Bạn đang có một vùng chứa thuộc tài khoản lưu trữ Azure (Azure Storage account container) tên là container1.
Bạn cần cấu hình quyền truy cập vào vùng chứa này để đáp ứng các yêu cầu sau:
Mã thông báo chia sẻ quyền truy cập (shared access signature – SAS token) phải được bảo mật bằng thông tin xác thực từ hệ thống nhận dạng Microsoft Entra (Microsoft Entra ID credentials).
Kiểm soát truy cập dựa trên vai trò (role-based access control – RBAC) phải được sử dụng.
Mã thông báo SAS (SAS token) phải hỗ trợ cấp quyền truy cập vào vùng chứa (granting access to containers).
Câu hỏi:
Bạn nên sử dụng loại mã thông báo chia sẻ quyền truy cập (SAS) nào?
🔍 Các lựa chọn:
Lựa chọn
Có phù hợp không?
Giải thích
account
❌ Không
Mã SAS theo tài khoản (Account SAS) không hỗ trợ xác thực bằng hệ thống nhận dạng Entra (Microsoft Entra ID) hay kiểm soát truy cập theo vai trò (RBAC) – nó chỉ dựa vào khóa truy cập tài khoản (account key), do đó không đáp ứng yêu cầu đề bài.
user delegation
✅ Đúng
Mã SAS được ủy quyền bởi người dùng (User Delegation SAS) hỗ trợ xác thực bằng thông tin Entra ID (Microsoft Entra ID credentials), cho phép sử dụng RBAC, và cấp quyền đến vùng chứa (container). Đây là lựa chọn duy nhất chính xác.
service
❌ Không
Mã SAS theo dịch vụ (Service SAS) không hỗ trợ Microsoft Entra ID hoặc RBAC, vì nó dựa trên khóa tài khoản (account key).
stored access policy
❌ Không
Chính sách truy cập lưu trữ (Stored Access Policy) không phải là một loại mã SAS (SAS) độc lập, mà là một chính sách phụ trợ (supporting policy) – không hỗ trợ xác thực bằng Microsoft Entra ID.
📘 Bổ sung từ tài liệu chính thức
Mục này kiểm tra kiến thức của thí sinh về việc bảo mật tài khoản lưu trữ Azure (securing an Azure Storage account), đây là một phần của việc phát triển các giải pháp sử dụng kho lưu trữ dạng khối (blob storage).
Mã SAS do người dùng ủy quyền (User Delegation SAS) đáp ứng tất cả các yêu cầu, bao gồm việc bảo mật mã thông báo SAS (securing the SAS token) bằng thông tin xác thực từ Microsoft Entra ID (Microsoft Entra ID credentials), hỗ trợ kiểm soát truy cập theo vai trò (RBAC), và cấp quyền truy cập vào vùng chứa (granting access to containers).
Dịch vụ lưu trữ Azure (Azure Storage) hỗ trợ việc tạo một loại mã SAS mới ở cấp tài khoản (new type of SAS at the level of the storage account). Một mã SAS theo dịch vụ (Service SAS) chỉ ủy quyền truy cập vào một trong các dịch vụ lưu trữ riêng lẻ như blob, queue, table hoặc file.
Một chính sách truy cập lưu trữ (Stored Access Policy) được dùng để nhóm các mã SAS chia sẻ quyền truy cập (shared access signatures – SAS) lại và áp dụng thêm các giới hạn cho các chữ ký bị ràng buộc bởi chính sách.
Các loại mã SAS như theo tài khoản (account), theo dịch vụ (service) và chính sách truy cập lưu trữ (stored access policy) đều không đáp ứng được yêu cầu về việc bảo mật SAS bằng thông tin xác thực Entra ID (Microsoft Entra ID credentials) và hỗ trợ RBAC để quản lý quyền.
