AZ-104-KR 문제 66
Azure Active Directory(Azure AD) 테넌트가 있습니다.
Policy1이라는 기존 Azure AD 조건부 액세스 정책이 있습니다. Policy1은 Global Administrators 그룹의 멤버가 신뢰할 수 없는 위치에서 Azure AD에 인증할 때 Azure AD에 가입된 디바이스 사용을 강제합니다.
신뢰할 수 없는 위치에서 인증할 때 글로벌 관리자 그룹의 구성원도 다중 요소 인증을 사용하도록 강제해야 합니다.
어떻게 해야 할까요?
Policy1이라는 기존 Azure AD 조건부 액세스 정책이 있습니다. Policy1은 Global Administrators 그룹의 멤버가 신뢰할 수 없는 위치에서 Azure AD에 인증할 때 Azure AD에 가입된 디바이스 사용을 강제합니다.
신뢰할 수 없는 위치에서 인증할 때 글로벌 관리자 그룹의 구성원도 다중 요소 인증을 사용하도록 강제해야 합니다.
어떻게 해야 할까요?
AZ-104-KR 문제 67
참고: 이 질문은 동일한 시나리오를 제시하는 일련의 질문 중 일부입니다. 이 시리즈의 각 질문에는 명시된 목표를 충족할 수 있는 고유한 솔루션이 포함되어 있습니다. 일부 질문 세트에는 두 개 이상의 정답이 있을 수 있고, 다른 세트에는 정답이 없을 수 있습니다.
이 섹션의 질문에 답한 후에는 다시 돌아갈 수 없습니다. 따라서 이러한 질문은 검토 화면에 나타나지 않습니다.
image1이라는 이미지를 포함하는 Registry1이라는 Azure 컨테이너 레지스트리가 있습니다.
image1을 사용하여 컨테이너 인스턴스를 배포하려고 하면 오류 메시지가 나타납니다.
image1을 사용하여 컨테이너 인스턴스를 배포할 수 있어야 합니다.
해결 방법: Registry1의 ACR-Tasks-Network에 AcrPull 역할을 할당합니다.
이것이 목표를 달성하는가?
이 섹션의 질문에 답한 후에는 다시 돌아갈 수 없습니다. 따라서 이러한 질문은 검토 화면에 나타나지 않습니다.
image1이라는 이미지를 포함하는 Registry1이라는 Azure 컨테이너 레지스트리가 있습니다.
image1을 사용하여 컨테이너 인스턴스를 배포하려고 하면 오류 메시지가 나타납니다.
image1을 사용하여 컨테이너 인스턴스를 배포할 수 있어야 합니다.
해결 방법: Registry1의 ACR-Tasks-Network에 AcrPull 역할을 할당합니다.
이것이 목표를 달성하는가?
AZ-104-KR 문제 68
드래그 앤 드롭 질문
Azure 구독이 있습니다. 구독에는 VNet1이라는 가상 네트워크가 포함됩니다.
현재 VNet1에는 서브넷이 없습니다.
VNet1에 서브넷을 만들고 애플리케이션 보안 그룹을 사용하여 서브넷 간의 트래픽을 제한할 계획입니다.
애플리케이션 보안 그룹을 만들고 서브넷에 할당해야 합니다.
어떤 4개의 cmdlet을 순서대로 실행해야 합니까? 대답하려면 cmdlet 목록에서 해당 cmdlet을 답변 영역으로 옮기고 올바른 순서로 정렬합니다.
Azure 구독이 있습니다. 구독에는 VNet1이라는 가상 네트워크가 포함됩니다.
현재 VNet1에는 서브넷이 없습니다.
VNet1에 서브넷을 만들고 애플리케이션 보안 그룹을 사용하여 서브넷 간의 트래픽을 제한할 계획입니다.
애플리케이션 보안 그룹을 만들고 서브넷에 할당해야 합니다.
어떤 4개의 cmdlet을 순서대로 실행해야 합니까? 대답하려면 cmdlet 목록에서 해당 cmdlet을 답변 영역으로 옮기고 올바른 순서로 정렬합니다.
AZ-104-KR 문제 69
storage1이라는 Azure Storage 계정을 만들어야 합니다. 솔루션은 다음 요구 사항을 충족해야 합니다.
- Azure Data Lake Storage를 지원합니다.
- 접근 빈도가 낮은 데이터에 대한 비용을 최소화합니다.
- 데이터를 보조 Azure 지역에 자동으로 복제합니다.
storage1에 대해 어떤 세 가지 옵션을 구성해야 합니까? 각 정답은 솔루션의 일부를 나타냅니다.
참고사항: 정답은 각각 1점입니다.
- Azure Data Lake Storage를 지원합니다.
- 접근 빈도가 낮은 데이터에 대한 비용을 최소화합니다.
- 데이터를 보조 Azure 지역에 자동으로 복제합니다.
storage1에 대해 어떤 세 가지 옵션을 구성해야 합니까? 각 정답은 솔루션의 일부를 나타냅니다.
참고사항: 정답은 각각 1점입니다.
AZ-104-KR 문제 70
사례 연구 6 - ADatum Corporation
개요
ADatum Corporation은 몬트리올에 본사가 있고 시애틀과 뉴욕에 지사가 있는 컨설팅 회사입니다.
기존 환경
Azure 환경
ADatum에는 RG1, RG2, RG3이라는 세 개의 리소스 그룹이 포함된 Azure 구독이 있습니다.
구독에는 다음 표에 표시된 저장소 계정이 포함되어 있습니다.
구독에는 다음 표에 표시된 가상 머신이 포함되어 있습니다.
해당 구독에는 다음 표에 표시된 이미지가 포함된 Azure 컨테이너 레지스트리가 있습니다.
구독에는 다음 표에 표시된 리소스가 포함되어 있습니다.
Azure 키 보관소
구독에는 Vault1이라는 Azure Key Vault가 포함되어 있습니다.
Vault1에는 다음 표에 표시된 인증서가 포함되어 있습니다.
Vault1에는 다음 표에 표시된 키가 포함되어 있습니다.
Microsoft Entra 환경
ADatum에는 adatum.com이라는 Microsoft Entra 테넌트가 있는데, 이 테넌트는 Azure 구독에 연결되어 있으며 다음 표에 나와 있는 사용자를 포함합니다.
세입자는 다음 표에 표시된 그룹을 포함합니다.
adatum.com 테넌트에는 Attribute1이라는 사용자 지정 보안 특성이 있습니다.
계획된 변경 사항
ADatum은 다음과 같은 변경 사항을 구현할 계획입니다.
- VM2 및 VM4에서 이벤트 ID가 4648인 시스템 이벤트만 수집하도록 DCR1이라는 데이터 수집 규칙(DCR)을 구성합니다.
- storage1에 다음 액세스 정책이 있는 cont2라는 새 컨테이너를 만듭니다.
o Stored1, Stored2, Stored3라는 이름의 세 개의 저장된 액세스 정책
o 변경 불가능한 Blob 저장소에 대한 법적 보류
- 가능하면 디렉토리를 사용하여 저장소 계정 콘텐츠를 구성하세요.
- User1에게 Zone1을 VNet1에 연결하는 데 필요한 권한을 부여합니다.
- 지원되는 adatum.com 리소스에 Attribute1을 할당합니다.
- storage2에 Scope1이라는 이름의 암호화 범위를 생성합니다.
- Image1 또는 Image2를 사용하여 새로운 컨테이너를 배포합니다.
기술적 요구 사항
ADatum은 다음과 같은 기술 요구 사항을 충족해야 합니다.
- WebApp1에 TLS를 사용합니다.
- 최소 권한의 원칙을 따르세요.
- 필요한 범위에서만 권한을 부여합니다.
- Scope1이 스토리지 서비스를 암호화하는 데 사용되는지 확인하세요.
- Azure Backup을 사용하여 cont1 및 share1을 가능한 한 자주 백업합니다.
- 가능하면 Azure Disk Encryption과 KEK(키 암호화 키)를 사용하여 가상 머신을 암호화합니다.
저장소 계정 콘텐츠에 대해 계획된 변경 사항을 구현해야 합니다.
어떤 컨테이너와 파일 공유를 사용하여 콘텐츠를 구성할 수 있나요?
개요
ADatum Corporation은 몬트리올에 본사가 있고 시애틀과 뉴욕에 지사가 있는 컨설팅 회사입니다.
기존 환경
Azure 환경
ADatum에는 RG1, RG2, RG3이라는 세 개의 리소스 그룹이 포함된 Azure 구독이 있습니다.
구독에는 다음 표에 표시된 저장소 계정이 포함되어 있습니다.
구독에는 다음 표에 표시된 가상 머신이 포함되어 있습니다.
해당 구독에는 다음 표에 표시된 이미지가 포함된 Azure 컨테이너 레지스트리가 있습니다.
구독에는 다음 표에 표시된 리소스가 포함되어 있습니다.
Azure 키 보관소
구독에는 Vault1이라는 Azure Key Vault가 포함되어 있습니다.
Vault1에는 다음 표에 표시된 인증서가 포함되어 있습니다.
Vault1에는 다음 표에 표시된 키가 포함되어 있습니다.
Microsoft Entra 환경
ADatum에는 adatum.com이라는 Microsoft Entra 테넌트가 있는데, 이 테넌트는 Azure 구독에 연결되어 있으며 다음 표에 나와 있는 사용자를 포함합니다.
세입자는 다음 표에 표시된 그룹을 포함합니다.
adatum.com 테넌트에는 Attribute1이라는 사용자 지정 보안 특성이 있습니다.
계획된 변경 사항
ADatum은 다음과 같은 변경 사항을 구현할 계획입니다.
- VM2 및 VM4에서 이벤트 ID가 4648인 시스템 이벤트만 수집하도록 DCR1이라는 데이터 수집 규칙(DCR)을 구성합니다.
- storage1에 다음 액세스 정책이 있는 cont2라는 새 컨테이너를 만듭니다.
o Stored1, Stored2, Stored3라는 이름의 세 개의 저장된 액세스 정책
o 변경 불가능한 Blob 저장소에 대한 법적 보류
- 가능하면 디렉토리를 사용하여 저장소 계정 콘텐츠를 구성하세요.
- User1에게 Zone1을 VNet1에 연결하는 데 필요한 권한을 부여합니다.
- 지원되는 adatum.com 리소스에 Attribute1을 할당합니다.
- storage2에 Scope1이라는 이름의 암호화 범위를 생성합니다.
- Image1 또는 Image2를 사용하여 새로운 컨테이너를 배포합니다.
기술적 요구 사항
ADatum은 다음과 같은 기술 요구 사항을 충족해야 합니다.
- WebApp1에 TLS를 사용합니다.
- 최소 권한의 원칙을 따르세요.
- 필요한 범위에서만 권한을 부여합니다.
- Scope1이 스토리지 서비스를 암호화하는 데 사용되는지 확인하세요.
- Azure Backup을 사용하여 cont1 및 share1을 가능한 한 자주 백업합니다.
- 가능하면 Azure Disk Encryption과 KEK(키 암호화 키)를 사용하여 가상 머신을 암호화합니다.
저장소 계정 콘텐츠에 대해 계획된 변경 사항을 구현해야 합니다.
어떤 컨테이너와 파일 공유를 사용하여 콘텐츠를 구성할 수 있나요?