Azure 104 연습 문제 11
문제 81
구독 이름이 subscription one인 Azure 구독이 있습니다.
vet1이라는 이름의 가상 네트워크가 있습니다.
vnet1은 rg1이라는 리소스 그룹에 있습니다.
subscription one에는 user one이라는 사용자가 있습니다.
user one에게는 다음과 같은 역할이 할당되어 있습니다.
Reader 역할, Security Admin, Security Reader.
user one이 vnet1에 대한 Reader 역할을 다른 사용자에게 할당할 수 있도록 해야 합니다. 어떻게 해야 할까요?
보기:
A. user one에게 vnet1에 대한 Network Contributor 역할 할당
B. subscription one에서 user one의 Security Reader 역할 제거 후 user one에게 rg1에 대한 Contributor 역할 할당
C. user one에게 vnet1에 대한 Owner 역할 할당
D. user one에게 rg1에 대한 Network Contributor 역할 할당
정답: C
해설:
정답은 C. user one에게 vnet1에 대한 Owner 역할 할당입니다.
Azure에서 누가 어떤 작업을 할 수 있는지 결정하는 것을 역할 기반 접근 제어(RBAC)라고 합니다.
Owner 역할은 Azure 리소스에 대한 모든 권한을 가지며,
다른 사용자에게 역할을 할당할 수 있는 권한도 포함합니다.
마치 학교에서 반장이 모든 학생에게 특정 역할을 부여할 수 있는 것과 같습니다.
- Azure 구독 (Azure Subscription): Azure 서비스를 사용하기 위해 돈을 내고 사용하는 계정입니다. 마치 휴대폰 요금제와 비슷합니다.
- 가상 네트워크 (Virtual Network): Azure 안에서 여러분이 만든 가상의 네트워크입니다. 마치 여러분의 집 안에 있는 공유기처럼, 가상 머신들이 서로 통신할 수 있게 해줍니다.
- 리소스 그룹 (Resource Group): Azure에서 사용하는 여러 서비스들을 논리적으로 묶어 놓은 그룹입니다. 마치 서랍장에 여러 물건들을 정리해 놓은 것과 같습니다.
- 역할 (Role): Azure에서 특정 작업을 수행할 수 있는 권한들의 모음입니다. 예를 들어, '읽기' 역할은 정보를 볼 수만 있고, '쓰기' 역할은 정보를 변경할 수 있습니다.
- Reader 역할: Azure 리소스의 정보를 볼 수 있는 권한만 있는 역할입니다.
- Security Admin 역할: 보안 관련 설정을 관리할 수 있는 역할입니다.
- Security Reader 역할: 보안 관련 정보를 볼 수 있는 역할입니다.
- Network Contributor 역할: 네트워크 관련 설정을 변경할 수 있는 역할입니다.
- Contributor 역할: 대부분의 Azure 리소스를 만들고 관리할 수 있지만, 다른 사용자에게 접근 권한을 부여할 수는 없는 역할입니다.
- Owner 역할: Azure 리소스에 대한 모든 권한을 가지며, 접근 권한을 관리하는 역할도 포함합니다.
문제 82
구독 이름이 subscription one인 Azure 구독이 있습니다.
vet1이라는 이름의 가상 네트워크가 있습니다.
vnet1은 rg1이라는 리소스 그룹에 있습니다.
subscription one에는 user one이라는 사용자가 있습니다.
user one에게는 Reader 역할, Security Admin, Security Reader 역할이 할당되어 있습니다.
user one이 vnet1에 대한 Reader 역할을 다른 사용자에게 할당할 수 있도록 해야 합니다.
어떻게 해야 할까요? (이전 문제와 동일한 시나리오)
보기:
A. user one에게 vnet1에 대한 Network Contributor 역할 할당
B. subscription one에서 user one의 Security Reader 역할 제거 후 user one에게 rg1에 대한 Contributor 역할 할당
C. user one에게 vnet1에 대한 Role Based Access Control Administrator 역할 할당
D. user one에게 rg1에 대한 Network Contributor 역할 할당
정답: C
해설:
정답은 C. user one에게 vnet1에 대한 Role Based Access Control Administrator 역할 할당입니다.
이전 문제와 마찬가지로 사용자에게 역할 할당 권한을 부여해야 합니다.
Role Based Access Control Administrator 역할은 (현재 미리 보기 기능이지만) Azure RBAC를 사용하여
Azure 리소스에 대한 접근을 관리할 수 있도록 허용합니다.
이 역할은 Azure Policy와 같은 다른 방법으로는 접근 관리를 할 수 없다는 점에 유의해야 합니다.
- Role Based Access Control Administrator 역할: Azure 역할 기반 접근 제어(RBAC)를 사용하여 Azure 리소스에 대한 접근 권한을 할당하고 관리할 수 있는 역할입니다.
- Azure Policy: Azure 환경에 대한 규칙을 정의하고 적용하는 서비스입니다.
문제 83
구독 이름이 subscription one인 Azure 구독이 있습니다.
vet1이라는 이름의 가상 네트워크가 있습니다.
vnet1은 rg1이라는 리소스 그룹에 있습니다.
subscription one에는 user one이라는 사용자가 있습니다.
user one에게는 Reader 역할, Security Admin, Security Reader 역할이 할당되어 있습니다.
user one이 vnet1에 대한 Reader 역할을 다른 사용자에게 할당할 수 있도록 해야 합니다.
어떻게 해야 할까요? (이전 문제와 동일한 시나리오)
보기:
A. user one에게 vnet1에 대한 Network Contributor 역할 할당
B. subscription one에서 user one의 Security Reader 역할 제거 후 user one에게 rg1에 대한 Contributor 역할 할당
C. user one에게 vnet1에 대한 User Access Administrator 역할 할당
D. user one에게 rg1에 대한 Network Contributor 역할 할당
정답: C
해설:
정답은 C. user one에게 vnet1에 대한 User Access Administrator 역할 할당입니다.
User Access Administrator 역할 또한 Azure RBAC에서 역할을 할당할 수 있는 권한을 부여합니다.
따라서 이 역할을 사용자에게 할당하면 다른 사용자에게 Reader 역할을 부여할 수 있게 됩니다.
- User Access Administrator 역할: Azure 역할 기반 접근 제어(RBAC)에서 사용자 접근 권한을 관리하고 역할을 할당할 수 있는 역할입니다.
Azure의 역할을 더 잘 이해하려면 몇 가지 역사를 아는 것이 좋습니다.
Azure가 처음 출시되었을 때는
계정 관리자, 서비스 관리자, 공동 관리자라는 세 가지 관리자 역할만으로 리소스 액세스를 관리했습니다.
이후 Azure 역할 기반 액세스 제어(Azure RBAC)가 추가되었습니다.
Azure RBAC는 Azure 리소스에 대한 세분화된 액세스 관리를 제공하는 최신 권한 부여 시스템입니다.
Azure RBAC에는 다양한 기본 제공 역할이 포함되어 있으며, 다양한 범위에서 할당할 수 있고,
사용자 지정 역할을 직접 만들 수 있습니다.
Microsoft Entra ID에서 사용자, 그룹, 도메인과 같은 리소스를 관리하기 위한 여러 Microsoft Entra 역할이 있습니다.
다음 다이어그램은 Azure 역할, Microsoft Entra 역할 및 클래식 구독 관리자 역할이 어떻게 관련되어 있는지에 대한 개략적인 보기입니다.
Azure 역할
Azure RBAC 는 Azure Resource Manager를 기반으로 구축된 권한 부여 시스템으로 , 컴퓨팅 및 스토리지와 같은 Azure 리소스에 대한 세분화된 액세스 관리를 제공합니다. Azure RBAC에는 100개 이상의 기본 제공 역할이 포함되어 있습니다. Azure의 기본 역할은 다섯 가지이며, 처음 세 가지 역할은 모든 리소스 유형에 적용됩니다.
나머지 기본 제공 역할은 특정 Azure 리소스를 관리할 수 있도록 합니다. 예를 들어, 가상 머신 기여자 역할은 사용자가 가상 머신을 만들고 관리할 수 있도록 합니다. 모든 기본 제공 역할 목록은 Azure 기본 제공 역할을 참조하세요 .
Azure Portal과 Azure Resource Manager API만 Azure RBAC를 지원합니다. Azure 역할이 할당된 사용자, 그룹 및 애플리케이션은 Azure 클래식 배포 모델 API를 사용할 수 없습니다 .
Azure Portal에서 Azure RBAC를 사용한 역할 할당은 액세스 제어(IAM) 페이지에 표시됩니다. 이 페이지는 관리 그룹, 구독, 리소스 그룹 및 다양한 리소스 등 포털 전반에서 찾을 수 있습니다.
역할 탭을 클릭하면 기본 제공 역할과 사용자 지정 역할 목록이 표시됩니다.
Microsoft Entra 역할
Microsoft Entra 역할은 사용자 생성 또는 편집, 다른 사용자에게 관리 역할 할당, 사용자 비밀번호 재설정, 사용자 라이선스 관리, 도메인 관리 등 디렉터리의 Microsoft Entra 리소스를 관리하는 데 사용됩니다. 다음 표에서는 몇 가지 중요한 Microsoft Entra 역할을 설명합니다.
Azure Portal의 역할 및 관리자 페이지 에서 Microsoft Entra 역할 목록을 확인할 수 있습니다 .
Azure 역할과 Microsoft Entra 역할의 차이점
개략적으로 보면 Azure 역할은 Azure 리소스를 관리할 수 있는 권한을 제어하는 반면, Microsoft Entra 역할은 Microsoft Entra 리소스를 관리할 수 있는 권한을 제어합니다. 다음 표에서는 몇 가지 차이점을 비교합니다.
Azure 역할과 Microsoft Entra 역할이 겹치나요?
기본적으로 Azure 역할과 Microsoft Entra 역할은 Azure 및 Microsoft Entra ID를 포괄하지 않습니다.
그러나 글로벌 관리자가 Azure Portal에서 Azure 리소스 액세스 관리 스위치를 선택하여 액세스 권한을 상승시키면
글로벌 관리자에게 특정 테넌트의 모든 구독에 대한 사용자 액세스 관리자 역할(Azure 역할)이 부여됩니다.
사용자 액세스 관리자 역할을 통해 사용자는
다른 사용자에게 Azure 리소스에 대한 액세스 권한을 부여할 수 있습니다.
이 스위치는 구독에 대한 액세스 권한을 다시 얻는 데 도움이 될 수 있습니다.
자세한 내용은 모든 Azure 구독 및 관리 그룹을 관리할 수 있도록 액세스 권한 상승을 참조하세요 .
여러 Microsoft Entra 역할은 Microsoft Entra ID와 Microsoft 365에 걸쳐 있으며,
여기에는 글로벌 관리자 및 사용자 관리자 역할이 포함됩니다.
예를 들어, 글로벌 관리자 역할의 구성원인 경우 Microsoft Entra ID와 Microsoft 365에서
Microsoft Exchange 및 Microsoft SharePoint를 변경하는 등 글로벌 관리자 권한을 가질 수 있습니다.
그러나 기본적으로 글로벌 관리자는 Azure 리소스에 액세스할 수 없습니다.
계정 관리자, 서비스 관리자, 공동 관리자는 Azure의 세 가지 클래식 구독 관리자 역할입니다.
클래식 구독 관리자는 Azure 구독에 대한 모든 권한을 갖습니다.
Azure Portal, Azure Resource Manager API 및 클래식 배포 모델 API를 사용하여 리소스를 관리할 수 있습니다.
Azure에 가입하는 데 사용되는 계정은 계정 관리자와 서비스 관리자로 자동 설정됩니다.
그런 다음 공동 관리자를 추가할 수 있습니다.
서비스 관리자와 공동 관리자는
구독 범위에서 소유자 역할(Azure 역할)이 할당된 사용자와 동일한 액세스 권한을 갖습니다.
다음 표에서는 이 세 가지 클래식 구독 관리 역할의 차이점을 설명합니다.
문제 84
Azure Active Directory 테넌트에 5,000개의 사용자 계정이 있습니다.
admin user one이라는 새 사용자 계정을 만들었습니다.
admin user one에게 User Administrator 역할을 할당해야 합니다.
사용자 계정 속성에서 어떻게 해야 할까요?
보기:
A. 라이선스 블레이드에서 새 라이선스 할당
B. 디렉터리 역할 블레이드에서 디렉터리 역할 수정
C. 그룹 블레이드에서 새 그룹에 사용자 계정 초대
정답: B
해설:
정답은 B. 디렉터리 역할 블레이드에서 디렉터리 역할 수정입니다.
Azure Active Directory(Azure AD)에서 사용자에게 관리자 역할을 할당하려면
해당 사용자의 디렉터리 역할을 변경해야 합니다.
Azure Portal의 Azure Active Directory 메뉴에서 사용자 계정을 찾아 디렉터리 역할 블레이드로 이동하여
User Administrator 역할을 추가할 수 있습니다.
- Azure Active Directory (Azure AD): Microsoft의 클라우드 기반 ID 및 접근 관리 서비스입니다. 학교나 회사에서 사용하는 계정 관리 시스템과 비슷하다고 생각하시면 됩니다.
- 테넌트 (Tenant): Azure AD의 인스턴스로, 조직을 나타냅니다. 마치 학교의 학생 명단과 같은 개념입니다.
- User Administrator 역할: Azure AD에서 사용자와 그룹을 관리하고 암호를 재설정하는 등의 권한을 가진 관리자 역할입니다.
- 블레이드 (Blade): Azure Portal에서 특정 기능을 관리하는 페이지를 의미합니다.
Azure 포털에서 디렉터리 역할(Directory Role) 수정 9단계
- Azure 포털 로그인
- 웹 브라우저에서 Azure 포털(https://portal.azure.com)에 접속하여 계정으로 로그인합니다.
- Microsoft Entra ID(구 Azure AD)로 이동
- 왼쪽 메뉴 또는 상단 검색창에서 "Microsoft Entra ID" 또는 "Azure Active Directory"를 검색하여 클릭합니다.
- ‘역할 및 관리자’(Directory roles) 메뉴 선택
- Entra ID(또는 Azure AD) 블레이드에서 ‘역할 및 관리자’ 또는 ‘Directory roles’ 메뉴를 클릭합니다.
- 수정할 역할 선택
- 역할 목록에서 수정하려는 디렉터리 역할(예: User Administrator, Global Administrator 등)을 클릭합니다.
- 역할 멤버 관리로 이동
- 선택한 역할의 상세 페이지에서 ‘멤버’(Members) 탭을 클릭합니다.
- 멤버 추가 또는 제거
- 멤버 추가: ‘멤버 추가’(Add member) 버튼을 클릭하여 사용자, 그룹, 서비스 주체 등을 검색 후 선택하고 ‘선택’(Select) 버튼을 클릭합니다.
- 멤버 제거: 기존 멤버 옆의 ‘제거’(Remove) 버튼을 클릭하여 멤버를 삭제할 수 있습니다2.
- 변경 사항 저장
- 멤버 추가 또는 제거 후, 하단의 ‘할당’(Assign) 또는 ‘저장’(Save) 버튼을 클릭하여 변경 사항을 저장합니다.
- 변경 내용 확인
- 멤버 목록에서 추가/제거된 사용자가 정상적으로 반영되었는지 확인합니다.
- 역할 변경 완료 및 로그아웃(선택)
- 필요한 역할 수정이 모두 끝났다면, 포털에서 로그아웃하거나 다른 작업을 계속 진행합니다.
이 과정을 통해 Azure 포털에서 디렉터리 역할의 멤버를 손쉽게 추가, 제거, 수정할 수 있습니다. 역할 수정 권한이 있는 계정(예: 전역 관리자)이 필요하며, 변경 사항은 즉시 적용됩니다.
문제 85
Koso onmicrosoft.com이라는 Azure Active Directory 테넌트에 100개의 사용자 계정이 있습니다.
테넌트에 Azure AD Premium P2 라이선스 10개를 구매했습니다.
10명의 사용자가 모든 Azure AD Premium 기능을 사용할 수 있도록 해야 합니다.
어떻게 해야 할까요?
보기:
A. 각 사용자의 그룹 블레이드에서 사용자를 그룹에 초대
B. Azure AD의 라이선스 블레이드에서 라이선스 할당
C. 각 사용자의 디렉터리 역할 블레이드에서 디렉터리 역할 수정
D. Azure AD 도메인에서 엔터프라이즈 애플리케이션 추가
정답: B
해설:
정답은 B. Azure AD의 라이선스 블레이드에서 라이선스 할당입니다.
Azure AD Premium 기능을 사용하려면 해당 기능에 대한 라이선스를 사용자에게 할당해야 합니다.
Azure Portal의 Azure Active Directory 메뉴에서 라이선스 블레이드로 이동하여
구매한 Azure AD Premium P2 라이선스를 사용자에게 할당할 수 있습니다.
- Azure AD Premium P2 라이선스: Azure AD의 고급 기능을 사용할 수 있는 유료 라이선스입니다.
- 라이선스 (License): 특정 소프트웨어나 서비스를 사용할 수 있는 권한입니다.
문제 86
귀사는 Microsoft Entra 서비스를 사용하려고 합니다.
각 사용자 또는 그룹에 대해 해당 서비스에 대한 라이선스를 부여해야 합니다.
어떻게 해야 할까요? (Azure AD가 Microsoft Entra로 이름이 변경된 후의 유사한 질문)
보기:
A. 각 사용자의 그룹 블레이드에서 사용자를 그룹에 초대
B. Microsoft Entra 관리 센터로 이동하여 라이선스 찾아보기
C. Microsoft Entra 관리 센터로 이동하여 ID -> 청구 -> 라이선스 찾아보기
D. Azure AD 도메인에서 엔터프라이즈 애플리케이션 추가
정답: C
해설:
정답은 C. Microsoft Entra 관리 센터로 이동하여 ID -> 청구 -> 라이선스 찾아보기입니다.
Azure Active Directory가 Microsoft Entra로 변경되면서 라이선스 관리 방법도 약간 바뀌었습니다.
Microsoft Entra 관리 센터에 로그인하여 ID, 청구, 라이선스 메뉴로 이동하여
사용자 또는 그룹에게 라이선스를 할당할 수 있습니다.
라이선스 관리 권한이 있는 계정으로 로그인해야 합니다.
- Microsoft Entra: Azure Active Directory의 새로운 이름입니다. 클라우드 기반의 ID 및 접근 관리 서비스라는 기본적인 역할은 동일합니다.
- Microsoft Entra 관리 센터: Microsoft Entra 서비스를 관리하기 위한 웹사이트입니다.
문제 87
storage one이라는 이름의 스토리지 계정이 있는 Azure 구독이 있습니다.
storage one에 container one이라는 Blob 스토리지를 만들었습니다.
container one에 대해 만들 수 있는 저장된 접근 정책의 최대 개수는 얼마입니까?
보기:
A. 1
B. 3
C. 5
D. 10
E. 64
정답: C
해설:
정답은 C. 5입니다. Azure Blob Storage 컨테이너 하나에 대해 만들 수 있는
**저장된 접근 정책 (Stored Access Policy)**의 최대 개수는 5개입니다. 저
장된 접근 정책은 특정 기간 동안 Blob Storage 리소스에 대한 접근 권한을 정의하는 데 사용됩니다.
- 스토리지 계정 (Storage Account): Azure에서 데이터를 저장하는 기본적인 단위입니다. 마치 여러분의 컴퓨터에 있는 하드디스크와 같습니다.
- Blob Storage: 이미지, 비디오, 문서 등 대용량의 비정형 데이터를 저장하는 서비스입니다.
- 컨테이너 (Container): Blob 데이터를 담는 폴더와 같은 개념입니다.
- 저장된 접근 정책 (Stored Access Policy): Azure Storage 리소스에 대한 접근 권한과 유효 기간 등을 미리 정의해두는 설정입니다.
문제 88
Koso cloud.onmicrosoft.com이라는 Azure Active Directory 테넌트가 있습니다.
귀사에는 contoso.com이라는 공용 DNS 영역이 있습니다.
Azure AD에 Koso.c를 사용자 지정 도메인 이름으로 추가합니다.
Azure AD가 도메인 이름을 확인할 수 있도록 어떤 유형의 DNS 레코드를 만들어야 할까요?
보기:
A. MX
B. NS
C. PTR
D. SRV
정답: A
해설:
정답은 A. MX입니다.
Azure AD에 사용자 지정 도메인 이름을 추가하고 확인하려면 DNS 영역에 특정 DNS 레코드를 추가해야 합니다.
초기에는 MX (Mail Exchanger) 레코드를 추가하여 도메인 소유권을 확인하는 방법이 사용되었습니다.
- 공용 DNS 영역 (Public DNS Zone): 인터넷에서 도메인 이름을 IP 주소로 변환하는 정보를 관리하는 영역입니다.
- 사용자 지정 도메인 이름 (Custom Domain Name): 기본으로 제공되는 yourdomain.onmicrosoft.com 대신 사용하는 회사 또는 개인 소유의 도메인 이름입니다.
- DNS 레코드 (DNS Record): 도메인 이름과 IP 주소, 메일 서버 등 다양한 정보를 연결해 주는 데이터입니다.
- MX 레코드: 메일 서버의 위치를 알려주는 DNS 레코드입니다.
- NS 레코드: 해당 DNS 영역을 관리하는 네임 서버를 지정하는 레코드입니다.
- PTR 레코드: IP 주소를 도메인 이름으로 역방향 조회하는 데 사용되는 레코드입니다.
- SRV 레코드: 특정 서비스를 제공하는 서버의 위치와 포트 번호를 알려주는 레코드입니다.
문제 89
Koso cloud.onmicrosoft.com이라는 Azure Active Directory 테넌트가 있습니다.
귀사에는 contoso.com이라는 공용 DNS 영역이 있습니다.
Azure AD에 Koso.c를 사용자 지정 도메인 이름으로 추가합니다.
Azure가 도메인 이름을 확인할 수 있도록 어떤 유형의 DNS 레코드를 만들어야 할까요? (이전 문제의 변형)
보기:
A. SRV
B. PTR
C. RRSIG
D. TXT
정답: D
해설:
정답은 D. TXT입니다. 사용자 지정 도메인 이름을 Azure AD에서 확인하는 또 다른 방법은
DNS 영역에 TXT 레코드를 추가하는 것입니다.
Microsoft는 TXT 레코드 또는 MX 레코드를 사용하여 도메인 소유권을 확인할 수 있도록 지원합니다.
- TXT 레코드: 도메인에 대한 텍스트 정보를 담는 DNS 레코드입니다. 도메인 소유권 확인 등 다양한 용도로 사용됩니다.
- RRSIG 레코드: DNSSEC에서 DNS 레코드의 진위성을 확인하기 위해 사용되는 디지털 서명 레코드입니다.
문제 90
주어진 이름과 유형으로 둘 이상의 DNS 레코드를 만들어야 합니다.
예를 들어, www.thetechblackboard.com (실제 시험에서는 contoso.com일 수 있음)이
두 개의 다른 IP 주소에서 호스팅됩니다. 어떻게 해야 할까요?
보기:
A. 기존 레코드 세트에 레코드 추가
B. 추가 레코드 세트 생성
C. SPF 레코드 추가
D. SRV 레코드 추가
정답: A
해설:
정답은 A. 기존 레코드 세트에 레코드 추가입니다.
동일한 이름(예: www.contoso.com)과 유형(예: A 레코드)으로 여러 DNS 레코드를 만들려면
기존 레코드 세트에 레코드를 추가해야 합니다.
DNS 영역에서 동일한 이름과 유형을 가진 레코드들의 모음을 레코드 세트라고 합니다.
예를 들어, www.contoso.com에 대한 A 레코드가 이미 있다면,
다른 IP 주소를 가리키는 A 레코드를 새로 만드는 것이 아니라 기존의 A 레코드 세트에 추가해야 합니다.
- DNS 레코드 세트 (DNS Record Set): DNS 영역 내에서 동일한 이름과 유형을 가진 DNS 레코드들의 모음입니다.
- A 레코드: 도메인 이름을 IPv4 주소로 변환하는 데 사용되는 DNS 레코드입니다.
- SPF 레코드: 이메일 위조를 방지하기 위해 메일을 보낼 수 있는 서버 목록을 정의하는 TXT 레코드의 특별한 형태입니다.