Microsoft Learnを用いたMicrosoft Azure Administrator(AZ-104)の試験内容をまとめる投稿です。
この投稿ではMicrosoft Learnで学ぶ内容をできるだけ簡潔にまとめております。
Azureの勉強を一から始め、AZ-900取得後の資格としてAZ-104取得を目指している方の参考になれば幸いです。
※AZ-900の内容は本投稿では省略しております。再度復習したい方は下記をご参照ください。
Azure Fundamentals(AZ-900):試験合格に向けた学習内容のまとめ
今回の学習内容
◆「Azure Storageのセキュリティ戦略」
◇対応するMicrosoft Learn ラーニングパス
AZ-104:Azure でのストレージの実装と管理
◇対応するモジュール
Azure Storage セキュリティの戦略を確認する
※前回の投稿は下記から確認できます。
Azure Administrator(AZ-104):Azure でのストレージの実装と管理「Blob Storageの価格」
Azure Storageのセキュリティ戦略
Azure Storageのセキュリティの特徴
◆暗号化
・Azure Storageに書き込まれるすべてのデータが対象
・サーバ側暗号化(SSE)を使用してデータを自動的に暗号化
◆認証
・Azure ADとRBACは下記の両方でサポート
-Azure Storageのリソース管理操作
-Azure Storageのデータ操作
・RBACロールをセキュリティプリンシパルに割り当て
⇒Azure ADを使ってリソース管理操作を承認
・Azure AD統合におけるデータ操作のサポート対象
-Blob Storage
-Queue Storage
◆転送中のデータ
・アプリとAzure間の転送中のデータを保護する方法
-クライアント側の暗号化
-HTTPS
-SMB3.0
◆ディスクの暗号化(Azure Disk Encryption)
・Azure VMのOSやデータディスクを暗号化可能
-Linuxの場合:DM-Crypt機能を使用
-Windowsの場合:BitLocker機能を使用
・Azure Key Vaultと統合されている
◆共有アクセス署名(Shared Access Signature:SAS)
・Azure Storage内のリソースへの委任アクセスを付与可能
◆承認
・下記のセキュリティで保護されたリソースへのすべての要求は認可が必要
-Blob Storage
-Azure Files
-Queue Storage
-Azure Cosmos DB(Azure Table Storage)
・認可によりストレージアカウント内のリソースにアクセス可能となる
⇒必要な場合にのみアクセス許可されたユーザ/アプリだけ
各認可の特徴
◆Azure AD
・RBACを使い、ユーザ/グループ/アプリにきめ細かいアクセスの割り当てが可能
◆共有キー
・ストレージアカウントのアクセスキーとその他のパラメータを使用
⇒暗号化された署名文字列を生成
・文字列は要求のAuthorizationヘッダーで渡される
◆共有アクセス署名(SAS)
・ストレージアカウント内の特定のリソースに下記条件のアクセスを委任
-指定したアクセス許可
-指定した期間
◆コンテナとBLOBへの匿名読み取りアクセス
・Azure Storageにオプションとしてサポートされている
・既定ではコンテナとBLOBへのすべての要求には認可が必要
⇒コンテナとBLOBに対する読み取り要求の認可が不要になる
・匿名読み取りアクセスを有効化するために必要な設定
-ストレージアカウントのパブリックアクセスを許可
-コンテナのパブリックアクセスレベルを変更
次の学習内容
◆Shared Access Signature
学習内容をまとめたページの一覧