Practice Assessment for Exam AZ-204: Developing Solutions for Microsoft Azure – 040
✅ Phân tích đáp án câu hỏi
📌 Dịch câu hỏi:
Bạn có một vùng chứa (container) trong tài khoản lưu trữ Azure (Azure Storage account) tên là container1.
Bạn cần cấu hình quyền truy cập đến vùng chứa để đáp ứng các yêu cầu sau:
- Mã chia sẻ quyền truy cập (shared access signature – SAS token) phải được bảo mật bằng thông tin xác thực Microsoft Entra ID (Microsoft Entra ID credentials).
- Phải sử dụng kiểm soát truy cập dựa trên vai trò (role-based access control – RBAC).
- Mã SAS phải hỗ trợ việc cấp quyền truy cập đến các vùng chứa (granting access to containers).
Bạn nên sử dụng loại mã chia sẻ quyền truy cập (SAS) nào?
🔍 Các lựa chọn:
| Lựa chọn | Có phù hợp không? | Giải thích |
|---|---|---|
| account | ❌ Không | Account SAS sử dụng khóa tài khoản (account key) để cấp quyền truy cập, không hỗ trợ xác thực bằng Microsoft Entra ID và không dùng RBAC, do đó không đáp ứng yêu cầu. |
| user delegation | ✅ Đúng | User Delegation SAS là loại SAS duy nhất hỗ trợ bảo mật bằng thông tin Entra ID, cho phép dùng RBAC để kiểm soát quyền truy cập, và cấp quyền truy cập đến container. |
| service | ❌ Không | Service SAS cũng dựa trên account key, chỉ cấp quyền cho một dịch vụ lưu trữ riêng biệt (blob, queue, v.v.) và không hỗ trợ Entra ID hay RBAC. |
| stored access policy | ❌ Không | Stored Access Policy chỉ là cách nhóm và áp dụng giới hạn cho SAS đã tạo, không phải là loại SAS độc lập, và không hỗ trợ xác thực bằng Entra ID. |
📘 Bổ sung từ tài liệu chính thức
Mục này kiểm tra kiến thức của thí sinh về việc bảo mật tài khoản lưu trữ Azure (securing an Azure Storage account), một phần quan trọng trong việc phát triển giải pháp sử dụng blob storage.
User Delegation SAS đáp ứng toàn bộ yêu cầu, bao gồm:
- Bảo mật mã SAS bằng thông tin Microsoft Entra ID (Microsoft Entra ID credentials)
- Hỗ trợ kiểm soát truy cập dựa trên vai trò (RBAC)
- Cấp quyền truy cập cho các vùng chứa (containers)
Azure Storage hỗ trợ tạo loại SAS mới ở cấp độ tài khoản lưu trữ – gọi là User Delegation SAS.
Ngược lại:
- Service SAS chỉ cấp quyền cho một dịch vụ riêng lẻ như Blob, Queue, Table hoặc File.
- Stored Access Policy chỉ phục vụ cho việc quản lý các SAS đã tạo – không thể dùng để thay thế loại SAS cần bảo mật.
- Account SAS, Service SAS, và Stored Access Policy SAS đều không đáp ứng được yêu cầu xác thực bằng Entra ID và kiểm soát quyền bằng RBAC.
🔗 Nguồn tài liệu:
- Store application data with Azure Blob storage – Training | Microsoft Learn
- Secure your Azure Storage account – Training | Microsoft Learn
- Create a user delegation SAS – Azure Storage | Microsoft Learn
- Create an account SAS – Azure Storage | Microsoft Learn
- Create a service SAS – Azure Storage | Microsoft Learn
✅ Kết luận:
Đáp án chính xác:
✅ User Delegation SAS (Mã SAS được ủy quyền bởi người dùng)
🔐 Lý do:
- Là loại SAS duy nhất:
- Bảo mật bằng Microsoft Entra ID credentials
- Hỗ trợ RBAC
- Cấp quyền cho containers
- Các loại SAS khác (Account, Service, Stored Access Policy) không hỗ trợ các yêu cầu bảo mật hiện đại trong đề bài.
