Practice Assessment for Exam AZ-204: Developing Solutions for Microsoft Azure – 037
✅ Phân tích đáp án câu hỏi
📌 Dịch câu hỏi:
Bạn dự định tạo một mã chia sẻ quyền truy cập (shared access signature – SAS token) để truy cập đọc (read access) vào một đối tượng blob trong một tài khoản lưu trữ (storage account).
Bạn cần đảm bảo mã SAS không bị xâm phạm (compromised).
Bạn nên sử dụng gì?
🔍 Các lựa chọn:
| Lựa chọn | Có phù hợp không? | Giải thích |
|---|---|---|
| Khóa tài khoản chính (Primary account key) | ❌ Không | Khóa tài khoản chính (primary account key) có thể dùng để tạo mã SAS, nhưng rất dễ bị lộ hoặc bị khai thác nếu không bảo mật đúng cách. |
| Khóa tài khoản phụ (Secondary account key) | ❌ Không | Tương tự như khóa chính, khóa phụ vẫn có thể bị xâm phạm, vì vậy không đáp ứng yêu cầu bảo mật cao của đề bài. |
| Thông tin xác thực Microsoft Entra ID có vai trò Contributor (Microsoft Entra ID credentials assigned the Contributor role) | ✅ Đúng | Vai trò Contributor chứa quyền Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey, cho phép tạo User Delegation SAS – loại mã SAS bảo mật cao nhất vì không cần khóa tài khoản. Đây là lựa chọn duy nhất đáp ứng tiêu chí bảo mật. |
| Thông tin xác thực Microsoft Entra ID có vai trò Reader (Microsoft Entra ID credentials assigned the Reader role) | ❌ Không | Vai trò Reader chỉ cho phép xem dữ liệu, không có quyền tạo mã SAS, và không có quyền generateUserDelegationKey, nên không dùng được trong trường hợp này. |
📘 Bổ sung từ tài liệu chính thức
Mục này kiểm tra kiến thức của thí sinh về mã chia sẻ quyền truy cập trong Azure Storage (Azure Storage shared access signatures – SAS).
Thông tin xác thực từ Microsoft Entra ID (Microsoft Entra ID credentials) là bắt buộc để tạo mã SAS theo cách bảo mật. Tài khoản được sử dụng cần có quyền:
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKeyQuyền này có trong các vai trò tích hợp sẵn (built-in roles) sau:
- Contributor
- Storage Account Contributor
- Storage Blob Data Contributor
- Storage Blob Data Owner
- Storage Blob Data Reader
- Storage Blob Delegator
Khóa tài khoản (account key) vẫn có thể được dùng để tạo mã SAS, nhưng dễ bị xâm phạm hơn (more easily compromised) và không được khuyến khích cho mục tiêu bảo mật cao.
🔗 Nguồn tài liệu:
- Discover shared access signatures – Training | Microsoft Learn
- Create a user delegation SAS – Azure Storage | Microsoft Learn
✅ Kết luận:
Đáp án chính xác:
✅ Thông tin xác thực Microsoft Entra ID có vai trò Contributor (Microsoft Entra ID credentials assigned the Contributor role)
🔐 Lý do:
- Chỉ có các vai trò như Contributor mới có quyền tạo User Delegation SAS, là loại mã chia sẻ quyền truy cập bảo mật nhất vì:
- Không sử dụng khóa tài khoản.
- Sử dụng quyền được cấp từ Microsoft Entra ID.
- Các khóa tài khoản (cả chính và phụ) có thể bị xâm phạm nếu lộ ra ngoài.
