Microsoft Learnを用いたMicrosoft Azure Administrator(AZ-104)の試験内容をまとめる投稿です。
この投稿ではMicrosoft Learnで学ぶ内容をできるだけ簡潔にまとめております。
Azureの勉強を一から始め、AZ-900取得後の資格としてAZ-104取得を目指している方の参考になれば幸いです。
※AZ-900の内容は本投稿では省略しております。再度復習したい方は下記をご参照ください。
Azure Fundamentals(AZ-900):試験合格に向けた学習内容のまとめ
今回の学習内容
◆「Shared Access Signature」
◇対応するMicrosoft Learn ラーニングパス
AZ-104:Azure でのストレージの実装と管理
◇対応するモジュール
Shared Access Signature を作成する
※前回の投稿は下記から確認できます。
Azure Administrator(AZ-104):Azure でのストレージの実装と管理「Azure Storageのセキュリティ戦略」
Shared Access Signature
Shared Access Signature(SAS)の特徴
・Azure Storageリソースへの制限付きアクセス権を付与するURI
※URI:Uniform Resource Identifier
・クライアントにSAS URIを配布して、リソースへのアクセスを許可
⇒指定したアクセス許可セットで指定した期間のみ
◆SASの使用シナリオ例
・特定のストレージアカウントリソースへのアクセスが必要なクライアント
⇒ストレージアカウントキーで信頼されるべきでない場合に使用
SASの種類
◆ユーザ委任SAS
・Azure AD資格情報でセキュリティ保護されたSAS
・Blob Storageにのみ適用
・セキュリティのベストプラクティスとしてMSが推奨
・事前にユーザ委任キーの要求が必要
⇒要求したユーザ委任キーでSASが作成可能
◆サービスSAS
・ストレージアカウントキーでセキュリティ保護
・1つだけのStorageサービスのリソースへのアクセスを委任
◆アカウントSAS
・ストレージアカウントキーでセキュリティ保護
・1つ以上のStorageサービスのリソースへのアクセスを委任
・サービスSASで許可されていない下記のアクセス委任も可能
-読み取り操作
-書き込み操作
-削除操作
SASの形式
◆アドホックSAS
・下記をSAS URIで指定
-開始時刻
-有効期限
-アクセス許可
・任意の種類のSASをサポート
◆保存されているアクセスポリシーによるサービスSAS
・ポリシーはリソースコンテナで定義
・ポリシーにサービスSASを関連付け
⇒ポリシーに定義されている制約(期間やアクセス許可)を継承
・サービスSASのみサポート
SASの種類と形式
SAS構成設定のオプション
◆IPアドレス
・SASを受け入れるAzure StorageのIPアドレスやその範囲を識別可能
⇒組織の属するIPアドレスの範囲を指定する場合に使用
◆プロトコル
・Azure StorageがSASを受け入れるプロトコルを指定可能
⇒HTTPSを使ってクライアントへのアクセスを制限する場合に使用
次の学習内容
◆URIパラメーターとSASパラメーター
学習内容をまとめたページの一覧