[Azure] Az-500合格体験記
はじめに
Az-500に合格しました。
勉強方法や、知っておけばスムーズに回答できた知識をメモに残しておこうと思います。
学習資材
- ラーニングパス
こちらは定番ですが、出題範囲に関する学習ができるので、必ず実施してください。
- Udemy
ラーニグパスである程度の知識がついたら、練習問題で力試しをしましょう。
とはいえ練習問題が豊富ではないので、現状はUdemy一択だと思います。
AZ-500 Microsoft Azure Security Exam Certification 2022
学習時間
20~30時間程度だと思います。
試験の時に困った知識
BlobストレージのRABC設定時の条件
属性やインデックスという選択肢が出てきたが、これって何だったんだ。
→ ABACというアクセス制御の一環で登場する考え方のようである。主にBlobで使われる。コンテナ名やインデックスタグ名といった属性によってアクセス制御を行う。SASなどを使って細かくアクセス制御をしていたのが、運用が効率化できるようである。一部の機能はまだプレビューっぽいが、ほぼGAされていそう。
KVの所有者ってシークレット作れる?キーは?
シークレットは作れるっぽい…。多分キーも作れる。
恐らく、問題で出てきた所有者というのは、サブスクリプションレベルの"所有者"権限ではなく、実際にKVを作成したユーザのことを指すのだと思う。
実際にポータル上からも、KV作成者には自動的にアクセスポリシーが割り当てられる。
そのため、結果的にはアクセスポリシー制御なのは変わらないのだが、所有者(kv作成者)にはそのポリシーが自動的に割り当てられているのだろう。
MSポータルという許可アクションって存在する?
Azureポータル上からNSGを作るためのカスタムロールを作成したいという条件化での最小特権という問題で登場した選択肢
→ 特に無さそう。そもそもAzure Portalが覗けるかどうかの権限って無さそう。
MS Sentinelの分析ルールの種類とは?
fusionとかあったが、完全初見…
そもそも分析ルールとは、Sentinelが不審なアクティビティがないかを分析するときに使われるルールのことである。fusionというのは組み込みのテンプレートの1つになる。
MS Defender for Cloudって最初有効化は必要?
Freeプランはデフォルトで有効化され、一部の機能は利用ができる。ただし、強化されたセキュリティ機能を使いたい場合には、別途有効化が必要になる。問題文まで忘れてしまったが、これだけ覚えておけば場合分けで問題なさそう。
ASGってどのレベルのサービス?
Vnet跨ってはダメ?サブスクリプションレベルのリソース?
→ 同一リージョン内のNICを登録できるっぽい。
実際に試してみた。
test1は東日本リージョンのNICで、ASGも東日本に作成してある。
適用が可能。1つ以上割り当てることが可能らしい。
→ できない!赤枠にも記載してある通り、最初に割り当てたNICと同じVnet内に存在しないといけないらしい。そのため、ASGはVnetリソースと言える。なので、同一リージョンだけというのは厳密には間違っていることに注意。そもそもVnetが同じでないといけないので、同一リージョンにはなるのだが…厳密さに欠ける記載だなと。
ここまでくると当たり前だが、別リージョンにある違うVnetはもちろん割り当てが不可能。
ASGとNICの対応関係
1対1の関係かと思っていたが、ASG:NIC = 多:1 にできる。ようは、1つのNICに対して、複数のASGを割り当てられるのだ。
Discussion