Practice Assessment for Exam AZ-204: Developing Solutions for Microsoft Azure – 08

✅ Phân tích đáp án câu hỏi

📌 Dịch câu hỏi:

Bạn muốn cấp quyền cho một người dùng để tạo danh tính được quản lý (managed identity) cho một máy ảo Azure (Azure virtual machine – VM).
Bạn cần đảm bảo các yêu cầu sau:

• Tài khoản người dùng phải có đủ quyền (sufficient permissions) để tạo managed identity.
• Phải tuân theo nguyên tắc “ít quyền nhất” (least privilege).

Câu hỏi:

Bạn nên gán vai trò (permission role) nào cho người dùng?

🔍 Các lựa chọn:

📘 Bổ sung từ tài liệu chính thức

Câu hỏi này kiểm tra kiến thức về nguyên tắc “ít quyền nhất” (least privilege) – đây là một phần thiết yếu trong việc xây dựng giải pháp đám mây an toàn (secure cloud solutions).

• Virtual Machine Contributor là vai trò tích hợp sẵn (built-in role) có ít quyền nhất nhưng vẫn đủ để thực hiện các tác vụ quản lý VM, bao gồm tạo managed identity.
• Các vai trò như Global Administrator hay Security Administrator tuy có quyền cao trên Microsoft Entra ID, nhưng không có đủ quyền trên Azure VM.
• Virtual Machine Administrator Login cũng không thể thực hiện thao tác tạo managed identity.

📌 Nguồn:

• Configure managed identities – Training | Microsoft Learn
• Configure managed identities using the Azure portal – Microsoft Learn

✅ Kết luận:

Đáp án chính xác: Virtual Machine Contributor

🔐 Lý do: Đây là vai trò phù hợp nhất (most appropriate role) vì đáp ứng được cả hai yêu cầu:

• Đủ quyền (sufficient permissions) để tạo managed identity cho VM.
• Tuân thủ nguyên tắc “ít quyền nhất” (least privilege) — chỉ cấp quyền tối thiểu cần thiết.