Practice Assessment for Exam AZ-204: Developing Solutions for Microsoft Azure – 06
2 mins read

Practice Assessment for Exam AZ-204: Developing Solutions for Microsoft Azure – 06



✅ Phân tích đáp án câu hỏi

Tình huống

  • Bạn cần tạo Shared Access Signature (SAS) token cho quyền read access tới một blob trong storage account.
  • Mục tiêu là bảo mật token khỏi việc bị lộ (compromised).

🔍 Các lựa chọn:

Lựa chọnCó phù hợp không?Giải thích
Primary account key❌ KhôngCó thể tạo SAS token nhưng nếu bị lộ thì toàn bộ account bị rủi ro.
Secondary account key❌ KhôngGiống như khóa chính, vẫn có thể bị lộ và gây mất an toàn.
Microsoft Entra ID credentials assigned the Contributor roleĐúngCó quyền Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey — dùng để tạo User Delegation SAS token một cách bảo mật hơn.
Microsoft Entra ID credentials assigned the Reader role❌ KhôngKhông có quyền tạo SAS token hoặc delegation key.

📘 Bổ sung từ tài liệu chính thức

Mục tiêu của câu hỏi là kiểm tra kiến thức về bảo mật và ủy quyền khi tạo SAS token trong Azure Storage.

  • Để tạo User Delegation SAS, bạn cần có Microsoft Entra ID credentials với role có chứa quyền: Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey
  • Quyền này có trong các role sau:
    • Contributor
    • Storage Account Contributor
    • Storage Blob Data Contributor
    • Storage Blob Data Owner
    • Storage Blob Delegator

📌 Nguồn:


✅ Kết luận:

Đáp án chính xác: Microsoft Entra ID credentials assigned the Contributor role

🔐 Lý do: Đáp ứng yêu cầu bảo mật cao hơn, tránh sử dụng account key dễ bị lộ, đồng thời đủ quyền để tạo SAS token qua user delegation.

Leave a Reply

Your email address will not be published. Required fields are marked *