Practice Assessment for Exam AZ-204: Developing Solutions for Microsoft Azure – 043
✅ Phân tích đáp án câu hỏi
📌 Dịch câu hỏi:
Một công ty đang sử dụng Azure API Management để công khai một số dịch vụ của mình.
Mỗi lập trình viên (developer) sử dụng API cần dùng một khóa duy nhất (a single key) để truy cập nhiều API mà không cần sự phê duyệt của người xuất bản API (API publisher).
Bạn cần đề xuất giải pháp nào?
🔍 Các lựa chọn:
| Lựa chọn | Có phù hợp không? | Giải thích |
|---|---|---|
| Định nghĩa một đăng ký có phạm vi cho tất cả các API (Define a subscription with all APIs scope) | ❌ Không | Điều này cấp quyền truy cập cho tất cả API, không kiểm soát được ai được truy cập API nào – không phù hợp với mục tiêu kiểm soát theo nhóm dịch vụ (product). |
| Định nghĩa một đăng ký theo phạm vi sản phẩm (Define a subscription with product scope) | ✅ Đúng | Trong Azure API Management, bạn có thể nhóm nhiều API vào một sản phẩm (product) và tạo đăng ký (subscription) cho sản phẩm đó. Điều này cho phép truy cập nhiều API chỉ với một khóa, đúng với yêu cầu đề bài. |
| Hạn chế truy cập dựa trên địa chỉ IP của người gọi (Restrict access based on caller IPs) | ❌ Không | Đây là một cách hạn chế mạng, không đảm bảo quản lý truy cập linh hoạt cho nhiều nhà phát triển – không phù hợp với tình huống yêu cầu cấp quyền truy cập theo khóa đăng ký. |
| Hạn chế API dựa trên chứng chỉ máy khách (Restrict APIs based on client certificate) | ❌ Không | Dùng client certificate đòi hỏi xác thực bằng chứng chỉ số và thêm logic để ánh xạ người dùng với API, phức tạp và không cần thiết cho bài toán chỉ yêu cầu quản lý bằng một khóa đơn. |
📘 Bổ sung từ tài liệu chính thức
Mục này kiểm tra kiến thức của thí sinh về quản lý đăng ký API trong Azure API Management (Azure API Management subscriptions).
Khi tạo một sản phẩm (product), bạn có thể thêm nhiều API vào sản phẩm đó, sau đó liên kết một đăng ký (subscription) với sản phẩm.
- Việc này cho phép nhà phát triển truy cập nhiều API chỉ với một khóa duy nhất (single subscription key).
- Không nên cấp quyền cho toàn bộ API.
- Địa chỉ IP (caller IP) không phải là cơ chế phù hợp để phân quyền truy cập cho nhà phát triển.
- Chứng chỉ máy khách (client certificate) yêu cầu cấu hình phức tạp và không thích hợp trong bối cảnh đơn giản như đề bài.
🔗 Nguồn tài liệu:
- Secure APIs by using subscriptions – Training | Microsoft Learn
- Subscriptions in Azure API Management | Microsoft Learn
✅ Kết luận:
Đáp án chính xác:
✅ Define a subscription with product scope (Định nghĩa một đăng ký theo phạm vi sản phẩm)
🔐 Lý do:
- Giải pháp cho phép:
- Truy cập nhiều API qua một khóa duy nhất
- Không cần sự phê duyệt từ API publisher
- Đáp ứng đúng và đủ yêu cầu đề bài.
