール設定できます。問題文にある「3か月ごと」という頻度も設定可能です。
- 「すべてのメンバーは、Group1 にいる必要があるかどうかを報告できなければならない」
- アクセスレビューの主な目的は、メンバー自身、または管理者やグループ所有者が、そのメンバーシップがまだ必要かどうかをレビューできるようにすることです。レビュー担当者として「自分自身(セルフレビュー)」を設定することができます。
- 「Group1 にいる必要がないと報告したユーザーは、Group1 から自動的に削除される必要がある」
- アクセスレビューの完了設定では、「アクセス拒否の決定を適用する」というオプションがあります。これにより、レビューでアクセスが不要と判断されたユーザーは、レビューが終了した後に自動的にグループから削除されます。
- 「Group1 にいる必要があるかどうかを報告しなかったユーザーは、Group1 から自動的に削除される必要がある」
- これもアクセスレビューの機能です。レビュー担当者が指定された期間内にレビューを完了しなかった場合、そのメンバーをグループから自動的に削除するように設定できます。
他の選択肢が不適切な理由
- A. Change the Membership type of Group1 to Dynamic User.
- 動的グループは、ユーザーの属性(例: 部署、国、役職)に基づいてメンバーシップを自動的に更新する機能です。特定の期間(3か月ごと)に手動でのレビューと削除を行うという要件には適していません。
- B. Implement Entra ID Identity Protection.
- Entra ID Identity Protection は、ユーザーのサインイン動作や認証情報のリスクを検知し、多要素認証の要求やパスワードリセットを強制するなどの対応を自動化するセキュリティ機能です。グループのメンバーシップの定期的なレビューとは目的が異なります。
- C. Implement Entra ID Privileged Identity Management (PIM).
- PIM は、特権ロールや特権グループへのアクセスを Just-In-Time (JIT) で付与したり、アクセスを承認制にしたりするサービスです。特権ロールのメンバーシップを管理するのに非常に強力なツールですが、この問題は「特権」グループに限定しておらず、一般的なセキュリティグループのメンバーシップ評価を求めています。アクセスレビューは PIM の機能の一部でもありますが、この問題の最も直接的な解決策は「アクセスレビューの作成」そのものです。
16.あなたは Azure サブスクリプションを所有しています。以下のものを含む監視ソリューションをデプロイする予定です。
- Azure Monitor Network Insights
- Application Insights
- Microsoft Sentinel
- VM insights
この監視ソリューションは、単一のチームによって管理されます。必要な Azure Monitor Log Analytics ワークスペースの最小数はいくつですか?
A. 1
B. 2
C. 3
D. 4
解答
この問題の正解は A. 1 です。
解説
問題文の要件を整理しましょう。
- 監視ソリューションに含めるサービス:
- Azure Monitor Network Insights
- Application Insights
- Microsoft Sentinel
- VM insights
- 管理体制:
- 単一のチームによって管理される。
- 求められていること:
- 必要な Azure Monitor Log Analytics ワークスペースの最小数
Azure Monitor Log Analytics ワークスペースは、Azure Monitor のログ データとメトリック データを収集、集約、保存するためのコンテナです。多くの Azure 監視サービスやソリューションは、データをこのワークスペースに送信します。
- Azure Monitor Network Insights: ネットワークの監視データは Log Analytics ワークスペースに保存されます。
- Application Insights: アプリケーションのテレメトリデータは、通常、専用の Application Insights リソースに収集されますが、最新のワークスペースベースの Application Insights では、データをLog Analytics ワークスペースに直接保存します。これにより、他の監視データと統合されたクエリが可能になります。
- Microsoft Sentinel: Sentinel は、Log Analytics ワークスペースをそのバックエンドとして使用します。Sentinel をデプロイするには、既存のLog Analytics ワークスペースを選択するか、新しいワークスペースを作成する必要があります。
- VM insights: 仮想マシンのパフォーマンスデータや依存関係データは、Log Analytics ワークスペースに送信されます。
これらのサービスはすべて、同じ Log Analytics ワークスペースにデータを送信して統合することができます。問題文では「単一のチームによって管理される」とあり、これは中央集約型の監視ソリューションを意味します。複数のワークスペースをデプロイする必要はありません。
したがって、すべての監視データを一元管理するために必要な Log Analytics ワークスペースの最小数は 1 です。これにより、コスト効率を高め、管理を簡素化し、すべてのデータにわたって統合されたクエリや分析を実行できます。
17.あなたはAzureのサブスクリプションを持っています。リレーショナルデータベースをデプロイする必要があります。そのソリューションは以下の要件を満たす必要があります。
- 複数の読み取り専用レプリカをサポートすること。
- 読み取り専用リクエストを、すべての読み取り専用レプリカにまたがって自動的に負荷分散すること。
- 管理作業を最小限に抑えること。
何を使用すべきですか?
A. 単一のAzure SQLデータベース
B. Azure SQLデータベースエラスティックプール
C. Azure SQL Managed Instances
サービス ティア:
A. ビジネスクリティカル
B. ハイパースケール
C. プレミアム
解答
A B
解説1:
- 要件1(複数の読み取り専用レプリカをサポート):Azure SQLデータベースのHyperscale層では、最大10個の読み取り専用レプリカを構成でき、General Purpose層でも1つの読み取りレプリカをサポートします。
- 要件2(読み取りリクエストの自動負荷分散):Azure SQLデータベースは、接続文字列にApplicationIntent=ReadOnlyを指定することで、読み取りリクエストを自動的にすべての読み取り専用レプリカに分散させる機能(Read Scale-Out)を備えています。
- 要件3(管理作業の最小化):Azure SQLデータベースは完全なPaaSサービスであり、インフラ管理、バックアップ、パッチ適用などは自動で実行されるため、運用負荷が最小限に抑えられます。
他のオプションについて:
- B(エラスティックプール)は複数のデータベースのリソース共有を最適化するもので、読み取りレプリカの負荷分散に特化していません。
- C(SQL Managed Instance)はレプリカをサポートしますが、自動的な読み取り負荷分散には追加の設定が必要で、管理作業が増える傾向があります。
解説2:Azure SQL データベースの「ハイパースケール」層は、特に大量の読み取り負荷に対応するために設計されており、最大で 10 個の読み取り専用レプリカをサポートします。また、読み取りリクエストを自動的に複数のレプリカに分散させる機能を持っており、管理作業も最小限に抑えられる PaaS の特性を備えています。
他のオプションについて:
- A(ビジネスクリティカル)は高可用性と低遅延を重視する層ですが、読み取りレプリカの数に制限があり、自動的な負荷分散に特化していません。
- C(プレミアム)は主に高性能なトランザクション処理に最適化されており、複数の読み取りレプリカをサポートする仕組みはハイパースケール層に比べて限定的です。
18.貴社には、次の表に示す部署があります。
部署(Division) | Azureサブスクリプション(Azure Subscription) | Entra IDテナント(Entra ID Tenant) |
東部(East) | Sub1 | |
西部(West) | Sub2 |
Sub1 には「App1」という名前の Azure App Service ウェブアプリが含まれています。App1 は、シングルテナントのユーザー認証に Entra ID を使用します。現在、
devopshub.com のユーザーは App1 に対して認証できます。あなたの任務は、
techwithjaspal.com テナントのユーザーが App1 に認証できるようにするためのソリューションを推奨することです。どのアクションを推奨すべきでしょうか?選択肢:
A. Entra ID プロビジョニングサービスを構成する。
B. Entra ID 参加(Entra ID join)を構成する。
C. アプリケーション登録で「サポートされるアカウントの種類(Supported account types)」を構成し、サインインエンドポイントを更新する。
D. Entra ID パススルー認証(Entra ID pass-through authentication)を有効にし、サインインエンドポイントを更新する。
解答
解答は C です。
解説:App1 は現在、「devopshub.com」テナントのユーザーのみが認証できるシングルテナント構成となっています。「techwithjaspal.com」テナントのユーザーも認証できるようにするには、アプリケーション登録の「サポートされるアカウントの種類」を変更する必要があります。具体的には、「任意の組織の Entra ID テナント内のアカウント」に設定することで、複数のテナントからのユーザー認証を許可できます。これに伴い、サインインエンドポイントも更新する必要があります。
他のオプションについて:
- A(Entra ID プロビジョニングサービス)は主にユーザーアカウントの自動プロビジョニングに使用され、複数テナントの認証設定には関係しません。
- B(Entra ID 参加)はデバイスを Entra ID に参加させるための設定で、アプリケーションへの多テナント認証には適用されません。
- D(Entra ID パススルー認証)はオンプレミスの Active Directory と Entra ID を統合するための機能で、異なるテナント間の認証を許可するものではありません。
19.あなたは、Ubuntu を実行する Azure 仮想マシンにホストされるアプリを設計しています。このアプリは、ユーザーにメールを送信するためにサードパーティのメールサービスを使用します。サードパーティのメールサービスは、アプリが API キーを使用して認証することを要求します。あなたは、API キーを格納しアクセスするための Azure Key Vault ソリューションを推奨する必要があります。このソリューションは管理作業を最小限に抑えなければなりません。キーを格納しアクセスするために何を使用することを推奨すべきですか?
ストレージ:
A. 証明書
B. キー
C. シークレット
解答
C
Azure Key Vault において、API キーのような機微なデータを格納するための最適なオプションは「シークレット(Secret)」です。シークレットは、パスワード、接続文字列、API キーなどを安全に保存するために設計されており、キーの生成、ローテーション、アクセス制御が容易に行えます。これにより、管理作業を最小限に抑えつつ、セキュリティを確保できます。
他のオプションについて:
- A(証明書)は TLS/SSL 証明書の管理に特化しており、API キーの格納には適していません。
- B(キー)は暗号化キーの管理に使用され、API キーのような単なる機微な文字列の格納にはシークレットが適切です。
20.あなたは、複数の Azure App Service Web アプリを持っており、これらは Azure Key Vault を使用してデータ暗号化キーを保存しています。複数の部門が、Web アプリをサポートするために以下の要求を出しています。各部門の要求に対して、どのサービスを推奨すべきですか?
セキュリティ部門
- 管理者ロールのメンバーシップを確認し、継続的なメンバーシップのための正当な理由をユーザーに求める。
- 管理者の割り当て変更についてアラートを受け取る。
- 管理者のアクティベーション履歴を確認する。
A. Entra ID Privileged Identity Management
B. Azure Managed Identity
C. Entra ID Connect
D. Entra ID Identity Protection
解答
この問題の要点は、セキュリティ部門の要求に合った Azure / Microsoft Entra の機能を選ぶことです。
問題文の要求を整理すると
- 管理者ロールのメンバーシップを定期的に確認
- 継続利用のための正当性(理由)をユーザーに要求
- 管理者割り当ての変更をアラートで通知
- 管理者アクティベーションの履歴を確認
選択肢の確認
A. Entra ID Privileged Identity Management (PIM)
・管理者ロールの一時的割り当て(Just-in-Timeアクセス)
・ロール継続の正当性要求
・割り当て変更のアラート通知
・アクティベーション履歴の確認
→ 要求にすべて該当
B. Azure Managed Identity
・Azure リソースに対して認証情報なしでアクセスするためのサービスID
・管理者ロール監査や履歴確認は不可
→ 不適合
C. Entra ID Connect
・オンプレADとEntra ID(旧Azure AD)の同期サービス
・ロールやアクティベーション管理は行わない
→ 不適合
D. Entra ID Identity Protection
・リスクベースの条件付きアクセスやIDの侵害検知
・役割の正当性要求や履歴管理は行わない
→ 不適合
結論
正しい答えは A. Entra ID Privileged Identity Management
理由:ロールの管理、正当性要求、アクティベーション履歴確認など、問題文の要件をすべて満たす唯一の選択肢だから。
21.Azure Storage アカウントを使用するアプリをデプロイする予定です。ストレージアカウントをデプロイする必要があります。ストレージ アカウントは次の要件を満たす必要があります。
- 複数ユーザーのデータを保存すること。
- 各ユーザーのデータを別々のキーで暗号化すること。
- ストレージ アカウント内のすべてのデータを、カスタマー管理キー(Customer-managed keys)を使用して暗号化すること。
この場合、どの 2 つのオプションをデプロイできますか?
A. 汎用 v2 ストレージ アカウントの BLOB
B. Premium ファイル共有ストレージ アカウントのファイル
C. Azure Data Lake Storage Gen2 アカウントの BLOB
D. 汎用 v2 ストレージ アカウントのファイル
解答
正解は A と C です。
理由
- 汎用 v2 ストレージ アカウントの BLOB と Azure Data Lake Storage Gen2 の BLOB は、複数ユーザーのデータ保存、ユーザーごとの個別キーによる暗号化、カスタマー管理キー(CMK)による暗号化をサポートします。
- Premium ファイル共有(B)や汎用 v2 のファイル共有(D)は、要件の「ユーザーごとの個別キー暗号化」や「CMK対応」に制限があり、このケースには適しません。
22.あなたは Azure ガバナンス ソリューションを設計しています。 すべての Azure リソースは、以下の運用情報に基づいて容易に識別できる必要があります: 環境、所有者、部門、コストセンター。 Azure リソースのレポートを生成する際に、この運用情報を使用できるようにする必要があります。このソリューションに何を含めるべきですか?
A. Azure REST API をデータソースとして使用する Azure データカタログ
B. Microsoft Entra ID 管理単位
C. 親グループを使用して階層を作成する Azure 管理グループ
D. タグ付けルールを適用する Azure ポリシー
解答
答えは D
解説
問題では、すべての Azure リソースが環境、所有者、部門、コストセンターといった運用情報に基づいて識別できる必要があります。
このような情報は通常「タグ(Tag)」を使って管理します。
すべてのリソースに必ず必要なタグを付与させるためには、Azure Policy を使用してタグ付けルールを強制するのが最適です。
これにより、リソースの作成や更新時に正しいタグが追加され、運用レポートでも活用できます。
23.あなたは10個のWebアプリを含むAzureサブスクリプションを所有しています。これらのアプリはEntra IDと統合されており、さまざまなプロジェクトチームのユーザーによってアクセスされます。ユーザーは頻繁にプロジェクト間を移動します。あなたは、これらのWebアプリのためのアクセス管理ソリューションを推奨する必要があります。そのソリューションは、以下の要件を満たす必要があります。
- ユーザーは、現在割り当てられているプロジェクトのアプリにのみアクセスできなければなりません。
- プロジェクトマネージャーは、自分のプロジェクトのアプリにどのユーザーがアクセスできるかを確認し、もはやプロジェクトに割り当てられていないユーザーを削除できなければなりません。
- 30日ごとに一度、プロジェクトマネージャーは、どのユーザーが自分のプロジェクトに割り当てられているかを自動的に確認するよう促される必要があります。
推奨に何を含めるべきですか?
A. Entra ID Identity Protection
B. Microsoft Defender for Identity
C. Microsoft Entra Permissions Management
D. Entra ID Identity Governance
解答
正解は D. Entra ID Identity Governance です。
解説
正解は D. Entra ID Identity Governance です。
解説
この問題で要求されているのは、ユーザーのプロジェクト異動に伴うWebアプリへのアクセス権を、プロジェクトマネージャーが定期的(30日ごと)に自動でレビュー(確認・棚卸し)し、不要なアクセス権を削除する仕組みです。
これらの要件を解決するために設計されているのが Entra ID Identity Governance です。
- アクセスレビュー (Access Reviews): これはEntra ID Identity Governanceの中核機能です。特定のアプリケーションやグループへのアクセス権を持つユーザーのリストを、指定されたレビュー担当者(この場合はプロジェクトマネージャー)に定期的に提示し、アクセスを継続させるか、拒否(削除)するかを判断させることができます。レビューの頻度(例:30日ごと)も自動化できます。これは問題の要件2と3に完全に一致します。
- エンタイトルメント管理 (Entitlement Management): この機能を使えば、プロジェクトごとに必要なアクセス権(アプリのロールなど)を「アクセパッケージ」としてまとめることができます。ユーザーはプロジェクトに参加する際にこのパッケージを要求し、承認されるとアクセス権が付与されます。プロジェクトから離れる際にアクセス権が自動的に失効するように設定することも可能で、要件1(最小権限の原則)の実現に役立ちます。
- A. Entra ID Identity Protection: サインインリスクやユーザーリスク(例:漏洩した資格情報、異常な場所からのアクセス)を検出し、自動的に対処(MFA要求やパスワードリセットなど)するための機能です。アクセス権の棚卸しやライフサイクル管理は目的としていません。
- B. Microsoft Defender for Identity: オンプレミスのActive Directoryに対する脅威や侵害を検知するためのセキュリティソリューションです。アクセスレビュー機能は提供しません。
- C. Microsoft Entra Permissions Management: Azure, AWS, GCPといったマルチクラウド環境全体のアクセス許可を管理・最適化するためのCIEM(Cloud Infrastructure Entitlement Management)ソリューションです。より広範なクラウドインフラの権限管理に焦点を当てており、このシナリオで求められる「アプリケーション利用者の定期的なレビュー」という特定の要件には、アクセスレビュー機能を持つIdentity Governanceがより直接的な答えとなります。
24.50個のAzure SQLデータベースを含むAzureサブスクリプションがあります。Transparent Data Encryption (TDE)を有効にする「Template1」というAzure Resource Manager (ARM)テンプレートを作成します。コンプライアンスに準拠していないすべてのAzure SQLデータベースに対して、Template1を使用してTDEを有効にする「Policy1」というAzureポリシー定義を作成する必要があります。Policy1をどのように構成すべきですか?
利用可能な効果を以下に設定します:
A. DeployIfNotExists (存在しない場合にデプロイ)
B. EnforceRegoPolicy (Regoポリシーを適用)
C. Modify (変更)
解答
質問に対する答えは「A. DeployIfNotExists」です。
以下に理由を説明します。
Azure Policyにおいて、既存のリソースがポリシーに準拠していない場合に、そのリソースを変更または作成するには、
DeployIfNotExistsという効果を使用します。この場合、コンプライアンスに準拠していない(TDEが無効になっている)Azure SQLデータベースに対して、ARMテンプレート(Template1)を使ってTDEを有効にする(デプロイする)必要があるため、この効果が最も適しています。- A. DeployIfNotExists:リソースがポリシーに準拠していないと評価された場合、指定されたARMテンプレートをデプロイします。今回のケースのように、TDEを有効にするテンプレートを適用するのに最適です。
- B. EnforceRegoPolicy:これはAzure Policyの標準的な効果ではありません。これは、Open Policy Agent (OPA)などのツールで使用されるポリシー言語であるRegoに関連するものです。
- C. Modify:この効果は、リソースが作成または更新される際に、そのリソースのタグや特定のプロパティを変更するために使用されます。今回のケースのように、リソース全体をデプロイし、設定を変更するのには適していません。
25.50個のAzure SQLデータベースを含むAzureサブスクリプションがあります。Transparent Data Encryption (TDE)を有効にする「Template1」というAzure Resource Manager (ARM)テンプレートを作成します。コンプライアンスに準拠していないすべてのAzure SQLデータベースに対して、Template1を使用してTDEを有効にする「Policy1」というAzureポリシー定義を作成する必要があります。Policy1をどのように構成すべきですか?
定義に含めるべきもの:
A. 修復タスクを実行するために必要なID
B. ポリシー割り当てのスコープ
C. 修復タスクを実行するために必要なロールベースのアクセス制御 (RBAC) ロール
解答
Azure Policyにおいて、DeployIfNotExists(存在しない場合にデプロイ)のように、コンプライアンス違反のリソースを自動的に修復するポリシーを作成する場合、そのポリシー定義に「マネージドID」を含める必要があります。このマネージドIDが、修復タスク(この場合はTDEを有効にすること)を実行するための権限を持つことになります。
- A. 修復タスクを実行するために必要なID:これが正解です。DeployIfNotExistsのようなポリシーは、修復タスクを実行するために、ポリシー定義内で「ID」を指定する必要があります。このIDに適切なRBACロールを割り当てることで、ポリシーがリソースを変更する権限を持ちます。
- B. ポリシー割り当てのスコープ:スコープ(適用範囲)は、ポリシー定義自体に含まれるものではなく、ポリシーをどのリソースグループ、サブスクリプション、または管理グループに「割り当てる」かを指定する際に設定するものです。
- C. 修復タスクを実行するために必要なロールベースのアクセス制御 (RBAC) ロール:これらのRBACロールは、ポリシー定義に直接含めるものではありません。Aで指定された「ID(マネージドID)」に対して、これらのロールを割り当てることで、修復タスクを実行する権限を付与します。したがって、定義に含めるべきはIDそのものです。
26.大量の頻繁に使用されるデータを保存するアプリのためのストレージソリューションを設計する必要があります。ソリューションは以下の要件を満たす必要があります。
- データスループットを最大化する。
- データを1年間変更できないようにする。
- 読み取りおよび書き込み操作の待ち時間を最小化する。
どのAzureストレージアカウントの種類とストレージサービスを推奨すべきですか?
ストレージアカウントの種類:
A. BlobStorage
B. BlockBlobStorage
C. FileStorage
D. StorageV2 with Premium performance
E. StorageV2 with Standard performance
解答
ご要望の「データスループットを最大化」「1年間データを変更できない」「読み書きのレイテンシを最小化」という3点を満たすには、以下のように判断します。
1.
- A. BlobStorage
旧タイプでパフォーマンスに限界があり、高スループット・低レイテンシには不向き。
- C. FileStorage
SMB共有ファイル用途で、頻繁に大量にアクセスされるオブジェクトストレージには不向き。
- E. StorageV2(Standard)
Standardパフォーマンスではスループットもレイテンシも不足。
2.
- B. BlockBlobStorage
Premium層の Block Blob専用 アカウント。高スループット・低レイテンシに最適化されており、Immutable Blobポリシー(1年間不変)もサポート。
- D. StorageV2(Premium)
Premium層でも Page Blob がメインで、仮想ディスク用途。Block Blob向きの高スループット・低レイテンシには不向き。
3. 結論
すべての要件を満たすのは BlockBlobStorage(B) です。
推奨:B. BlockBlobStorage
27.大容量で頻繁に使用されるデータを保存するアプリのストレージ ソリューションを設計する必要があります。このソリューションは、次の要件を満たす必要があります。
- データ スループットを最大化する。
- データの変更を1年間防止する。
- 読み取りおよび書き込み操作の待ち時間を最小限に抑える。
どのAzureストレージアカウントの種類とストレージサービスを推奨しますか?
ストレージサービス:
A. Blob
B. File
C. Table
解答
A
この問題の要件を満たすAzureストレージソリューションは、Blobストレージです。
理由:
- 高スループットと低レイテンシー: Blobストレージは、大規模なデータセットへの高速なアクセスと高スループットを実現するように設計されています。これは、頻繁に使用される大量のデータを扱う場合に理想的です。
- データ変更の防止: Blobストレージには、不変性ポリシー(Immutable policy)を設定できます。これにより、特定の期間(この問題では1年間)データを変更または削除できないようにロックできます。これは、データの変更を1年間防止するという要件を直接満たします。
- コスト効率: 大量のデータを保存する場合、Blobストレージは非常にコスト効率が良い選択肢です。
FileとTableは、この要件には合いません。
- File: Fileは共有ファイルに最適であり、高スループットと不変性ポリシーの要件には適していません。
- Table: Tableは非リレーショナル構造化データを格納するために使用されますが、この問題で言及されている「大量の頻繁に使用されるデータ」には通常、非構造化データや半構造化データが含まれるため、最適な選択肢ではありません。また、不変性ポリシーも提供されません。
28.50,000台のIoTデバイスを含むAzure IoT Hubソリューションを計画しています。各デバイスは、温度、デバイスID、時間データを含むデータをストリーミングします。約50,000レコードが毎秒書き込まれます。データはほぼリアルタイムで視覚化されます。データを保存およびクエリするためのサービスを推奨する必要があります。どの2つのサービスを推奨できますか?
A. Azure Table Storage
B. Azure Event Grid
C. Azure Cosmos DB SQL API
D. Azure Time Series Insights
解答
この問題の要件を満たす2つのサービスは、Azure Cosmos DB SQL APIとAzure Time Series Insightsです。
理由:
- Azure Cosmos DB SQL API:
- 高スループット: Cosmos DBは、1秒あたり数百万件のリクエストを処理できる、グローバルに分散されたマルチモデルデータベースサービスです。毎秒50,000件のレコードという要件に十分対応できます。
- 低レイテンシー: 読み取りと書き込みの両方で、1桁ミリ秒のレイテンシーを実現するように設計されており、ニアリアルタイムのデータ視覚化の要件に適しています。
- クエリ機能: SQL APIを使用すると、JSON形式のドキュメントデータを柔軟にクエリできます。IoTデータは通常、半構造化されているため、この機能は非常に有用です。
- Azure Time Series Insights:
- 時系列データに特化: Time Series Insightsは、IoTデバイスから生成される時系列データを分析・視覚化するために最適化されたサービスです。温度や時間データを含むIoTデータにまさに適しています。
- ニアリアルタイム視覚化: ストリーミングデータをほぼリアルタイムで視覚化するための機能が組み込まれています。
- 大規模なデータ処理: 大量の時系列データを効率的に保存し、クエリできるように設計されています。
他の選択肢が適切でない理由:
- Azure Table Storage:
- 大規模な非リレーショナルデータを格納できますが、毎秒50,000件の書き込みという非常に高いスループット要件と、ニアリアルタイムの視覚化要件には最適な選択肢ではありません。特に、データのクエリ機能は限定的です。
- Azure Event Grid:
- Event Gridは、イベントルーティングサービスであり、ストレージサービスではありません。イベントをトリガーし、他のサービスにイベントを配信する役割を果たしますが、データを保存してクエリする機能は持っていません。
したがって、データを保存してクエリし、ニアリアルタイムで視覚化するという要件を最もよく満たすのは、Azure Cosmos DB SQL APIとAzure Time Series Insightsです。
29. App1というアプリケーションがあり、オンプレミスのMicrosoft SQL ServerデータベースであるDB1とDB2を使用しています。あなたはDB1とDB2をAzureに移行する計画を立てています。DB1とDB2をホストするためのAzureソリューションを推奨する必要があります。ソリューションは以下の要件を満たさなければなりません。
- DB1とDB2にまたがるサーバー側トランザクションをサポートする。
- ソリューションを更新するための管理作業を最小限に抑える。
何を推奨すべきですか?
A. Azure仮想マシンの同じSQL Serverインスタンス上の2つのデータベース
B. エラスティックプール内の2つのAzure SQLデータベース
C. 異なるAzure SQLデータベースサーバー上の2つのAzure SQLデータベース
D. 同じAzure SQL Managed Instance上の2つのデータベース
解答
Q21の要件は以下の2点です。
- DB1とDB2にまたがるサーバー側のトランザクションをサポートすること。
- 管理作業を最小限に抑えること。
それでは、各選択肢を検討してみましょう。
- A. Azure仮想マシンの同じSQL Serverインスタンス上の2つのデータベース:
- この構成では、2つのデータベースは同じSQL Serverインスタンス上に存在するため、クロスデータベーストランザクションはサポートされます。
- しかし、これは事実上、オンプレミスのセットアップをAzureに移行するだけです。仮想マシンの管理(OSのパッチ適用、バックアップ、スケーリングなど)はユーザーが行う必要があり、管理作業が最小限とは言えません。
- B. エラスティックプール内の2つのAzure SQLデータベース:
- エラスティックプールは、複数のAzure SQLデータベース間でリソースを共有するために設計されていますが、同一サーバー上にあるわけではありません。Azure SQL Databaseは、クロスデータベーストランザクションをサポートしません。
- C. 異なるAzure SQLデータベースサーバー上の2つのAzure SQLデータベース:
- この構成では、データベースが異なるサーバー上にあるため、クロスデータベーストランザクションはサポートされません。
- D. 同じAzure SQL Managed Instance上の2つのデータベース:
- Azure SQL Managed Instanceは、オンプレミスのSQL Serverと高い互換性を持つサービスです。オンプレミスのSQL Serverと同様に、同一インスタンス内の複数のデータベース間でクロスデータベーストランザクションをサポートします。
- また、PaaS (Platform as a Service) であるため、基盤となるOSやハードウェアの管理はMicrosoftが行います。これにより、管理作業を大幅に削減できます。これは、2番目の要件「管理作業を最小限に抑える」を満たします。
したがって、両方の要件(クロスデータベーストランザクションのサポートと管理作業の最小化)を満たすのは、Dの「同じAzure SQL Managed Instance上の2つのデータベース」です。
正解は D です。
30.あなたはオンプレミスのデータベースをAzureに移行する計画を立てています。以下の要件を満たすデータベースアーキテクチャを設計する必要があります。
- スケールアップおよびスケールダウンをサポートする。
- 地理冗長バックアップをサポートする。
- 最大75TBのデータベースをサポートする。
- オンライントランザクション処理(OLTP)に最適化されている。
設計に何を含めるべきですか?
サービス:
A. Azure SQL Database
B. Azure SQL Managed Instance
C. Azure Synapse Analytics
D. SQL Server on Azure Virtual Machines
解答
正解は A です。
要件は以下の通りです。
- スケールアップおよびスケールダウンをサポートする。
- 地理冗長バックアップをサポートする。
- 最大75TBのデータベースをサポートする。
- オンライントランザクション処理(OLTP)に最適化されている。
それでは、各選択肢を検討してみましょう。
- A. Azure SQL Database:
- このサービスはOLTPワークロード向けに設計されており、スケールアップ/ダウンや地理冗長バックアップをサポートします。しかし、単一データベースの最大サイズは通常4TB(一部のハイパースケール構成では最大100TB)です。75TBの要件を満たすには、ハイパースケールという特定のサービス層を選択する必要があります。
- B. Azure SQL Managed Instance:
- このサービスもOLTPワークロード向けであり、スケールアップ/ダウンや地理冗長バックアップをサポートします。しかし、データベースの最大サイズは通常8TBです。75TBの要件を満たすことはできません。
- C. Azure Synapse Analytics:
- これは主にデータウェアハウスと分析(OLAP)ワークロード向けに設計されており、OLTPには適していません。
- D. SQL Server on Azure Virtual Machines:
- この構成では、最大75TBのデータベースをサポートできますが、スケールアップ/ダウンや地理冗長バックアップは手動で構成する必要があります。これはPaaS(Platform as a Service)のような組み込みの管理機能とは異なり、管理作業が複雑になります。また、VMのディスクサイズにも依存します。この選択肢は要件を満たす可能性がありますが、他のサービスと比較して管理の負担が大きい場合があります。
これらの選択肢の中で、すべての要件を最も適切に満たすのは、Azure SQL Databaseのハイパースケールサービス層です。ハイパースケールは、以下の特徴を持っています。
- 75TBを超えるデータベースサイズをサポート(最大100TB)。
- オンライントランザクション処理(OLTP)ワークロードに最適化されている。
- ほぼ瞬時のスケーリング機能。
- 組み込みのバックアップ機能。
したがって、この設計要件を最もよく満たすサービスはAzure SQL Databaseですが、特にハイパースケールサービス層を選択することが前提となります。選択肢の中では、Aが最も適切です。
31.あなたはオンプレミスのデータベースをAzureに移行する計画を立てています。以下の要件を満たすデータベースアーキテクチャを設計する必要があります。
- スケールアップおよびスケールダウンをサポートする。
- 地理冗長バックアップをサポートする。
- 最大75TBのデータベースをサポートする。
- オンライントランザクション処理(OLTP)に最適化されている。
設計に何を含めるべきですか?
サービスティア:
A. Basic
B. Business Critical
C. General Purpose
D. Hyperscale
E. Premium
F. Standard
解答
D
- A. Basic:
- データベースサイズが最大2GBに制限されており、75TBの要件を満たせません。
- B. Business Critical:
- 高速なパフォーマンスと可用性を提供しますが、最大サイズは4TBです(一部の構成では最大30TB)。75TBの要件を満たせません。
- C. General Purpose:
- コストとパフォーマンスのバランスが取れた汎用的なティアですが、最大サイズは4TBです。75TBの要件を満たせません。
- D. Hyperscale:
- このティアは、非常に大規模なデータベース向けに設計されています。最大100TBのデータベースサイズをサポートし、ほぼ瞬時のスケーリングが可能です。また、OLTPワークロードに最適化されており、地理冗長バックアップもサポートします。すべての要件を満たします。
- E. Premium:
- 以前のモデルで高性能なティアとして提供されていましたが、vCoreモデルのBusiness Criticalに相当します。最大サイズは4TBです。75TBの要件を満たせません。
- F. Standard:
- 以前のモデルで汎用的なティアとして提供されていましたが、vCoreモデルのGeneral Purposeに相当します。最大サイズは1TBです。75TBの要件を満たせません。
32.あなたはストレージアカウントを含むAzureサブスクリプションを持っています。アプリケーションが時々、重複するファイルをストレージアカウントに書き込みます。重複ファイルを識別して削除するPowerShellスクリプトがあります。現在、このスクリプトは運用マネージャーの承認を得た後、手動で実行されています。以下の動作を実行するサーバーレスソリューションを推奨する必要があります。
- 1時間ごとにスクリプトを実行して、重複ファイルが存在するかどうかを識別する。
- 運用マネージャーに重複ファイルの削除承認を求めるメール通知を送信する。
- 削除が承認されたかどうかを指定する運用マネージャーからのメール応答を処理する。
- 削除が承認された場合にスクリプトを実行する。
推奨事項に何を含めるべきですか?
A. Azure Logic Apps と Azure Event Grid
B. Azure Pipelines と Azure Service Fabric
C. Azure Logic Apps と Azure Functions
D. Azure Functions と Azure Batch
解答
正解は C です。
Q23の要件は、特定のビジネスプロセス(重複ファイルの検出と承認後の削除)を自動化するサーバーレスソリューションを設計することです。このプロセスには、以下のようなステップが含まれます。
- スケジューリング: 1時間ごとにスクリプトを実行する。
- 実行: スクリプトを実行して重複ファイルを識別する。
- 通知: 運用マネージャーにメールを送信して承認を求める。
- 待機と処理: 承認メールの返信を待機し、内容を処理する。
- 条件付き実行: 承認された場合のみスクリプトを再度実行してファイルを削除する。
それでは、各選択肢を検討してみましょう。
- A. Azure Logic Apps と Azure Event Grid:
Azure Event Gridはイベント駆動型のサービスであり、ストレージアカウントにファイルが書き込まれたなどのイベントをトリガーとして使用するのに適しています。しかし、この問題の要件である「1時間ごとのスケジュール」には直接は対応していません。Logic Appsはメールの送受信や承認ワークフローを簡単に構築できますが、Event Gridとの組み合わせではすべての要件を満たしにくいです。
- B. Azure Pipelines と Azure Service Fabric:
Azure PipelinesはCI/CD(継続的インテグレーション/継続的デリバリー)のサービスであり、このユースケースには適していません。Azure Service Fabricはマイクロサービスをホストするためのプラットフォームであり、サーバーレスの自動化ワークフローには過剰なサービスです。
- C. Azure Logic Apps と Azure Functions:
- Azure Logic Appsは、ワークフローを視覚的に構築するためのサービスです。強力なコネクタとデザイナーを備えており、「1時間ごとに実行」というスケジュールトリガー、メールの送受信(OutlookやGmailなど)、承認ワークフローの作成といった、この問題のすべてのオーケストレーション要件を満たすことができます。
- Azure Functionsは、サーバーレスでコードを実行するためのサービスです。この問題では、PowerShellスクリプトを実行するという要件があります。Azure FunctionsはPowerShellスクリプトを直接実行する機能(PowerShellカスタムハンドラーなど)を提供しており、Logic Appsから呼び出すことができます。
この組み合わせは、Logic Appsがワークフロー全体を管理し、Functionsが実際のスクリプト実行という計算タスクを担当するため、すべての要件をサーバーレスで効率的に満たすことができます。
- D. Azure Functions と Azure Batch:
Azure Functionsはスクリプト実行に適していますが、メールの承認ワークフローのような複雑な状態管理はネイティブには得意ではありません。Azure Batchは、大規模な並列計算タスクを処理するためのサービスであり、この問題のような単一のワークフローには適していません。
したがって、すべての要件(スケジューリング、メールによる承認ワークフロー、スクリプト実行)を満たす最も適切なサーバーレスソリューションは、Azure Logic AppsとAzure Functionsを組み合わせることです。
33.ユーザー向けにコンテンツを集約するアプリケーションを設計しています。このアプリケーションのデータベースソリューションを推奨する必要があります。ソリューションは以下の要件を満たさなければなりません。
- SQLコマンドをサポートする。
- マルチマスター書き込みをサポートする。
- 低遅延の読み取り操作を保証する。
推奨事項に何を含めるべきですか?
A. アクティブな地理レプリケーションを使用するAzure SQL Database
B. Azure SQL Database Hyperscale
C. Azure Database for PostgreSQL
D. Azure Cosmos DB SQL API
回答
正解は D です。
Q24の要件は、コンテンツ集約アプリケーション向けのデータベースソリューションを設計することです。このソリューションは、以下の要件を満たす必要があります。
- SQLコマンドをサポートする。
- マルチマスター書き込みをサポートする。
- 低遅延の読み取り操作を保証する。
それでは、各選択肢を検討してみましょう。
- A. アクティブな地理レプリケーションを使用するAzure SQL Database
- これはSQLコマンドをサポートします。
- アクティブな地理レプリケーションは、読み取り操作をスケールアウトするためにセカンダリデータベースを提供しますが、書き込み操作はプライマリレプリカにのみ行われます。したがって、マルチマスター書き込みはサポートされません。
- B. Azure SQL Database Hyperscale
- これはSQLコマンドをサポートします。
- 読み取り操作の低遅延を可能にするレプリカを複数提供できます。しかし、書き込み操作はプライマリレプリカにのみ行われるため、マルチマスター書き込みはサポートされません。
- C. Azure Database for PostgreSQL
- これはSQLコマンドをサポートします。
- 読み取りレプリカをサポートしますが、書き込みはプライマリサーバーにのみ行われます。そのため、マルチマスター書き込みはサポートされません。
- D. Azure Cosmos DB SQL API
- Azure Cosmos DBは、複数種類のAPI(SQL、MongoDB、Cassandra、Gremlin、Table)を提供しています。SQL APIは、JSONドキュメントに対してSQLのようなクエリをサポートします。
- マルチマスター書き込みをネイティブにサポートする、唯一のAzureデータベースサービスです。すべてのリージョンで読み取りと書き込みの両方を実行できます。これにより、データの書き込みがユーザーに地理的に近い場所で行われるため、書き込みの遅延を大幅に削減できます。
- グローバルに分散されたデータにより、低遅延の読み取り操作を保証します。
すべての要件(SQLコマンドのサポート、マルチマスター書き込み、低遅延の読み取り操作)を満たすのは、Azure Cosmos DB SQL APIです。
34.あなたはオンプレミスネットワークとAzureサブスクリプションを持っています。オンプレミスネットワークには複数の支店があります。トロントの支店には、ファイルサーバーとして構成されたVM1という仮想マシンがあります。ユーザーはすべてのオフィスからVM1上の共有ファイルにアクセスします。トロントの支店がアクセスできなくなった場合に、ユーザーができるだけ早く共有ファイルにアクセスできるようにするためのソリューションを推奨する必要があります。推奨事項に何を含めるべきですか?
A. Recovery Services vault と Windows Server Backup
B. Azure blob containers と Azure File Sync
C. Recovery Services vault と Azure Backup
D. an Azure file share と Azure File Sync
回答
正解は D です。
Q25の要件は、オンプレミスのファイルサーバー(VM1)が利用できなくなった場合に、ユーザーが共有ファイルに迅速にアクセスできるようなソリューションを推奨することです。これは、オンプレミスの可用性を高めるためのディザスタリカバリまたは高可用性の問題です。
それでは、各選択肢を検討してみましょう。
- A. Recovery Services vault と Windows Server Backup:
- Windows Server Backupはオンプレミスのバックアップツールであり、Recovery Services vaultにバックアップを保存することができます。これはデータの復旧には役立ちますが、ディザスタリカバリのシナリオで「できるだけ早く」アクセスできるようにする、継続的な高可用性のソリューションではありません。ファイルを復元するには時間がかかります。
- B. Azure blob containers と Azure File Sync:
- Azure File Syncは、オンプレミスのファイルサーバーとAzureファイル共有を同期させるサービスです。Azureファイル共有がバックエンドとなり、blobコンテナはその基盤として使用されることがあります。しかし、この組み合わせは、一般的にAzure File SyncのバックエンドとしてAzureファイル共有を使用します。blobコンテナを直接使用してファイル共有サービスを構築するわけではありません。
- C. Recovery Services vault と Azure Backup:
- Azure Backupは、Recovery Services vaultを使用してバックアップを管理します。これは、データのバックアップと復元に特化したソリューションです。前述のAと同様に、迅速なファイルアクセスを可能にする高可用性の解決策というよりは、データの長期的な保護に重点を置いています。
- D. an Azure file share と Azure File Sync:
- Azure File Syncは、オンプレミスのWindows ServerとAzureファイル共有を同期させ、オンプレミスのキャッシュを維持するサービスです。
- オンプレミスのVM1にAzure File Syncエージェントをインストールし、Azureファイル共有と同期を設定します。これにより、オンプレミスのファイルが継続的にAzureファイル共有にアップロードされます。
- もしトロントの支店がアクセス不能になった場合、ユーザーはAzureファイル共有に直接アクセスすることで、引き続きファイルにアクセスできます。これは、ファイルサーバーの障害発生時でも、クラウド経由で迅速なアクセスを可能にする、高可用性のソリューションです。
したがって、オンプレミスのファイルサーバーが利用できなくなった場合でも、ユーザーができるだけ早くファイルにアクセスできるようにするという要件を最も適切に満たすのは、Dの「Azure file share と Azure File Sync」の組み合わせです。
35.あなたはAzureサブスクリプションを持っています。そのサブスクリプションには、Windows Server 2022を実行し、Azure Monitor Agentがインストールされている100台の仮想マシンが含まれています。以下の要件を満たすソリューションを推奨する必要があります。
- 仮想マシンからJSON形式のログをLog Analyticsワークスペースに転送する。
- ログを変換し、Log Analyticsワークスペース内のテーブルにデータを保存する。
推奨事項に何を含めるべきですか?
ログを転送するために:
A. Log Analyticsワークスペース用のリンクされたストレージアカウント
B. Azure Monitorのデータ収集エンドポイント
C. サービスエンドポイント
回答
正解は B です。
要件は、Azure Monitor Agentがインストールされた仮想マシンからJSON形式のログをLog Analyticsワークスペースに転送し、そこで変換してテーブルに格納することです。
ログを転送するための推奨事項を問われています。
- A. Log Analyticsワークスペース用のリンクされたストレージアカウント:
- 以前は、診断ログをストレージアカウントにアーカイブし、そこからLog Analyticsにインポートする構成も存在しましたが、これは現代のAzure Monitorの推奨されるアプローチではありません。また、直接ログを収集して変換するという要件には適合しません。
- B. Azure Monitorのデータ収集エンドポイント:
- これは、Azure Monitorの新しいデータ収集ルール(DCR)モデルの中核となるコンポーネントです。DCRを使用すると、Azure Monitor Agentが収集するデータの種類、変換方法、送信先(Log Analyticsワークスペースなど)を詳細に定義できます。
- データ収集エンドポイントは、エージェントが収集したデータを受け取るための入り口となります。JSON形式のログを収集し、Kusto Query Language(KQL)ベースのデータ変換を行って、Log Analyticsワークスペース内のカスタムテーブルに格納することが可能です。これは、この問題のすべての要件を満たします。
- C. サービスエンドポイント:
- サービスエンドポイントは、仮想ネットワーク(VNet)から特定のAzureサービス(Azure StorageやKey Vaultなど)へのアクセスをセキュリティで保護するための機能です。ログの転送を直接制御するものではなく、ネットワークセキュリティの機能です。
したがって、Azure Monitor Agentがインストールされた仮想マシンからJSONログを収集し、変換してLog Analyticsワークスペースに送信するという要件を最も適切に満たすのは、Azure Monitorのデータ収集エンドポイントです。
ログを変換してデータを保存するために:
A. KQLクエリ
B. WQLクエリ
C. XPathクエリ
回答
- A. KQLクエリ:
- KQL(Kusto Query Language)は、Azure Data ExplorerとLog Analyticsワークスペースで使用される強力なクエリ言語です。
- データ収集ルール(DCR)の中では、KQLの機能を使用して、取り込み前にデータを変換することができます。例えば、JSONデータをパースし、特定のフィールドを抽出し、データ型を変換し、カスタムテーブルに格納するなどの処理が可能です。
- これは、この問題の要件である「ログを変換し、テーブルにデータを保存する」という処理に直接対応しています。
36.あなたはApp1という名前の多層アプリケーションと、SQL1という名前のAzure SQLデータベースを持っています。App1のバックエンドサービスはSQL1にデータを書き込みます。ユーザーはApp1クライアントを使用してSQL1からデータを読み取ります。利用率が高い期間には、ユーザーはデータの取得に遅延を経験します。データ要求にかかる時間を最小限に抑える必要があります。ソリューションに何を含めるべきですか?
A. Azure Cache for Redis
B. Azure Content Delivery Network (CDN)
C. Azure Data Factory
D. Azure Synapse Analytics
回答
正解は A です。
要件は、アプリケーションの利用率が高いときに発生するデータベースからのデータ取得遅延を最小限に抑えることです。これは、データベースの負荷を軽減し、読み取りパフォーマンスを向上させるためのソリューションを求めるものです。
- A. Azure Cache for Redis:
- Redisは、インメモリデータストアとして広く使われており、キャッシュとして非常に高速な読み取りパフォーマンスを提供します。
- データベース(SQL1)から頻繁に読み取られるデータをキャッシュに格納することで、アプリケーションはデータベースにアクセスする代わりにキャッシュからデータを取得できます。これにより、データベースの負荷が大幅に軽減され、データ取得の遅延も最小限に抑えられます。
- このソリューションは、読み取り要求が多いアプリケーションに最適です。
- B. Azure Content Delivery Network (CDN):
- CDNは、静的コンテンツ(画像、CSSファイル、JavaScriptなど)をユーザーの地理的な位置に近いエッジサーバーにキャッシュすることで、コンテンツ配信を高速化するサービスです。
- 動的なデータベースコンテンツのキャッシュには適していません。
- C. Azure Data Factory:
- Data Factoryは、データ移動とデータ変換をオーケストレーションするためのETL/ELTサービスです。
- リアルタイムのアプリケーションパフォーマンスを向上させるためのものではなく、データのバッチ処理や統合に主に使用されます。
- D. Azure Synapse Analytics:
- Synapse Analyticsは、データウェアハウスやビッグデータ分析に特化したサービスです。
- オンライントランザクション処理(OLTP)のデータベースであるAzure SQL Databaseの読み取りパフォーマンスを直接向上させる目的には適していません。
したがって、利用率が高い期間のデータ取得遅延を最小限に抑えるためのソリューションとして最も適切なのは、Azure Cache for Redisを使用してデータベースの読み取り負荷を軽減することです。
37 あなたは2つのコンポーネントを含むアプリを設計しています。コンポーネントはキューを介してメッセージを送信することで通信します。先入れ先出し(FIFO)パターンを使用してメッセージを処理するためのソリューションを推奨する必要があります。推奨事項に何を含めるべきですか?
A. カスタムメタデータ設定を持つストレージキュー
B. パーティション分割が有効になっているAzure Service Busキュー
C. セッションが有効になっているAzure Service Busキュー
D. 格納されたアクセスポリシーを持つストレージキュー
回答
FIFO(先入れ先出し)パターンを使用してメッセージを処理する場合、推奨されるソリューションはC. セッションが有効になっているAzure Service Busキューです。
理由
Azure Service Busキューのセッション機能は、メッセージの順序を維持するために設計されています。
- セッションの使用: セッションを有効にすると、キューは特定のセッションIDを持つすべてのメッセージをグループ化し、同じ受信者がそれらを順番に処理することを保証します。これにより、同じセッションに属するメッセージが常にFIFOの順序で配信されます。
- 他のオプションとの比較:
- A. カスタムメタデータ設定を持つストレージキュー: ストレージキューには、FIFOの保証はありません。メッセージは、保存順序とは異なる順序で取得される可能性があります。メタデータはメッセージの内容に関する情報を提供しますが、配信順序には影響しません。
- B. パーティション分割が有効になっているAzure Service Busキュー: パーティション分割は、スループットを向上させるためのもので、キューを複数のメッセージブローカーに分散します。これにより、FIFOの順序が保証されなくなります。
- D. 格納されたアクセスポリシーを持つストレージキュー: 格納されたアクセスポリシーは、セキュリティと権限管理のためのものであり、メッセージの配信順序には関係ありません。
38 以下の表に示すリソースを含むAzureサブスクリプションがあります。
名前 | タイプ | 説明 |
VM1 | 仮想マシン | 米国中部Azureリージョンのフロントエンドコンポーネント |
VM2 | 仮想マシン | 米国東部Azureリージョンのバックエンドコンポーネント |
VM3 | 仮想マシン | 米国東部2 Azureリージョンのバックエンドコンポーネント |
VNet1 | 仮想ネットワーク | VM1をホスト |
VNet2 | 仮想ネットワーク | VM2をホスト |
VNet3 | 仮想ネットワーク | VM3をホスト |
あなたはVNet1とVNet2の間、およびVNet1とVNet3の間にピアリングを作成します。仮想マシンはHTTPSベースのクライアント/サーバーアプリケーションをホストしており、各仮想マシンのプライベートIPアドレスを介してのみアクセス可能です。VM2とVM3の負荷分散ソリューションを実装する必要があります。ソリューションは、VM2が失敗した場合にリクエストが自動的にVM3にルーティングされ、VM3が失敗した場合にリクエストが自動的にVM2にルーティングされることを保証しなければなりません。ソリューションには何を含めるべきですか?
A. Azure Firewall Premium
B. Azure Application Gateway v2
C. クロスリージョン負荷分散
D. Azure Front Door Premium
回答
正しい解答はD. Azure Front Door Premiumです。
問題の要件は、以下の通りです。
- VM2(米国東部リージョン)とVM3(米国東部2リージョン)という、異なるリージョンに配置されたバックエンドを対象とする負荷分散ソリューション。
- VMはプライベートIPアドレスを介してのみアクセス可能。
- いずれかのVMが失敗した場合に、自動的に他方のVMにフェイルオーバーする。
これらの要件を満たすためには、リージョンをまたいでプライベートIPアドレスを持つバックエンドへのトラフィックを分散し、フェイルオーバー機能を提供するサービスが必要です。
A. Azure Firewall Premium:これはネットワークセキュリティサービスであり、負荷分散機能はありません。
B. Azure Application Gateway v2:これはレイヤー7の負荷分散サービスですが、基本的には単一のリージョン内で動作します。クロスリージョンでの負荷分散には適していません。
C. a cross-region load balancer:これは一般的な概念であり、特定のAzureサービスを指すものではありません。この概念に合致するAzureサービスは複数存在します。
D. Azure Front Door Premium:これはグローバルなレイヤー7の負荷分散サービスです。Private Link統合をサポートしており、異なるリージョンにある仮想ネットワーク内のプライベートIPアドレスを持つバックエンドに、安全かつ直接的にトラフィックをルーティングできます。また、内蔵されたヘルスチェック機能により、バックエンドの障害を検知し、自動的に別の正常なバックエンドにトラフィックをフェイルオーバーさせることができます。
したがって、与えられた選択肢の中で、最も要件に合致する具体的なサービスは、D. Azure Front Door Premiumです。
39 以下の表に示すAzure上のSQL Serverを含むAzureサブスクリプションがあります。
名前 | リソースグループ | 場所 (Location) |
SQLsvr1 | RG1 | 米国東部 (East US) |
SQLsvr2 | RG2 | 米国西部 (West US) |
このサブスクリプションには、以下の表に示すストレージアカウントが含まれています。
名前 | リソースグループ | 場所 (Location) | アカウントの種類 (Account Kind) |
storage1 | RG1 | 米国東部 (East US) | StorageV2 (general purpose V2) |
storage2 | RG2 | 米国中部 (Central US) | BlobStorage |
あなたは以下の表に示すAzure SQLデータベースを作成します。
名前 | リソースグループ | サーバー | 価格レベル (Pricing Tier) |
SQLdb1 | RG1 | SQLsvr1 | Standard |
SQLdb2 | RG1 | SQLsvr1 | Standard |
SQLdb3 | RG2 | SQLsvr2 | Premium |
以下の各ステートメントについて、ステートメントが真であれば「Yes」を、そうでなければ「No」を選択してください。
ステートメント1:SQLdb1の監査(Auditing)を有効にした場合、監査情報をstorage1に保存できます。
Yes / No
ステートメント2:SQLdb2の監査を有効にした場合、監査情報をstorage2に保存できます。
Yes / No
ステートメント3:SQLdb3の監査を有効にした場合、監査情報をstorage2に保存できます。
Yes / No
回答:
NO
NO
NO
40 あなたはAzure仮想マシン上にSQL Serverを持っています。データベースはバッチ処理の一部として毎晩書き込まれます。このデータに対する災害復旧ソリューションを推奨する必要があります。このソリューションは以下の要件を満たさなければなりません。
- リージョン全体の停止時に復旧できる機能を提供すること。
- 目標復旧時間(RTO)が15分であることをサポートすること。
- 目標復旧時点(RPO)が24時間であることをサポートすること。
- 自動化された復旧をサポートすること。
- コストを最小限に抑えること。
推奨事項には何を含めるべきですか?
A. Azure仮想マシン可用性セット
B. Azure Disk Backup
C. Always On 可用性グループ
D. Azure Site Recovery
回答
要件は以下の通りです。
- リージョン全体の停止時に復旧できること(リージョン間のDRソリューションが必要)。
- RTO(目標復旧時間)が15分であること。
- RPO(目標復旧時点)が24時間であること(毎晩のバッチ処理に合致)。
- 自動化された復旧をサポートすること。
- コストを最小限に抑えること。
これらの要件を基に、各選択肢を評価します。
- A. Azure仮想マシン可用性セット(Azure virtual machine availability sets):これは、同じリージョン内のVMを複数の障害ドメインと更新ドメインに分散させることで、計画外のダウンタイムから保護するものです。リージョン全体の障害には対応できません。
- B. Azure Disk Backup:これはVMのディスクをバックアップするサービスで、データの復旧には役立ちますが、RTO 15分という要件を満たすための自動化されたフェイルオーバーや、迅速な復旧を直接提供するものではありません。
- C. Always On 可用性グループ(Always On availability group):これは、SQL Serverのネイティブな高可用性および災害復旧ソリューションです。別のAzureリージョンにレプリカを設定することで、リージョン障害に対応できます。ただし、RTO 15分という要件は満たせますが、Always On 可用性グループは複数のSQL ServerライセンスとVMが必要となり、コストが高くなる傾向があります。
- D. Azure Site Recovery(ASR):これは、VMを別のAzureリージョンにレプリケートするサービスです。RTO 15分、RPO 24時間という要件(設定による)を満たすことが可能です。特に、このシナリオでは毎晩のバッチ処理に基づいてRPO 24時間で十分であるため、レプリケーションの頻度を調整することでコストを抑えることができます。ASRは、フェイルオーバーとフェイルバックの自動化もサポートしており、スクリプトやAzure Automation Runbookと組み合わせて自動復旧も可能です。
以上の比較から、すべての要件(特にRTO 15分、RPO 24時間、自動復旧、コスト最小化)を最もバランス良く満たすのはD. Azure Site Recoveryです。
したがって、解答はD. Azure Site Recoveryです。
41 あなたは、以下のタスクを実行するService1という名前の.NETウェブサービスを持っています。
- ローカルファイルシステムに一時ファイルを読み書きする。
- アプリケーションイベントログに書き込む。
このService1をAzureでホストするためのソリューションを推奨する必要があります。ソリューションは以下の要件を満たさなければなりません。
- メンテナンスのオーバーヘッドを最小限に抑えること。
- コストを最小限に抑えること。
推奨事項には何を含めるべきですか?
A. Azure App Service web app
B. Azure virtual machine scale set
C. App Service Environment (ASE)
D. Azure Functions app
回答
要件は以下の通りです。
- ローカルファイルシステムに一時ファイルを読み書きする。
- アプリケーションイベントログに書き込む。
- メンテナンスのオーバーヘッドを最小限に抑えること。
- コストを最小限に抑えること。
各選択肢を評価します。
- A. Azure App Service web app:PaaS(Platform as a Service)であり、OSやミドルウェアの管理が不要なため、メンテナンスのオーバーヘッドが最小限に抑えられます。ローカルファイルシステムにアクセスでき、アプリケーションログも収集されるため、要件を満たします。従量課金制や共有プランなど、コストを抑えるための様々なオプションがあります。
- B. Azure virtual machine scale set:IaaS(Infrastructure as a Service)であり、OSやミドルウェアの管理が必要となるため、メンテナンスのオーバーヘッドが大きくなります。コストも、App Serviceと比較して高くなる傾向があります。
- C. App Service Environment (ASE):これは、App ServiceをVNetに隔離してデプロイするための環境であり、セキュリティやスケーラビリティが向上しますが、非常に高価です。コスト最小化の要件に反します。
- D. Azure Functions app:これはサーバーレスコンピューティングサービスで、メンテナンスのオーバーヘッドは最小限ですが、主にイベントドリブンな短いタスクを実行するために設計されています。ウェブサービス全体のホスティングにはApp Serviceの方が適しています。また、Functionsは一時ファイルやイベントログの扱いがApp Serviceと異なる場合があります。
Service1が通常のウェブサービスであり、ローカルファイルとイベントログにアクセスするという要件を満たしつつ、メンテナンスのオーバーヘッドとコストを最小限に抑えるには、PaaSであるAzure App Service web appが最も適しています。
したがって、解答はA. Azure App Service web appです。
42 あなたの会社には、VMware環境でホストされている仮想マシンが300台あります。仮想マシンのサイズと利用レベルは様々です。これらすべての仮想マシンをAzureに移行する計画を立てています。現在のワークロードをAzureに移行するために、何台の、そしてどのサイズのAzure仮想マシンが必要になるかを推奨する必要があります。ソリューションは管理作業を最小限に抑えなければなりません。推奨を行うために何を使用すべきですか?
A. Azure Pricing calculator
B. Azure Advisor
C. Azure Migrate
D. Azure Cost Management
回答
要件は、300台のVMware仮想マシンのワークロードをAzureに移行するために、適切なAzure VMの数とサイズを推奨することです。このプロセスには、既存の環境の評価と、Azureへのマッピングが含まれます。また、管理作業を最小限に抑える必要があります。
各選択肢を評価します。
- A. Azure Pricing calculator:これはAzureサービスのコストを見積もるためのツールです。移行後のVMのサイズが決まっている場合にコストを計算できますが、既存のVMware環境を評価し、どのサイズのAzure VMが適切かを推奨する機能はありません。
- B. Azure Advisor:これは、Azureリソースの推奨事項(コスト、セキュリティ、パフォーマンスなど)を提供するツールです。既存のAzure環境を改善するためのものですので、VMware環境の評価には使用できません。
- C. Azure Migrate:これは、オンプレミス環境からAzureへの移行を支援する統合サービスです。その機能の一つに「移行評価(Assessment)」ツールが含まれており、オンプレミスのサーバーやデータベースなどをスキャンしてパフォーマンスデータを収集します。このデータに基づいて、Azure VMの適切なサイズ、コスト、依存関係などを推奨してくれます。これにより、手動での評価作業を大幅に削減し、管理作業を最小限に抑えることができます。
- D. Azure Cost Management:これは、Azureの利用コストを追跡、監視、最適化するためのツールです。移行後のコストを管理するのに役立ちますが、移行前の環境を評価してVMのサイズを推奨する機能はありません。
したがって、VMware環境のワークロードを評価し、適切なAzure VMのサイズと数を推奨するために最も適しており、管理作業を最小限に抑えることができるサービスは、C. Azure Migrateです。
解答はC. Azure Migrateです。
43 あなたは、いくつかのAzureクラウドサービスを含み、トランザクションの異なるコンポーネントを処理する販売アプリケーションを開発しています。異なるクラウドサービスが、顧客の注文、請求、支払い、在庫、および配送を処理します。クラウドサービスがXMLメッセージを使用して非同期的にトランザクション情報を通信できるようにするソリューションを推奨する必要があります。推奨事項には何を含めるべきですか?
A. Azure Service Fabric
B. Azure Data Lake
C. Azure Service Bus
D. Azure Traffic Manager
回答
要件は、複数のAzureクラウドサービスがXMLメッセージを使用して非同期的にトランザクション情報を通信できるようにするソリューションです。
各選択肢を評価します。
- A. Azure Service Fabric:これは、マイクロサービスを開発、デプロイ、管理するためのプラットフォームです。コンテナや実行可能ファイルをホストする役割を担いますが、異なるサービス間でメッセージを非同期に通信させるための専用のメッセージングキューサービスではありません。
- B. Azure Data Lake:これは、大規模なデータを格納、管理、分析するためのサービスです。メッセージングとは異なる目的で使用されます。
- C. Azure Service Bus:これは、アプリケーションやサービスを疎結合にするためのメッセージングサービスです。キューとトピックを介して、非同期にメッセージを送信・受信できます。XML形式のメッセージも問題なく扱うことができます。このサービスは、アプリケーションの各コンポーネント(注文、請求、支払いなど)間の非同期通信にまさに適しています。
- D. Azure Traffic Manager:これは、DNSベースのトラフィックルーティングサービスで、異なるリージョンのサービスエンドポイント間でトラフィックを分散させます。高可用性やパフォーマンスの向上に役立ちますが、サービス間の非同期メッセージングには使用しません。
したがって、異なるクラウドサービス間の非同期通信に最も適したソリューションは、C. Azure Service Busです。
解答はC. Azure Service Busです。
44 あなたはAzure Blob Storageにデータファイルを持っています。そのファイルを変換して、Azure Data Lake Storageに移動する計画です。マッピングデータフロー(mapping data flow)を使用してデータを変換する必要があります。どのサービスを使用すべきですか?
A. Azure Databricks
B. Azure Storage Sync
C. Azure Data Factory
D. Azure Data Box Gateway
回答
要件は、Azure Blob Storageにあるデータファイルを「マッピングデータフロー(mapping data flow)」を使用して変換し、Azure Data Lake Storageに移動することです。
各選択肢を評価します。
- A. Azure Databricks:これは、Apache Sparkベースの高速なデータ分析プラットフォームです。データ変換に利用できますが、「マッピングデータフロー」という特定の機能を持つサービスではありません。
- B. Azure Storage Sync:これは、オンプレミスのファイルサーバーのファイルをAzure Filesと同期させるためのサービスです。データの変換や移動には使用しません。
- C. Azure Data Factory:これは、データ統合サービスであり、さまざまなデータソース間でデータを移動・変換するためのETL(抽出、変換、ロード)プロセスを作成できます。特に、「マッピングデータフロー」はAzure Data Factoryの主要な機能の一つであり、コードを書くことなく、ビジュアルインターフェースでデータの変換ロジックを設計できます。この機能は、まさに質問の要件に合致します。
- D. Azure Data Box Gateway:これは、オンプレミスのデータをAzureにアップロードするための仮想デバイスです。データの変換には使用しません。
したがって、「マッピングデータフロー」を使用してデータを変換するという要件を満たすサービスは、C. Azure Data Factoryです。
解答はC. Azure Data Factoryです。
45 ある会社が、ウェブアプリケーションをサポートするHTTPベースのAPIの実装を計画しています。このウェブアプリケーションは、顧客が注文のステータスを確認できるようにするものです。APIは以下の要件を満たす必要があります。
- Azure Functionsを実装すること。
- パブリックな読み取り専用操作を提供すること。
- 書き込み操作を防止すること。
構成すべきHTTPメソッドと認証レベルを推奨する必要があります。あなたは何を推奨しますか?
HTTPメソッド:
A. API methods
B. GET only
C. GET and POST only
D. GET, POST and OPTIONS only
回答
要件は、Azure Functionsを実装し、以下の機能を備えたHTTPベースのAPIを構築することです。
- パブリックな読み取り専用操作を提供する。
- 書き込み操作を防止する。
HTTPメソッドと認証レベルを推奨する必要があります。まず、HTTPメソッドについて考えます。
- A. API methods: これは一般的な用語であり、特定のHTTPメソッドを指すものではありません。
- B. GET only: HTTP GETメソッドは、リソースの読み取り専用操作に使用されます。このメソッドは、データの取得のみを目的としており、サーバー上のデータを変更することはありません。したがって、この選択肢は「読み取り専用操作を提供する」および「書き込み操作を防止する」という要件に合致します。
- C. GET and POST only: HTTP POSTメソッドは、通常、新しいリソースを作成するなど、サーバーにデータを送信して変更を加えるために使用されます。これは「書き込み操作を防止する」という要件に反します。
- D. GET, POST and OPTIONS only: 同様に、POSTメソッドが含まれているため、「書き込み操作を防止する」という要件に反します。
したがって、読み取り専用操作のみを許可し、書き込み操作を防止するには、HTTP GETメソッドのみを許可する必要があります。
次に、認証レベルについて考えます。
質問の画像にはHTTPメソッドに関する選択肢しかありませんが、文脈から認証レベルも推奨する必要があることがわかります。
「パブリックな読み取り専用操作を提供する」という要件は、APIが誰でもアクセスできる必要があることを示唆しています。Azure Functionsには、以下の認証レベルがあります。
Function(関数キー): 関数ごとに個別のキーを必要とします。
Host(ホストキー): すべての関数に共通のキーを必要とします。
Anonymous(匿名): キーを必要とせず、誰でもアクセスできます。
「パブリックな」という要件を満たすためには、認証レベルを
Anonymousに設定するのが最も適切です。これにより、キーなしでAPIにアクセスできるようになります。結論として、HTTPメソッドについてはB. GET only、認証レベルについては
Anonymousを推奨すべきです。ただし、提示された画像はHTTPメソッドに関する選択肢しかありませんので、その範囲で最も適切な答えはB. GET onlyとなります。
認証レベル:
A. Function
B. Anonymous
C. Admin
回答
- A. Function: 関数キーを必要とします。キーを持つユーザーのみがアクセスできます。これは「パブリック」な要件には合致しません。
- B. Anonymous: 匿名アクセスを許可します。キーを必要とせず、誰でもアクセスできます。これは「パブリックな読み取り専用操作」という要件に直接合致します。
- C. Admin: ホストキーを必要とします。これはFunctionキーよりも高い権限を持つキーであり、やはり「パブリック」な要件には合致しません。
したがって、「パブリックな読み取り専用操作」という要件を満たすために推奨される認証レベルは、B. Anonymousです。
解答はB. Anonymousです。
46 あなたのオンプレミスネットワークには、500 GBのデータを保存するServer1という名前のファイルサーバーがあります。あなたはAzure Data Factoryを使用して、Server1からAzure Storageにデータをコピーする必要があります。新しいデータファクトリを追加しました。次は何をすべきですか?
Server1から:
A. Azure File Sync Agentをインストールする。
B. セルフホスト型統合ランタイムをインストールする。
C. File Server Resource Managerロールサービスをインストールする。
回答
要件は、Azure Data Factoryを使用して、オンプレミスのファイルサーバー(Server1)からAzure Storageにデータをコピーすることです。
Azure Data Factory(ADF)はクラウドサービスであり、オンプレミスネットワーク内のリソースに直接アクセスすることはできません。ADFがオンプレミスのデータソース(この場合はServer1のファイルサーバー)に安全に接続し、データを移動するためには、オンプレミスとクラウドの間で通信を可能にするコンポーネントが必要です。
この役割を果たすのが、ADFの「セルフホスト型統合ランタイム(Self-hosted Integration Runtime)」です。
各選択肢を評価します。
- A. Azure File Sync Agentをインストールする:これは、オンプレミスのファイルサーバーとAzure Filesの間でファイルを同期するためのエージェントです。Azure Data Factoryによるデータコピーには使用しません。
- B. セルフホスト型統合ランタイムをインストールする:これは、オンプレミスのデータソースに接続し、データファクトリによって実行されるデータ移動アクティビティを管理するためのエージェントです。これをServer1またはオンプレミスネットワーク内の別のマシンにインストールすることで、ADFがServer1に安全にアクセスし、データをAzure Storageにコピーできるようになります。
- C. File Server Resource Managerロールサービスをインストールする:これは、Windows Serverの機能であり、ファイルサーバーのストレージを管理するために使用されます。ADFとの接続には関係ありません。
したがって、Azure Data Factoryがオンプレミスのファイルサーバーにアクセスできるようにするために次に行うべきことは、B. セルフホスト型統合ランタイムをインストールすることです。
解答はB. セルフホスト型統合ランタイムをインストールする。です。
データファクトリから:
A. パイプラインを作成する。
B. Azure Import/Exportジョブを作成する。
C. Azure SQL Server Integration Services (SSIS) 統合ランタイムをプロビジョニングする。
回答
オンプレミスネットワークからAzure Storageへデータをコピーする要件です。前回の回答で、オンプレミス側にセルフホスト型統合ランタイムをインストールする必要があることを確認しました。
次に、Azure Data Factory(ADF)側で何を行うべきかという質問です。
- A. パイプラインを作成する:ADFのパイプラインは、データ移動やデータ変換といった一連の処理をまとめるための論理的なグループです。オンプレミスのServer1からAzure Storageにデータをコピーするには、「コピーアクティビティ(Copy activity)」を含むパイプラインを作成するのがADFの標準的な手順です。
- B. Azure Import/Exportジョブを作成する:これは、大量のデータを物理的なディスクドライブを使用してAzureに転送するサービスです。オンラインでデータをコピーするADFとは異なるソリューションです。
- C. Azure SQL Server Integration Services (SSIS) 統合ランタイムをプロビジョニングする:これは、ADFで既存のSSISパッケージを実行するために使用されるものです。今回のシナリオは単純なデータコピーであり、SSISパッケージの実行は必要ありません。
したがって、セルフホスト型統合ランタイムが設定された後、ADF側でデータコピーのプロセスを定義するために行うべきことは、A. パイプラインを作成することです。
解答はA. パイプラインを作成する。です。
47 あなたは、機械学習アプリケーションをサポートするためにAzure Databricksをデプロイする計画です。データエンジニアは、Azure Data Lake StorageアカウントをDatabricksファイルシステムにマウントします。フォルダーへのアクセス許可は、データエンジニアに直接付与されます。計画されているDatabricksのデプロイメントに関する設計を推奨する必要があります。ソリューションは以下の要件を満たさなければなりません。
- データエンジニアがアクセス許可を持つフォルダーにのみアクセスできるようにすること。
- 開発作業を最小限に抑えること。
- コストを最小限に抑えること。
推奨事項には何を含めるべきですか?
Databricks SKU:
A. Premium
B. Standard
解答
要件は、Azure Databricksのデプロイ設計に関するものです。
- データエンジニアが、許可されたフォルダーにのみアクセスできるようにする。
- 開発作業を最小限に抑える。
- コストを最小限に抑える。
特に重要なのは、最初の要件です。これは「フォルダーへのアクセス許可をデータエンジニアに直接付与し、それに従ってアクセスを制御する」というものです。
Azure Databricksには、データのアクセス制御に関する機能がいくつかあります。
- Databricks Premium SKUでは、「テーブルアクセスコントロール(Table Access Control)」や「データアクセスコントロールリスト(ACL)」などの高度なセキュリティ機能が提供されています。これには、ストレージアカウントにマウントされたデータへのきめ細かなアクセス制御が含まれます。これにより、ユーザーがアクセス許可を持つフォルダーにのみアクセスできるようにするという要件を満たすことができます。
- Databricks Standard SKUには、これらの高度なセキュリティ機能は含まれていません。Standard SKUでは、マウントされたストレージへのアクセス制御は、基本的にDatabricksクラスターに設定されたサービスプリンシパルなどによって一括で制御されます。個々のユーザーやグループに対して、フォルダーレベルでのきめ細かなアクセス許可を直接適用して制御することはできません。
したがって、「データエンジニアがアクセス許可を持つフォルダーにのみアクセスできるようにする」という要件を満たすためには、Premium SKUが必要です。
コストの最小化という要件はありますが、機能要件(特にセキュリティ要件)が満たされなければソリューションとして成り立ちません。この場合、セキュリティ要件がより優先されるべきです。
結論として、データエンジニアごとのフォルダーレベルでのアクセス制御を実装するには、A. Premium SKUを選択する必要があります。
解答はA. Premiumです。
- Author:baipeiyu
- URL:https://tangly1024.com/article/247d5740-9b33-80ea-87dc-f859fa68ce94
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!