Azure 104 연습 문제 2

---

문제 6:

Microsoft 365 테넌트와 contoso.com이라는 Azure Active Directory 테넌트가 있습니다.

https://aitown.tistory.com/1099

Azure 계정 테넌트: 명령 및 관리

 

User one, User 2, User 3 세 명의 사용자에게 Library 1이라는 임시 Microsoft SharePoint 문서 라이브러리에 대한 액세스 권한을 부여하려고 합니다.

또한 사용자를 위한 그룹을 생성해야 합니다.

솔루션은 180일 후 그룹이 자동으로 삭제되도록 해야 합니다.

어떤 두 개의 그룹을 생성해야 합니까? (각 정답 선택은 1점입니다.)

A. 할당된 멤버십 유형을 사용하는 Office 365 그룹

B. 할당된 멤버십 유형을 사용하는 보안 그룹

C. 동적 사용자 멤버십 유형을 사용하는 Office 365 그룹

D. 동적 사용자 멤버십 유형을 사용하는 보안 그룹 E. 동적 장치 멤버십 유형을 사용하는 보안 그룹

정답: A와 C.

해설: 180일 후 그룹이 자동으로 삭제되도록 하는 요구 사항을 직접적으로 만족시키는 정보는 제공된 소스에서 찾을 수 없습니다. 그러나 임시 SharePoint 문서 라이브러리에 대한 액세스 권한 부여와 사용자를 위한 그룹 생성이라는 요구 사항을 고려할 때, Office 365 그룹은 SharePoint 및 다른 Microsoft 365 서비스와 통합되어 사용자에게 편리한 액세스 관리 기능을 제공합니다. 보안 그룹은 주로 Azure 리소스에 대한 액세스 관리에 사용됩니다.

**할당된 멤버십 유형 (Assigned membership type)**은 그룹 구성원을 수동으로 추가하고 제거하는 방식입니다.

**동적 사용자 멤버십 유형 (Dynamic user membership type)**은 사용자의 속성을 기반으로 그룹 구성원을 자동으로 관리하는 방식입니다.

문제에서 그룹 자동 삭제 조건은 명시되었으나, 어떤 유형의 그룹이 이러한 기능을 기본적으로 제공하는지는 소스에서 확인할 수 없습니다. 따라서 정답으로 제시된 Office 365 그룹과 동적 사용자 멤버십 유형의 조합이 어떤 메커니즘으로 180일 후 자동 삭제를 가능하게 하는지는 추가적인 정보 없이는 설명하기 어렵습니다. (이 부분은 제공된 소스 외의 정보가 필요할 수 있습니다.)

 

---

문제 7:

귀사에는 여러 부서가 있으며 각 부서에는 여러 개의 가상 머신이 있습니다.

회사에는 rg1이라는 리소스 그룹을 포함하는 Azure 구독이 있으며 모든 가상 머신은 rg1에 있습니다.

각 가상 머신을 해당 부서와 연결하려고 합니다.

어떻게 해야 합니까?

A. 각 부서에 대한 Azure 관리 그룹을 생성합니다.

B. 각 부서에 대한 리소스 그룹을 생성합니다.

C. 가상 머신에 **태그 (Tags)**를 할당합니다.

D. 가상 머신의 설정을 수정합니다.

정답: C. 가상 머신에 **태그 (Tags)**를 할당합니다.

해설: Azure 태그는 키-값 쌍으로, Azure 리소스를 조직에 관련된 설정에 따라 식별하는 데 도움을 줍니다.

각 가상 머신에 부서 이름을 태그로 할당하면,

별도의 구조 변경 없이도 가상 머신을 부서별로 쉽게 분류하고 관리할 수 있습니다.

Azure 태그는 리소스에 할당할 수 있는 메타데이터이며, 배포 환경을 추적하거나,

비용을 부서별로 관리하는 데 유용합니다.

Azure 태그는 무료로 사용할 수 있습니다. 관리 그룹은 구독 수준에서 리소스를 관리하는 데 사용되며,

리소스 그룹은 논리적 컨테이너입니다.

가상 머신 설정을 직접 수정하는 것은 부서 연결을 위한 적절한 방법이 아닙니다.

---

태그 (Tags)

 Azure 리소스에 적용하는 메타데이터 요소입니다.

조직과 관련된 설정에 따라 리소스를 식별하는 데 도움이 되는 키-값 쌍입니다.

리소스에 대한 배포 환경을 추적하려면 Environment라는 키를 추가합니다.

프로덕션에 배포된 리소스를 식별하려면 Production 값을 제공합니다.

전체 키-값 쌍은 Environment = Production입니다.

태그 리소스에 필요한 액세스를 가져오는 방법에는 두 가지가 있습니다.

• Microsoft.Resources/tags 리소스 종류에 대한 쓰기 액세스 권한을 가질 수 있습니다. 이 액세스 권한이 있으면 리소스 자체에 대한 액세스 권한이 없는 경우에도 리소스에 태그를 지정할 수 있습니다. 태그 기여자 역할은 이 액세스 권한을 부여합니다. 예를 들어 이 역할은 Azure Portal을 통해 리소스 또는 리소스 그룹에 태그를 적용할 수 없습니다. 그러나 Azure Portal을 통해 구독에 태그를 적용할 수 있습니다. Azure PowerShell 및 REST API를 통한 모든 태그 작업을 지원합니다.
• 리소스 자체에 대한 쓰기 액세스 권한을 가질 수 있습니다. 기여자 역할은 모든 엔터티에 태그를 적용하는 데 필요한 액세스 권한을 부여합니다. 하나의 리소스 유형에만 태그를 적용하려면 해당 리소스에 대한 기여자 역할을 사용합니다. 가상 머신에 태그를 적용하려면 Virtual Machine 기여자(contributor) 역할(Role)을 사용합니다.

https://learn.microsoft.com/ko-kr/azure/azure-resource-manager/management/tag-resources

태그를 사용하여 Azure 리소스 및 관리 계층 구조 구성 - Azure Resource Manager

 

 

 

---

문제 8:

수백 개의 가상 머신을 포함하는 Azure 구독이 있습니다.

가상 머신이 5분 동안 80% 이상의 프로세서 리소스를 사용할 때 트리거되는

Azure Monitor 작업 규칙을 생성하려고 합니다.

작업 규칙 알림의 수신자를 지정해야 합니다. 무엇을 생성해야 합니까?

A. 액션 그룹 (Action Group)

B. 보안 그룹

C. 메일 그룹

D. Microsoft 365 그룹

정답: A. 액션 그룹 (Action Group).

해설: Azure Monitor 액션 그룹은 알림 기본 설정의 모음입니다.

Azure Monitor 데이터에서 인프라 또는 애플리케이션에 문제가 있을 수 있음을 나타내면 경고가 트리거됩니다.

이러한 경고에는 사용자에게 알림을 보내고 수행할 작업을 지정하는 액션 그룹이 포함될 수 있습니다.

Azure Monitor, Azure Service Health 및 Azure Advisor는 액션 그룹을 사용하여 경고에 대해 사용자에게 알립니다.

 

---

문제 9:

단일 데이터 디스크를 가진 Azure 가상 머신이 있습니다.

이 데이터 디스크를 다른 가상 머신에 연결해야 합니다.

전략은 가상 머신의 오프라인 시간을 최소화해야 합니다. 가장 먼저 해야 할 작업은 무엇입니까?

A. 데이터 디스크를 포함하는 가상 머신을 중지합니다.

B. 데이터 디스크를 연결해야 하는 가상 머신을 중지합니다.

C. 데이터 디스크를 분리합니다.

D. 데이터 디스크를 포함하는 가상 머신을 삭제합니다.

정답: C. 데이터 디스크를 분리합니다.

해설: 데이터 디스크를 다른 가상 머신에 연결하기 위해

가장 먼저 해야 할 작업은 원래 가상 머신에서 데이터 디스크를 분리하는 것입니다.

Microsoft 문서에 따르면, 데이터 디스크가 활발하게 사용 중이 아니라면 가상 머신을 중지하지 않고도 데이터 디스크를 핫 리무브(hot remove)할 수 있습니다.

즉, 가상 머신의 오프라인 시간을 최소화하면서 데이터 디스크를 분리하여 다른 가상 머신에 연결할 수 있습니다.

온라인 덤프에서 가상 머신 중지를 먼저 제시하는 경우가 있지만, 실제로는 필요하지 않습니다.

 

---

문제 10:

User one이라는 사용자를 포함하는 Azure 구독이 있습니다.

User one이 가상 머신을 배포하고 관리할 수 있지만

가상 머신에 연결된 가상 네트워크에 액세스할 수 없도록 해야 합니다.

최소 권한 원칙을 사용해야 합니다.

User one에게 어떤 역할 기반 액세스 제어(RBAC) 역할을 할당해야 합니까?

A. 소유자 (Owner)

B. 가상 머신 기여자 (Virtual Machine Contributor)

C. 기여자 (Contributor)

D. 가상 머신 관리자 로그인 (Virtual Machine Administrator Login)

 

 

정답: B. 가상 머신 기여자 (Virtual Machine Contributor).

해설: 가상 머신 기여자 (Virtual Machine Contributor) 역할은 가상 머신을 생성 및 관리하고,

디스크를 관리하며, 가상 머신 확장 프로그램을 사용하여 소프트웨어를 설치하고 실행하며,

로컬 사용자 계정을 관리할 수 있는 권한을 부여합니다.

그러나 이 역할은 가상 머신이 연결된 가상 네트워크 또는 스토리지 계정에 대한 관리 액세스 권한은 제공하지 않습니다.

따라서 최소 권한 원칙에 따라 User one에게 필요한 권한만 부여하면서

가상 네트워크 접근을 제한하는 가상 머신 기여자 역할이 가장 적합합니다.

소유자 역할은 모든 권한을 가지며, 기여자 역할은 더 넓은 범위의 권한을 가질 수 있습니다.

가상 머신 관리자 로그인 역할은 가상 머신에 대한 로그인 권한만 제공합니다.

 

https://aitown.tistory.com/1108

MS Azure에서 Contributor의 의미

 

 

 

---

 

1.  

Azure Monitor Action Group

Azure Monitor 데이터가 인프라 또는 애플리케이션에 문제가 있을 수 있음을 나타내면 경고가 트리거됩니다. 경고 자체 외에도 경고가 트리거될 때 작업 그룹을 사용하여 음성 통화, SMS 또는 전자 메일과 같은 알림을 보낼 수 있습니다. 작업 그룹은 알림 기본 설정 및 작업의 컬렉션입니다. Azure Monitor, Azure Service Health, Azure Advisor는 작업 그룹을 사용하여 사용자에게 경고에 대해 알리고 작업을 수행합니다. 이 문서에서는 작업 그룹을 만들고 관리하는 방법을 보여 줍니다.

각 작업은 다음으로 구성됩니다.

• 형식: 전송된 알림 또는 수행된 작업입니다. 예를 들어 음성 통화, SMS 또는 이메일 보내기가 있습니다. 다양한 형식의 자동화된 작업을 트리거할 수도 있습니다.
• 이름: 작업 그룹 내의 고유 식별자입니다.
• 세부 정보: 유형에 따라 달라지는 해당 세부 정보입니다.

일반적으로 작업 그룹은 전역 서비스입니다. 지역적으로 더 많이 사용할 수 있도록 하기 위한 노력이 진행 중입니다.

클라이언트의 전역 요청은 모든 지역의 작업 그룹 서비스에서 처리할 수 있습니다. 작업 그룹 서비스의 한 지역이 다운되면 트래픽이 자동으로 라우팅되고 다른 지역에서 처리됩니다. 글로벌 서비스로서 작업 그룹은 재해 복구 솔루션을 제공하는 데 도움을 줍니다. 지역별 요청은 가용성 영역 중복에 의존하여 개인 정보 보호 요구 사항을 충족하고 유사한 재해 복구 솔루션을 제공합니다.

• 경고 규칙에는 최대 5개의 작업 그룹을 추가할 수 있습니다.
• 작업 그룹은 특정 순서 없이 동시에 실행됩니다.
• 여러 경고 규칙에서 동일한 작업 그룹을 사용할 수 있습니다.
• 작업 그룹은 고유한 작업 집합과 알림을 받을 사용자로 정의됩니다. 예를 들어, User1, User2 및 User3에게 두 개의 서로 다른 경고 규칙에 대해 이메일로 알리려면 두 경고 규칙 모두에 적용할 수 있는 작업 그룹을 하나만 만들면 됩니다.

Azure Portal에서 작업 그룹 만들기

1. Azure Portal로 이동합니다.
2. 모니터를 검색하고 선택합니다. 모니터 창은 모든 모니터링 설정과 데이터를 하나의 보기로 통합합니다.
3. 경고를 선택한 다음 작업 그룹을 선택합니다.
4. 만들기를 실행합니다.
   1.    
5. 기본 작업 그룹 설정을 구성합니다. 프로젝트 세부 정보 섹션에서 다음을 수행합니다.
   • 구독 및 리소스 그룹 값을 선택합니다.
   • 지역을 선택합니다.

    참고

   Service Health 경고는 글로벌 지역 내의 퍼블릭 클라우드에서만 지원됩니다. Service Health 경고에 대한 응답으로 작업 그룹이 제대로 작동하려면 작업 그룹의 지역을 "글로벌"로 설정해야 합니다.

   테이블 확장
   옵션동작

   전역	작업 그룹 서비스는 작업 그룹을 저장할 위치를 결정합니다. 작업 그룹은 지역 복원력을 보장하기 위해 두 개 이상의 지역에 유지됩니다. 작업 처리는 모든 지역에서 수행할 수 있습니다. 서비스 상태 경고의 결과로 수행되는 음성, SMS 및 이메일 작업은 Azure 라이브 사이트 인시던트에 탄력적입니다.
   지역	작업 그룹은 선택한 영역에 저장됩니다. 작업 그룹은 영역 중복입니다. 작업 그룹이 특정 지리적 경계 내에서 처리되도록 하려면 이 옵션을 사용합니다. 작업 그룹의 지역 처리를 위해 다음 지역 중 하나를 선택할 수 있습니다. - 미국 동부 - 미국 서부 - 미국 동부2 - 미국 서부2 - 미국 중남부 - 미국 중북부 - 스웨덴 중부 - 독일 중서부 - 인도 중부 - 인도 남부 작업 그룹의 지역 데이터 처리를 위한 지역을 지속적으로 추가하고 있습니다.

   작업 그룹은 선택한 구독, 지역 및 리소스 그룹에 저장됩니다.
6. 인스턴스 세부 정보 섹션에서 작업 그룹 이름 및 표시 이름 값을 입력합니다. 그룹이 알림을 보내는 데 사용될 때 전체 작업 그룹 이름 대신 표시 이름이 사용됩니다.

   1. 

7. 알림 구성 다음: 알림을 선택하거나 페이지 맨 위에 있는 알림 탭을 선택합니다.
8. 경고가 트리거될 때 보낼 알림 목록을 정의합니다.
9. 각 알림에 대해 다음을 수행합니다.
   1. 알림 유형을 선택한 다음, 해당 알림에 대한 적절한 필드를 입력합니다. 사용 가능한 옵션은 다음과 같습니다.
      알림 유형설명필드

      이메일 Azure Resource Manager 역할	구성원의 역할에 따라 구독 구성원에게 이메일을 보냅니다. 이메일을 참조하세요.	Microsoft Entra 사용자에 대해 구성된 기본 이메일 주소를 입력합니다. 이메일을 참조하세요.
      메일	이메일 필터링 및 맬웨어/스팸 방지 서비스가 적절하게 구성되었는지 확인합니다. 이메일은 다음 이메일 주소에서 전송됩니다. : : :	알림을 보낼 이메일을 입력합니다.
      SMS	SMS 알림은 양방향 통신을 지원합니다. SMS에는 다음 정보가 포함됩니다. * 이 경고가 전달된 작업 그룹의 짧은 이름 * 알림의 제목 사용자는 SMS에 응답하여 다음을 수행할 수 있습니다. * 모든 작업 그룹 또는 단일 작업 그룹에 대한 모든 SMS 경고를 구독 취소합니다. * 경고 재구독 * 도움 요청 지원되는 SMS 회신에 대한 자세한 내용은 SMS 회신을 참조하세요.	SMS 수신자의 국가 번호와 전화 번호를 입력합니다. Azure Portal에서 국가/지역 코드를 선택할 수 없는 경우 해당 국가/지역에서 SMS가 지원되지 않습니다. 국가/지역 코드를 사용할 수 없는 경우 아이디어 공유에서 국가/지역을 추가하도록 투표할 수 있습니다. 해당 국가가 지원될 때까지의 해결 방법으로 해당 국가/지역을 지원하는 타사 SMS 공급자에 대한 웹후크를 호출하도록 작업 그룹을 구성합니다.
      Azure 앱 푸시 알림	Azure 모바일 앱에 알림을 보냅니다. Azure 모바일 앱에 대한 푸시 알림을 사용하도록 설정하려면 Azure 모바일 앱에 대한 자세한 내용은 Azure 모바일 앱을 참조하세요.	Azure 계정 이메일 필드에 Azure 모바일 앱을 구성할 때 계정 ID로 사용하는 이메일 주소를 입력합니다.
      음성	음성 알림입니다.	알림 수신자의 국가 번호와 전화 번호를 입력합니다. Azure Portal에서 국가/지역 코드를 선택할 수 없는 경우 해당 국가/지역에 대해 음성 알림이 지원되지 않는 것입니다. 국가/지역 코드를 사용할 수 없는 경우 아이디어 공유에서 국가/지역을 추가하도록 투표할 수 있습니다. 해당 국가가 지원될 때까지의 해결 방법으로 해당 국가/지역을 지원하는 타사 음성 통화 공급자에게 웹후크를 호출하도록 작업 그룹을 구성합니다.

   2. 반 경고 스키마를 사용하도록 설정할지 선택합니다. 일반 경고 스키마는 Azure Monitor의 모든 경고 서비스에서 사용할 수 있는 확장 가능하고 통합된 단일 경고 페이로드입니다. 공통 스키마에 대한 자세한 내용은 공통 경고 스키마를 참조하세요.

   3. 

   4. 확인을 선택합니다.
10. 작업을 구성합니다. 다음: 작업을 선택합니다. 또는 페이지 맨 위에 있는 작업 탭을 선택합니다.
11. 경고가 트리거될 때 트리거할 작업 목록을 정의합니다. 작업 유형을 선택하고 각 작업의 이름을 입력합니다.
    동작 유형세부 정보

    자동화 Runbook	Automation Runbook을 사용하여 메트릭을 기준으로 작업을 자동화합니다. 예를 들어 관련 예산의 특정 임계값이 충족되면 리소스를 종료합니다. 자동화 Runbook 페이로드 제한에 대한 자세한 내용은 자동화 제한을 참조하세요.
    Event Hubs	Event Hubs 작업은 Event Hubs에 알림을 게시합니다. Event Hubs에 대한 자세한 내용은 Azure Event Hubs - 빅 데이터 스트리밍 플랫폼 및 이벤트 수집 서비스를 참조하세요. 이벤트 수신기에서 경고 알림 스트림을 구독할 수 있습니다.
    함수	함수에서 기존 HTTP 트리거 엔드포인트를 호출합니다. 자세한 내용은 Azure Functions를 참조하세요. 함수 작업을 정의하면 함수의 HTTP 트리거 엔드포인트와 액세스 키가 작업 정의에 저장됩니다(예: https://azfunctionurl.azurewebsites.net/api/httptrigger?code=). 함수에 대한 액세스 키를 변경하는 경우 작업 그룹에서 함수 동작을 제거하고 다시 만들어야 합니다. 엔드포인트는 HTTP POST 메서드를 지원해야 합니다. 함수에는 스토리지 계정에 대한 액세스 권한이 있어야 합니다. 액세스 권한이 없으면 키를 사용할 수 없으며 함수 URI에 액세스할 수 없습니다. 스토리지 계정에 대한 액세스 복원에 대해 알아봅니다.
    ITSM	ITSM 작업에는 ITSM 연결이 필요합니다. ITSM 연결을 만드는 방법을 알아보려면 ITSM 통합을 참조하세요.
    논리 앱	Azure Logic Apps를 사용하여 통합을 위한 워크플로를 빌드 및 사용자 지정하고 경고 알림을 사용자 지정할 수 있습니다.
    보안 웹후크	보안 웹후크 작업을 사용하는 경우 Microsoft Entra ID를 사용하여 작업 그룹과 보호된 웹 API인 엔드포인트 간의 연결을 보호해야 합니다. 보안 웹후크에 대한 인증 구성을 참조하세요. 보안 웹후크는 기본 인증을 지원하지 않습니다. 기본 인증을 사용하는 경우 웹후크 작업을 사용합니다.
    웹후크	웹후크 작업을 사용하는 경우 대상 웹후크 엔드포인트는 다른 경고 원본에서 내보내는 다양한 JSON 페이로드를 처리할 수 있어야 합니다. 웹후크 작업을 통해 보안 인증서를 전달할 수 없습니다. 기본 인증을 사용하려면 URI를 통해 자격 증명을 전달해야 합니다. 웹후크 엔드포인트에 특정 스키마(예: Microsoft Teams 스키마)가 필요한 경우 Logic Apps 작업 유형을 사용하여 경고 스키마를 조작해 대상 웹후크의 필요를 충족합니다. 웹후크 작업 다시 시도에 사용되는 규칙에 대한 자세한 내용은 웹후크를 참조하세요.

    

12. 선택 사항입니다. 작업 그룹에 키-값 쌍을 할당하여 Azure 리소스를 분류하려면 다음: 태그 또는 태그 탭을 선택합니다. 그렇지 않은 경우, 이 단계를 건너뜁니다.

    1. 

13. 검토 + 만들기를 선택하여 설정을 검토합니다. 이 단계에서는 입력을 빠르게 확인하여 필요한 모든 정보를 입력했는지 확인합니다. 문제가 있는 경우 여기에 보고됩니다. 설정을 검토한 후 만들기를 선택하여 작업 그룹을 만듭니다.

     참고

    이메일 또는 SMS로 사람에게 알리도록 작업을 구성하면 작업 그룹에 추가되었음을 나타내는 확인 메시지

    1. 

https://learn.microsoft.com/ko-kr/azure/azure-monitor/alerts/action-groups

Azure Monitor 작업 그룹 - Azure Monitor