Practice Assessment for Exam AZ-204: Developing Solutions for Microsoft Azure – 038
✅ Phân tích đáp án câu hỏi
📌 Dịch câu hỏi:
Bạn đang quản lý một ứng dụng Azure App Service Functions tên là app1 và một tài khoản lưu trữ (storage account) tên là account1.
Bạn có các yêu cầu sau:
- App1 phải truy cập account1 mà không cần quản lý thông tin xác thực (without managing credentials).
- Thực thể dịch vụ (service principal) được liên kết với app1 không được phép bị xóa thủ công (cannot be explicitly deleted).
Bạn cần cấu hình loại thực thể bảo mật (security principal) nào cho app1?
🔍 Các lựa chọn:
| Lựa chọn | Có phù hợp không? | Giải thích |
|---|---|---|
| Ứng dụng (application) | ❌ Không | Một application object đại diện cho một ứng dụng trong Microsoft Entra ID, nhưng không thể tự mình truy cập tài nguyên mà không có một service principal hoặc managed identity. |
| Managed identity được gán hệ thống (system-assigned managed identity) | ✅ Đúng | System-assigned managed identity sẽ tự động tạo ra một service principal, liên kết trực tiếp với vòng đời của app1 và không thể bị xóa thủ công (cannot be explicitly deleted) – phù hợp tuyệt đối với cả hai yêu cầu đề bài. |
| Managed identity do người dùng gán (user-assigned managed identity) | ❌ Không | Dù cũng không cần quản lý thông tin xác thực, nhưng user-assigned identity có thể dùng chung nhiều ứng dụng và có thể bị xóa thủ công, không đáp ứng yêu cầu thứ hai. |
| Legacy (ứng dụng kiểu cũ) | ❌ Không | Legacy service principal là dạng cũ, không hỗ trợ truy cập bảo mật hiện đại, và không phù hợp với Azure App Service và managed identity ngày nay. |
📘 Bổ sung từ tài liệu chính thức
Mục này kiểm tra kiến thức của thí sinh về cách triển khai định danh được quản lý (managed identities) – một phần của việc triển khai giải pháp đám mây an toàn (secure cloud solutions).
Managed identities for Azure resources giúp loại bỏ nhu cầu quản lý thông tin xác thực trong mã (eliminate the need to manage credentials in code).
- System-assigned managed identity chỉ có một danh tính duy nhất cho mỗi tài nguyên, liên kết trực tiếp với vòng đời của tài nguyên đó, và khi được kích hoạt, nó sẽ tự động tạo ra một service principal, không thể bị xóa thủ công (cannot be explicitly deleted).
- User-assigned managed identity có thể dùng cho nhiều tài nguyên khác nhau, nhưng phải xóa thủ công khi không cần.
- Legacy service principal là dành cho các ứng dụng cũ, không còn phù hợp với các phương pháp bảo mật hiện đại.
🔗 Nguồn tài liệu:
- Implement managed identities – Training | Microsoft Learn
- Apps & service principals in Azure AD – Microsoft Entra | Microsoft Learn
✅ Kết luận:
Đáp án chính xác:
✅ System-assigned managed identity (Định danh được gán bởi hệ thống)
🔐 Lý do:
- Giúp truy cập tài nguyên như Storage Account mà không cần quản lý thông tin xác thực.
- Tự động tạo ra service principal khi bật lên.
- Không thể bị xóa thủ công, đúng với yêu cầu của đề bài.
