セキュリティ系は「分類」が分かりづらい
AZ-900では、
Azureのセキュリティ系サービスが
- IaaSなのか
- PaaSなのか
を問われることがあります。
ただし、ここで重要なのは
👉 サービス名の暗記ではなく、責任分担の考え方です
まず結論から。
Azureのセキュリティ系サービスは、
ほとんどがPaaS扱いで考えて問題ありません。
理由は以下の通りです。
- セキュリティ基盤はMicrosoftが管理
- ユーザーは「設定・ポリシー」を定義するだけ
- OSやソフトウェア管理が不要
Microsoft Entra ID(旧Azure AD)
Microsoft Entra ID は、
Azureの認証・認可の中核です。
分類(AZ-900目線)
- ID基盤を自分で構築しない
- ユーザー・権限を管理するだけ
👉 PaaS扱い
AZ-900では
「IDとアクセス管理」
という役割を押さえましょう。
Microsoft Defender for Cloud は、
Azure全体のセキュリティ状態を可視化するサービスです。
ポイント
- セキュリティ診断・推奨事項を提示
- 脆弱性スキャンやアラート
👉 PaaS扱い
試験では
「セキュリティ状態の一元管理」
がキーワードです。
Azure Policy は、
リソースの作成ルールを制御する仕組みです。
役割
- ルール違反の検知
- 設定ミスの防止
👉 PaaS扱い
AZ-900では
「ガバナンス」
という位置づけで出題されます。
Azure RBAC は、
Azureリソースへのアクセス権管理です。
ポイント
- 役割(Role)で権限付与
- 最小権限の原則
👉 PaaS扱い
👉
「誰が何をできるか」
を制御する仕組み。
Azure Key Vault は、
機密情報を安全に管理するサービスです。
特徴
- シークレット・証明書・鍵を保管
- アプリから安全に参照
👉 PaaS扱い
AZ-900では
「秘密情報をコードに書かない」
という考え方が重要です。
Azure DDoS Protection は、
大規模攻撃から守るサービスです。
ポイント
- Azure基盤側で防御
- ユーザーは有効化するだけ
👉 PaaS扱い
- Azureセキュリティ系は基本PaaS
- 役割と責任分担で判断
- AZ-900では暗記不要
AZ-900での解き方のコツ
セキュリティ系で迷ったら👇
- 「装置」を構築している?
- OS管理が必要?
- それとも設定・ポリシーだけ?
👉 設定だけならPaaS
AZ-900では
「Microsoftと利用者の責任分担」
が一貫して問われています。