문제 1)
Subscription1이라는 Azure구독에는 RG1이라는 리소스 그룹이 포함되어있습니다.
RG1에서 LB1이라는 Internal Load Balancer와 LB2라는 Public Load Balancer를 만들고자합니다.
Admin1이라는 관리자가 LB1과 LB2를 관리할 수 있는지 확인하고자 합니다.
솔루션은 최소 권한 원칙을 따라야합니다.
각 작업에 대해 Admin1에게 어떤 역할을 할당해야합니까?
LB1의 Backend Pool을 관리를 위한 권한
A. Contributor on LB1
B. Network Contributor on LB1
C. Network Contributor on RG1
D. Owner on LB1
LB2의 health probe 관리를 위한 권한
A. Contributor on LB2
B. Network Contributor on LB2
C. Network Contributor on RG1
D. Owner on LB2
답 ) LB1 - Network Contributor on RG1
LB2 - Network Contributor on RG1
해설 )
Contributor(기여자)의 역할은 모든 리소스를 관리하기 위한 전체 액세스 권한 부여 됨
최소 권한 원칙을 따라야한다고 했기 때문에 더 구체화된 Network Contributor on LB1을 선택해야만 함.
하지만 효과적인 리소스 관리를 위해서는 그룹 단위에서 액세스하는 것이 올바르기 떄문에 RG1 contributor 권한을 주는 것이 적절함
최소 권한 원칙이란 관리자가 특정 리소스에 최소한의 권한만을 가져야 한다는 것임
* health probe란?
Azure Load Balancer에서 사용하는 기능으로 백엔드 서버의 상태를 지속적으로 모니터링하고, 정상적인 서버에만 트래픽을 전달하여 가용성과 안정성을 높이는 역할을 함
⭐️ 문제 2)
contoso.com 이라는 Azure AD 테넌트와 AKS1 이라는 Azure Kubernetes Service 클러스터가 포함된 Azure 구독이 있습니다.
관리자가 contoso.com의 사용자에게 AKS1에 대한 액세스 권한을 부여할 수 없다고 보고합니다.
AKS1에 대한 액세스 권한이 contosom.com 사용자에게 부여될 수 있는지 확인하려면 먼저 무엇을 해야합니까?
A. contoso.com에서 조직 관계 설정 수정
B. contoso.com에서 OAuth 2.0 권한 부여 엔드포인트 생성
C. AKS1을 다시 만듬
D. AKS1에서 네임스페이스를 생성
답 ) B
해설 )
클러스터 관리자는 사용자의 ID 또는 디렉토리 그룹 멤버십을 기반으로 Kubernetes RBAC(Role Based Access Control)을 구성할 수 있음
Azure AD 인증은 OpenID Connect를 통해 AKS 클러스터에 제공됨
OpenID Connect 는 OAuth 2.0 프로토콜 위에 구축된 ID 계층이므로 Azure AD와 AKS 간의 통합을 위해서는 해당 엔드포인트를 먼저 만들어야함
문제 3)
Microsoft 365 테넌트와 contoso.com이라는 Azure AD 테넌트가 있습니다.
User1, User2, User3라는 세 명의 사용자에게 Library1이라는 임시 Microsoft Share Point 문서 라이브러리에 대한 액세스 권한을 부여할 계획입니다.
이를 위해서는 사용자에 대한 그룹을 만들어야합니다.
그리고 180일 후에 그룹이 자동으로 삭제되도록 해야합니다.
어떤 두 그룹을 만들어야 합니까?
A. Assigned Membership type을 사용하는 Microsoft 365그룹
B. Assigned Membership type을 사용하는 보안 그룹
C. Dynamic User Membership type을 사용하는 Microsoft 365 그룹
D. Dynamic User Membership type을 사용하는 보안 그룹
E. Dynamic Device Membership type을 사용하는 보안 그룹
답 ) A, C
해설 )
User 1,2,3의 세 명의 사용자에게 액세스 권한을 수동으로 부여 => A
그룹이 자동으로 삭제 => C
- Microsoft 365 그룹
- 협업 및 공동 작업을 위한 그룹
- 이메일, 파일 공유, 일정 관리 등 다양한 Microsoft 365 서비스와 통합되어 사용됨
- Security 그룹
- 보안 및 접근제어를 위해 사용되는 그룹
- 사용자가 특정 리소스(파일, 앱) 에 접근할 수 있도록 권한 부여 및 제한
문제 4)
contoso.com 이라는 Azure AD 테넌트가 있으며, 다음 표에 나와 있는 사용자가 포함됩니다.
User3는 Group1의 소유자입니다.
Group2는 Group1의 멤버입니다.
다음 그림과 같이 Review1이라는 액세스 검토를 구성합니다.
각 문장에 대해 True, False 선택하시오
A. User3은 User1의 access review를 수행할 수 있다.
B. User3은 UserA의 access review를 수행할 수 있다.
C. User3은 UserB의 access review를 수행할 수 있다.
답) A. False / B. False / C. True
Scope를 Guest users only로 설정했기 때문에 Group owner는자신의 그룹의 게스트 & 중첩된 그룹의 Access Review 가능
"User3은 User1의 access review를 수행할 수 있다."
User1은 게스트가 아닌 멤버이기 때문에 불가능
"User3은 UserA의 access review를 수행할 수 있다."
UserA도 멤버이기 때문에 불가능
"User3은 UserB의 access review를 수행할 수 있다."
Group2는 Group1에 중첩된 그룹임
Access Review는 그룹 중첩을 지원하기 때문에 Group2의 게스트도 가능
문제 5)
다음과 같은 Azure 관리 그룹이 있습니다.
관리 그룹에 다음 표와 같이 Azure 구독을 추가합니다.
다음 표와 같이 Azure 정책을 만듭니다.
각 문항에 대해 참 거짓을 선택하세요.
A. Subscription1에 대해 Virtual Network(VNET)을 만들 수 있습니다.
B. Subscription2에 대해 Virtual Machine(VM)을 만들 수 있습니다.
C. ManagementGroup11에 Subscription1을 추가할 수 있습니다.
답) A. False / B. False / C. False
Tenant Root
/ \
MG11 MG12(Sub2)
/
MG21(Sub1)
"Subscription1에 대해 Virtual Network(VNET)을 만들 수 있습니다."
Sub1은 Management21에, Management21은 Management11에 속해있음
Management11은 Tenant Root 그룹에 속해있음
Tenant 그룹은 VNET 에 대한 허용되지 않은 리소스 유형 정책이 적용되어있기 때문에 VNET 생성 불가
"Subscription2에 대해 Virtual Machine(VM)을 만들 수 있습니다."
VM을 만들기 위해서는 VNET 을 먼저 생성해야 함
결국 Management12가 포함된 Tenant Root그룹에서는 VNET 리소스 유형을 생성할 수 없기 때문에 Sub2에 VM을 생성할 수 없음
"ManagementGroup11에 Subscription1을 추가할 수 있습니다."
Sub1의 관리 그룹은 ManagementGroup12임
Azure에서의 구독은 한 번에 하나의 관리 그룹에만 속할 수 있기 때문에, Sub1을 ManagementGroup11에 이동은 할 수 있지만, 추가할 수는 없음
문제 6)
다음과 같은 Azure 정책이 있습니다.
이 정책의 효과는 무엇인가요?
A. Subscription1에서의 어떤 곳에도 Azure SQL Server를 만들 수 없습니다.
B. ContosoRG1에서만 Azure SQL Server를 만들 수 있습니다.
C. ContosoRG1에서만 Azure SQL Server를 만들 수 없습니다.
D. Subscription1 내의 모든 리소스 그룹에서 Azure SQL Server를 만들 수 있습니다.
답) B
해설) Exclusions 의 Subscription1/ContosoRG1이라고 입력되어있음
문제 7)
다음의 표와 같은 리소스를 포함하는 애저 구독이 있습니다.
다음 표와 같이 RG6에 정책을 할당합니다.
RG6에 'RGroup:RG6' 태그를 적용합니다.
RG6에 VNET2라는 가상 네트워크를 배포합니다.
VNET1과 VNET2에 적용되는 태그는 무엇입니까?
<VNET1>
A. None
B. Department : D1 only
C. Department : D1, and RGroup : RG6 only
D. Department : D1, and Label: Value1 only
E. Department : D1, RGroup : RG6, and Label : Value1
<VNET2>
A. None
B. RGroup : RG6 only
C. Label: Value1 only
D. RGroup : RG6, and Label: Value1
답 ) B, C
해설 )
이 문제는 정책 할당에 관한 것
정책은 정책이 적용된 후에만 생성된 리소스에 대해 적용됨
VNET1은 정책을 리소스 그룹 할당하기 전에 생성되므로 Department :D1 태그만 존재
리소스 그룹 또는 구독에 적용된 태그는 상속되지 않음
따라서 VNET2은 정책 할당 후 생성되었고, RG6내에 생성되었지만 RG6의 태그를 상속받지않기 때문에 Label:Value1 태그만 존재
문제 8)
다음의 표와 같은 리소스를 포함하는 AZPT1이라는 Azure 구독이 있습니다.
새로운 AZPT2라는 애저 구독을 만들고자 합니다.
AZPT2로 옮길 수 있는 리소스를 식별하고자합니다.
해당하는 리소스는 무엇입니까?
A. VM1, storage1, VNET1, and VM1Managed only
B. VM1 and VM1Managed only
C. VM1, storage1, VNEt1, VM1Managed, and RVAULT1
D. RVAULT1 only
답 ) C
해설 )
Azure에서 이동할 수 있는 리소스 종류는 다음과 같다.
VM, disk, Stoarge계정, SQL server와 관련된 모든 데이터베이스, VNET, 네트워크 보안 그룹, VAULT(Recovery Services Vault, 리소스의 백업 및 복구 솔루션을 제공하는 서비스)
해당 리소스는 리소스 그룹과 구독 간에 이동 가능, 하지만 리소스의 물리적 위치는 변경되지 않음
문제 9)
Admin1이라는 사용자를 포함한 Azure 구독을 만들었습니다.
Admin1은 Azure Resource Manager 템플릿을 사용하여 Azure Marketplace 리소스를 배포하려합니다.
Admin1은 Azure Powershell을 사용하여 템플릿을 배포하고 다음과 같은 오류 메세지를 받습니다.
오류 메시지: 구독의 항목에 대한 법적 조건이 수락되지 않았습니다.
법적 조건을 수락하려면 Azure Portal로 이동하여 Marketplace 항목에 대한 프로그래밍 방식 배포를 구성하거나 해당 항목을 다시 생성하시오.
Admin1이 Marketplace 리소스를 성공적으로 배포할 수 있는지 확인하려면 어떻게 해야합니까?
A. Azure Powershell에서 Set-AzApiManagementSubscription cmdlet을 실행합니다.
B. Azure Portal에서 Microsoft.Marketplace 리소스 공급자를 등록합니다.
C. Azure PowerShell에서 Set-AzMarketplaceTerms cmdlet을 실행합니다.
D. Azure Portal에서 Admin1에 청구 관리자 역할을 할당합니다.
답 ) C
해설 )
A. Set-AzApiManagementSubscription cmdlet은 Azure API Management 구독을 설정하는데 사용됨
문제 10)
5,000개의 사용자 계정이 포함된 Azure Active Directory(Azure AD) 테넌트가 있습니다.
AdminUser1이라는 새 사용자 계정을 만듭니다.
AdminUser1에 User administrator 관리 역할을 할당해야 합니다.
사용자 계정 속성에서 무엇을 해야 합니까?
A. 라이센스 blade에서, 새로운 라이센스를 할당
B. 디렉토리 역할 blade에서, 디렉토리 역할을 수정
C. 그룹 blade에서 새로운 그룹에 사용자를 초대
답 ) B
해설 )
Active Directory -> 섹션관리 -> 역할 및 관리자 -> 디렉터리 역할 -> 관리자를 검색하여 사용자를 할당
문제 11)
contoso.onmicrosoft 라는 Azure AD 테넌트에는 100개의 사용자 계정이 있습니다.테넌트에 대해 10개의 Azure AD Premium P2 라이선스를 구매합니다.10명의 사용자가 모든 Azure AD Premium 기능을 사용할 수 있도록 해야합니다.어떻게 해야합니까?
A. Azure AD 라이선스 블레이드에서 라이선스를 할당B. 각 사용자 그룹 블레이드에서 사용자를 그룹에 초대C. Azure AD 도메인에서 엔터프라이즈 애플리케이션을 추가
D. 각 사용자의 디렉토리 역할 블레이드에서 디렉토리 역할을 수정
답 ) A
해설 )
B. 사용자를 그룹에 초대하는 것은 그룹 관리를 위한 방법임
D. 디렉토리 역할을 수정하는 것은 사용자에게 권한을 부여하는 방법임
문제 12)
Subscription1이라는 Azure 구독과 Microsoft System Center Service Manager의 온프레미스 배포가 있습니다.
Subscription1에는 VM1이라는 가상 머신이 있습니다.
VM1에서 사용 가능한 메모리 양이 10% 미만일 때 Service Manager에 경고가 설정되었는지 확인해야 합니다.
가장 먼저 무엇을 해야 합니까?
A. automation runbook 만들기
B. function app 배포
C. ITSM(IT Service Management Connector) 배포
D. notification 만들기
답 ) C
해설 )
ITSMC를 사용하면 Azure 에 지원되는 ITSM 제품 및 서비스를 연결할 수 있음
이는 Azure Log Analytics 및 Azure Monitor, Azure 리소스의 문제를 감지, 분석 및 해결하는 도구를 제공
문제 13 )
Azure AD Premium P2에 가입합니다.
Azure AD 도메인에 가입할 모든 컴퓨터에 admin1@contoso.com 이라는 사용자를 관리자로 추가해야합니다.
Azure AD에서 무엇을 구성해야합니까?
A. 장치 블레이드에서 장치 설정
B. MFA 서버 블레이드의 공급자
C. 사용자 블레이드의 사용자 설정
D. 그룹 블레이드의 일반 설정
답 ) A
해설 )
장치 블레이드의 설정을 통해 특정한 사용자가 Azure AD에 가입된 장치의 관리자로 지정할 수 있다.
B. MFA (Multi factor authentication) 서버와 관련된 설정으로 이 설정은 사용자 인증과 관련됨
C. 사용자 설정은 사용자에게 장치 관리자 권한을 직접적으로 부여하는 설정은 아님
D. 그룹 블레이드는 그룹 설정에 관한 것임
문제 14 )
다음 표에 있는 user를 포함하는 Contoso.com 이라는 이름의 Azure AD 테넌트가 있습니다.
Contoso.com 은 다음 표와 같이 Windows 10 장치를 포함하고 있습니다.
Contoso.com에 다음의 보안 그룹을 만드려고 합니다.
다음의 문항에 대해서 T, F를 선택하세요
A. User1은 Group1에 Device2를 추가할 수 있음
B. User2은 Group1에 Device1를 추가할 수 있음
C. User2은 Group2에 Device2를 추가할 수 있음
답 ) A - False / B - True / C - False
Azure AD의 그룹 내에는 Registered(등록)된 장치와 joined(가입)된 장치를 모두 포함할 수 있음
그룹의 Owner는 해당 그룹에 장치를 추가할 수 있는 권한을 가짐
따라서 User2는 Device1을 Group2에 추가할 수 있음
클라우드 장치 관리자 및 전역관리자(Global Administrator)의 경우 등록 및 가입된 장치를 활성, 비활성화 및 삭제할 수 있는 권한만 있고 추가할 수는 없음
따라서 User1은 Device2 추가 불가능
동적 멤버십 그룹은 자동으로 구성되기 때문에 수동으로 장치를 추가할 수 있는 권한이 없음
따라서 User2는 Device2를 Group2에 추가 불가능
문제 15 )
RG26이라는 리소스 그룹이 포함된 Azure 구독이 있습니다.
RG26은 서유럽(West Europe) 위치로 설정되어 있으며 프로젝트에 대한 임시 리소스를 만드는 데 사용됩니다.
RG26에는 다음 표에 나와 있는 리소스가 포함되어 있습니다.
SQLDB01은 RGV1에 백업됩니다.
프로젝트가 완료되면 Azure Portal에서 RG26을 삭제하려고 하지만 삭제가 실패합니다.
RG26을 삭제하려면 먼저 무엇을 해야 합니까?
A. VM1 삭제
B. VM1 중지
C. SQLDB01 백업 중지
D. sa001 삭제
답 ) C
해설 )
백업 데이터가 포함된 vault는 삭제할 수 없기 때문에 백업 중지 작업을 가장 먼저 수행해야한다.
문제 16)
Subscription1이라는 Azure 구독이 있고 여기에는 VNet1이라는 가상 네트워크가 포함되어 있습니다.
VNet1은 RG1이라는 리소스 그룹에 있습니다.
Subscription1에는 User1이라는 사용자가 있습니다.
User1은 다음 역할을 가지고 있습니다.
- Reader
- Security Admin
- Security Reader
User1이 VNet1의 Reader 역할을 다른 사용자에게 할당할 수 있는지 확인해야 합니다.
어떻게 해야 합니까?
A. Subscription1에 대한 Security Reader 및 Reader 역할에서 User1을 제거합니다.
B. User1에게 VNet1의 사용자 액세스 관리자 역할을 할당합니다.
C. User1에게 VNet1의 네트워크 기여자(Contributor) 역할을 할당합니다.
D. User1에게 RG1의 네트워크 기여자 역할을 할당합니다.
답 ) B
해설 ) User Access Administrator 역할은 다음과 같음
- Azure 리소스에 대한 사용자 액세스 관리
- Azure RBAC에서 역할 할당
- 자신 또는 다른 사용자에게 Owner 역할 할당
Contributor(기여자)는 역할 할당에 대한 권한이 없음 (네트워크 기여자의 경우 네트워크를 관리할 수 있는 기능만 가짐)
문제 17)
contosocloud.onmicrosoft.com이라는 Azure Active Directory(Azure AD) 테넌트가 있습니다.
회사에는 contoso.com에 대한 퍼블릭 DNS 영역이 있습니다.
contoso.com을 Azure AD에 사용자 지정 도메인 이름으로 추가합니다.
Azure가 도메인 이름을 검증할 수 있는지 확인해야 합니다.
어떤 유형의 DNS 레코드를 만들어야 합니까?
A. MX
B. NSEC
C. PTR
D. RRSIG
답 ) A
해설 )
MX 는 메일 교환 레코드로, 이메일 서버를 지정하는 데 사용됨
도메인이 사용자 도메인을 소유하고 있는지 확인하기 위해서는 TXT 레코드를 추가해야하지만, 해당 선택지에 없음
NESC는 DNSSEC(Domain Name System Security Extensions)의 일부로 도메인 네임의 존재 여부를 확인하는 데 사용, 도메인 검증에는 관련 X
PTR은 IP 주소를 도메인 이름으로 매핑하는 데 사용되는 역방향 DNS 레코드
RRSIG는 DNSSEC에서 사용되는 서명 레코드
문제 18)
동일한 시나리오에 대해서 해당 솔루션이 적절한지에 대한 문제
<시나리오>
Adatum이라는 Azure Directory(Azure AD) 테넌트와 Subscription1이라는 Azure 구독이 있습니다.
Adatum에는 Developers라는 그룹이 있습니다.
Subscription1에는 Dev라는 리소스 그룹이 있습니다.
Developers 그룹의 Dev 리소스 그룹에서 Azure logic Apps를 만들 수 있는 기능을 제공해야 합니다.
솔루션 : Subscription1의 Developers 그룹에 DevTest Labs 사용자 역할을 할당합니다.
답 ) False
해설 )
Azure DevTest Labs는 Logic Apps가 아닌 Azure DevTest Labs에 사용되는 역할임
DevTest Labs 사용자 역할은 Azure DevTest Labs에서 VM을 연결, 시작, 재시작 및 종료할 수만 있음
문제 19)
솔루션 : Subscription1의 Developers 그룹에 Logic App Operator 역할을 할당합니다.
답 ) False
해설 )
Logic App Operator는 Logic App을 읽고, 활성화 및 비활성화할 수 있지만 편집하거나 업데이트할 수는 없음
문제 20 )
솔루션 : Developers 그룹에 Contributor 역할을 할당합니다.
답 ) True
해설 )
Logic App Contributor 역할은 Logic Apps를 만들 수는 있지만 액세스할 수는 없음
Logic App을 보고, 편집하고, 업데이트할 수 있는 액세스 권한만을 제공함
Ref ) https://www.examtopics.com/discussions/microsoft/
Microsoft discussions - ExamTopics Forum
www.examtopics.com
'클라우드네이티브 > MS Azure' 카테고리의 다른 글
| [Azure-104] Dump 한글판 문제풀이 #2 (TOPIC 1 No.21~ No.40) (1) | 2024.10.17 |
|---|---|
| [Azure-104] Dump 한글판 문제풀이 #1 (TOPIC 1 No.01~ No.20) (0) | 2024.09.26 |
| [Azure-104] Azure ID 및 거버넌스 관리 - Microsoft Entra ID 이해 (2) | 2024.08.21 |
