Q1. You have an Azure subscription that contains the following users in an Azure Active Directory tenant named contoso.onmicrosoft.com: User1 creates a new Azure Active Directory tenant named external.contoso.onmicrosoft.com. You need to create new user accounts in external.contoso.onmicrosoft.com. Solution: You instruct User2 to create the user accounts. Does that meet the goal?
Q1. Azure Active Directory 테넌트에 contoso.onmicrosoft.com이라는 다음 사용자를 포함하는 Azure 구독이 있습니다.
User1은 external.contoso.onmicrosoft.com이라는 이름의 Azure Active Directory 테넌트를 새로 생성합니다. external.contoso.onmicrosoft.com에서 새 사용자 계정을 만들어야 합니다. 해결책: Q1:User2에 사용자 계정을 생성하도록 지시합니다. / Q2:user4 / Q3:user3 그게 목표와 맞습니까?
contoso.onmicrosoft.com 에 있는 계정들에 대해
external.contoso.onmicrosoft 라는 테넌트를 또 팔 건데(다른 테넌트)
그 안에 새로운 사용자 계정을 만들려면 어떤 권한이 필요하냐 ? 에 대한 문제이다.
새로운 테넌트를 판 계정은 User1 이다.
요 문제는 Q1~Q3 까지 이어지는 세트 문제로 각각 User2/User4/User3의 케이스를 묻고 있다.
Microsoft Docs 문서를 참고하면 Azure AD에 유저를 추가/제거하려면 UA나 GA 여야 한다고 한다.
같은 테넌트일 경우 UA도 유저 추가가 가능하지만, 다른 테넌트일 경우 GA만 유저 추가가 가능하다.
* Azure RBAC > IAM 에서 할당
Owner (소유자) : 모든 리소스에 대한 전체 액세스 권한. 다른 사람에게 권한 위임 등 가능
Contributor (기여자) : 모든 리소스 생성/관리, Azure AD 에서 새로운 테넌트 만들 수 있음, 다른 사람에게 권한 위임은 불가
* Azure AD 역할 > Azure AD 내 역할 관리자에서 할당
Global Administrators(전역 관리자) > Azure AD의 모든 관리 기능에 대한 액세스 관리, 다른 사람에게 관리자 역할 할당. 모든 사용자 및 다른 관리자의 암호 다시 설정. Azure AD에 signed up for(등록) 한 사람이 Global Administrators가 됨
User Administraotrs(사용자 관리자) > 사용자 및 그룹과 관련된 모든 것을 만들고 관리, 사용자/기술지원팀 관리자/다른 사용자 관리자의 암호 변경Biling Administrators(대금 청구 관리자) > 구매, 구독 관리
Azure 역할은 Azure 리소스에 대한 액세스 관리 vs Azure AD 는 Azure AD 리소스에 대한 액세스 관리Azure 역할은 관리 그룹, 구독, 리소스그룹, 리소스에서 범위 지정 vs Azure AD는 테넌트 단위
Q1. User2 : 테넌트를 새로 판 계정과 다른 계정이지만, 동일한 GA 권한을 갖고 있다. >> True
요 문제가 가장 논란이 많은 문제인데, User1이 외부 테넌트를 만들었기 때문에 User1 만이 신규 테넌트에 유저 추가가 가능하다는 사람도 있고 GA 는 다른 GA가 생성한 테넌트에 유저 추가가 가능하다는 사람도 있다.
사이트는 User2도 유저 추가가 가능하다고 제시했다.
*1) User1만 유저 추가가 가능하다는 의견
니키디 형님이 정리를 잘 해주셔서 긁어와 봤읍니다.
Contoso.com AAD - User1,2는 GA이고 User3는 UA이다. 모두 여기에 사용자를 추가할 수 있다. Contoso.com AZ - User4는 소유자입니다. user4만 리소스를 추가할 수 있지만 사용자가 어디에도 없음 external.contoso.com AAD - User1은 GA이며 사용자를 추가할 수 있지만 다른 사용자는 사용자를 추가할 수 없다. external.contoso.com AZ - 구독이 없다. User1은 AAD에만 사용자를 추가할 수 있다. 사용자 1에서 리소스를 생성할 수 없습니다. 사용자 2, 3 및 4는 사용자나 리소스를 추가할 수 없다.
*2) User2도 된다는 의견 > 사이트에서 제시된 정답이 맞다는 의견
심플한 형님..
*3) ...??
Zumy 형님의 진심이 궁금해지는 부분.....
댓글이 65개가 달렸는데 내 생각에 문제 출제자의 의도는 다른 GA도 User 추가가 가능하다였을 걸로 추정된다.
아마 개정되면.. 뭔가 권한을 업그레이드하는 구절을 추가한다거나 해서 확실히 가능하다 로 돌리지 않을까 싶다.
Q2. User4 : 구독의 Owner 계정이다. >> False
구독의 Owner 계정은 사용자나 그룹에 대해서는 할 수 있는 게 없다. 액세스야 가능하겠지만..
요 답에 대해서는 논란의 여지가 별로 없는 것으로 보인다. 댓글에 따르면 20/02 시험에 출제 되었다고 한다.
Q3. User3 : Azure AD의 User Administrator 계정이다 >> False
UA는 지금 있는 콘토소 테넌트였으면 계정추가가 가능하나, 다른 테넌트의 경우 계정추가가 안되는 것으로 보인다. 요 문제도 레퍼런스에 UA는 계정추가 가능하다 라고 대문짝만하게 써 있어서 약간의 논란이 된 것으로 보이나.. 안되는 것이 맞는 듯
Q4. You have an Azure subscription named Subscription1 that contains a resource group named RG1. In RG1, you create an internal load balancer named LB1 and a public load balancer named LB2. You need to ensure that an administrator named Admin1 can manage LB1 and LB2. The solution must follow the principle of least privilege. Which role should you assign to Admin1 for each task? To answer, select the appropriate options in the answer area.
NOTE: Each correct selection is worth one point.
Q4. Subscription 1이라는 Azure 구독에 RG1이라는 리소스 그룹이 포함되어 있습니다. RG1에서는 LB1이라는 내부 로드 밸런서와 LB2라는 공용 로드 밸런서를 생성합니다.
Admin 1이 LB1 및 LB2를 관리할 수 있는지 확인해야 합니다. (최소권한으로 답해야 함) 각 작업에 대해 관리자 1에 할당할 역할을 선택하십시오. 답변을 보려면 답변 영역에서 적절한 옵션을 선택하십시오. 참고: 올바른 선택을 할 때마다 1점씩의 가치가 있습니다.
앞부분은 권한 문제로 몰빵이다;
백엔드 풀과 Health Probe 에 관한 문제인 척하는 권한 문제인데
#내부 로드 밸런서에 백엔드 풀을 추가하려면 어떤 권한이 필요한가?
#공용 로드 밸런서에 Health Probe 를 추가하려면 어떤 권한이 필요한가 ? 라는 문제다.
정답은 둘다 LB1/LB2에 대한 네트워크 컨트리뷰터 권한만 있으면 된다고 하나
이 문제도 논란이 많다.
아오 짲응나.. 검수를 하고 올리라고 ~~~ 레퍼런스 띡 한줄만 보여주면 다냐고
*1) LB1/LB2에 대한 Network Contributor 권한만 있으면 됨
정답 맞어. 사용자 또는 그룹에 여러 역할을 할당할 수 있으며 사용자의 유효한 권한은 역할 할당의 합이여. 따라서 LB에 대한 최소한의 권한을 부여하기 위해 LB가 포함된 RG에 대한 Reader 역할을 부여하고 LB 자체에 대한 Contributor 역할을 부여할 수 있어. https://docs.microsoft.com/en-us/azure/role-based-access-control/overview
코딩샘 형님이 이야기한 레퍼런스를 방문해 보면 아래와 같다. 판독기 역할=Reader 역할
근데 이 뜻은 이미 Contributor 역할이 있었는데 거기 Reader 역할을 추가하면 아무 의미가 없다는 뜻이라서 좀 결이 다른 것 같다.
그런데 이 문제 출제자의 의도는 아마 코딩샘 형님의 의도와 같았던 거 같음.
*2) RG1(리소스 그룹)에 대해 Network Contributor 권한이 있어야 함
다른 웹사이트에서는 RG의 네트워크 기여자가 정답임. 로드 밸런서 리소스에 백엔드 풀을 추가하려면 사용자에게 백엔드 풀에 연결해야 하는 가상 네트워크 및 가상 시스템 리소스를 읽을 수 있는 사용 권한이 있어야 하고 리소스 그룹 수준에서 사용 권한을 부여해야 합니다.
백엔드 풀을 만드는 동안 vNet 을 택하라고 요청하는데 RG에 권한이 없으면 vNet 볼 수도 없으
근데 보면 해봤더니 둘다 RG 단위로 권한 부여가 필요하다는 의견이 제일 많다.
내 생각에 답은 RG1이 맞는 듯 하다. 해봤다는데 뭐 ~
(+) 21.06.26 추가
LB 리소스에 백엔드 풀을 추가하려면 사용자에게 벡엔드 풀에 연결해야 하는 VNET 이나 VM 리소스를 읽을 수 있는 권한이 있어야 하므로, RG 수준에서 사용권한 부여가 필요하다.
사이트 기준 정답
The Network Contributor role lets you manage networks, but not access them.
레퍼런스
역할 할당 겹침 관한 레퍼런스 https://docs.microsoft.com/en-us/azure/role-based-access-control/overview
사이트가 말한 레퍼런스 https://docs.microsoft.com/en-us/azure/role-based-access-control/built-in-roles
Q5. You have an Azure subscription that contains an Azure Active Directory (Azure AD) tenant named contoso.com and an Azure Kubernetes Service (AKS) cluster named AKS1. An administrator reports that she is unable to grant access to AKS1 to the users in contoso.com. You need to ensure that access to AKS1 can be granted to the contoso.com users.What should you do first? A. From contoso.com, modify the Organization relationships settings. B. From contoso.com, create an OAuth 2.0 authorization endpoint. C. Recreate AKS1. D. From AKS1, create a namespace.
Q5. Azure 구독에 contoso.com 이라는 Azure AD(Azure AD) 테넌트와 AKS1(Azure Kubernetes Service) 클러스터가 포함되어 있습니다. 관리자는 contoso.com에 내 사용자에 AKS1에 대한 액세스 권한을 부여할 수 없다고 보고합니다. AKS1에 대한 액세스 권한이 contoso.com 사용자에게 부여될 수 있는지 확인해야 합니다. 당신은 무엇을 먼저 해야 합니까?
A. contoso.com에서 조직 관계 설정을 수정합니다. B. contoso.com에서 OAuth 2.0 인증 endpoint 을 생성합니다. C. AKS1을 다시 만듭니다. D. AKS1에서 네임스페이스를 만듭니다.
댓글