Practice Assessment for Exam AZ-204: Developing Solutions for Microsoft Azure – 06
✅ Phân tích đáp án câu hỏi
Tình huống
- Bạn cần tạo Shared Access Signature (SAS) token cho quyền read access tới một blob trong storage account.
- Mục tiêu là bảo mật token khỏi việc bị lộ (compromised).
🔍 Các lựa chọn:
| Lựa chọn | Có phù hợp không? | Giải thích |
|---|---|---|
| Primary account key | ❌ Không | Có thể tạo SAS token nhưng nếu bị lộ thì toàn bộ account bị rủi ro. |
| Secondary account key | ❌ Không | Giống như khóa chính, vẫn có thể bị lộ và gây mất an toàn. |
| Microsoft Entra ID credentials assigned the Contributor role | ✅ Đúng | Có quyền Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey — dùng để tạo User Delegation SAS token một cách bảo mật hơn. |
| Microsoft Entra ID credentials assigned the Reader role | ❌ Không | Không có quyền tạo SAS token hoặc delegation key. |
📘 Bổ sung từ tài liệu chính thức
Mục tiêu của câu hỏi là kiểm tra kiến thức về bảo mật và ủy quyền khi tạo SAS token trong Azure Storage.
- Để tạo User Delegation SAS, bạn cần có Microsoft Entra ID credentials với role có chứa quyền:
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey - Quyền này có trong các role sau:
- Contributor
- Storage Account Contributor
- Storage Blob Data Contributor
- Storage Blob Data Owner
- Storage Blob Delegator
📌 Nguồn:
✅ Kết luận:
Đáp án chính xác: Microsoft Entra ID credentials assigned the Contributor role
🔐 Lý do: Đáp ứng yêu cầu bảo mật cao hơn, tránh sử dụng account key dễ bị lộ, đồng thời đủ quyền để tạo SAS token qua user delegation.
