CloudPass LogoCloud Pass
AWSGoogle CloudMicrosoftCiscoCompTIADatabricks
Certifications
AWSGoogle CloudMicrosoftCiscoCompTIADatabricks
  1. Cloud Pass
  2. Microsoft
  3. Microsoft AZ-305
Microsoft AZ-305

Microsoft

Microsoft AZ-305

282+ 기출 문제 (AI 검증 답안 포함)

Designing Microsoft Azure Infrastructure Solutions

Free questions & answers실제 시험 기출 문제
AI-powered explanations상세 해설
Real exam-style questions실제 시험과 가장 유사
282+ 문제 보기

AI 기반

3중 AI 검증 답안 및 해설

모든 Microsoft AZ-305 답안은 3개의 최고 AI 모델로 교차 검증하여 최고의 정확도를 보장합니다. 선택지별 상세 해설과 심층 문제 분석을 제공합니다.

GPT Pro
Claude Opus
Gemini Pro
선택지별 상세 해설
심층 문제 분석
3개 모델 합의 정확도

시험 도메인

Design Identity, Governance, and Monitoring Solutions출제율 27%
Design Data Storage Solutions출제율 22%
Design Business Continuity Solutions출제율 18%
Design Infrastructure Solutions출제율 33%

실전 문제

1
문제 1

HOTSPOT - Azure Active Directory (Azure AD) 인증을 사용할 App1이라는 Azure web app을 배포할 계획입니다. App1은 회사 사용자들이 인터넷을 통해 액세스합니다. 모든 사용자는 Windows 10을 실행하고 Azure AD에 조인된 컴퓨터를 사용합니다. 사용자가 인증 프롬프트 없이 App1에 연결할 수 있고, 회사 소유 컴퓨터에서만 App1에 액세스할 수 있도록 보장하는 솔루션을 권장해야 합니다. 각 요구 사항에 대해 무엇을 권장해야 합니까? 답하려면, 답안 영역에서 적절한 옵션을 선택하십시오. 참고: 각 정답 선택에는 1점이 부여됩니다. Hot Area:

파트 1:

사용자는 인증 프롬프트 없이 App1에 연결할 수 있습니다: ______

정답: A (Azure AD app registration). Azure web app (App Service)에 대해 Azure AD 인증을 활성화하고 SSO를 달성하려면, 애플리케이션이 Azure AD에 표현되어 있어야 합니다. 그 표현이 바로 OAuth2/OpenID Connect 토큰 발급에 사용되는 app registration (enterprise application/service principal)입니다. Azure AD-joined Windows 10 디바이스에서는 사용자가 일반적으로 Primary Refresh Token (PRT)을 보유하므로, 지원되는 브라우저에서 자동 토큰 획득이 가능하며, 그 결과 대화형 프롬프트 없이 App1에 액세스할 수 있습니다. 다른 선택지가 틀린 이유: - B (Managed identity)는 workload identity용입니다 (앱이 Key Vault/Storage 같은 Azure 리소스에 액세스하는 경우) 그리고 web app에 대한 최종 사용자 인증/SSO를 제공하지 않습니다. - C (Azure AD Application Proxy)는 주로 온-프레미스 앱을 Azure AD를 통해 외부에 게시하기 위한 것입니다. App1은 이미 인터넷에 노출된 Azure web app이므로, SSO를 위해 Application Proxy는 필요하지 않으며 app registration의 필요성을 대체하지도 않습니다.

파트 2:

사용자는 회사 소유의 컴퓨터에서만 App1에 액세스할 수 있습니다: ______

정답: A (Conditional Access policy). Conditional Access는 디바이스 상태와 같은 조건을 기반으로 cloud app에 대한 액세스를 제어하도록 설계된 Azure AD 기능입니다. 회사 소유의 컴퓨터만 App1에 액세스할 수 있도록 하려면, App1을 대상으로 하는 Conditional Access policy를 구성하여 디바이스가 규정 준수로 표시되도록 요구하고(일반적으로 Microsoft Intune 사용) 및/또는 Azure AD joined 디바이스를 요구합니다. 이렇게 하면 앱이 인터넷에서 접근 가능하더라도, 관리되는 회사 디바이스에서 sign-in이 이루어질 때만 액세스가 허용되도록 강제할 수 있습니다. 다른 선택지가 틀린 이유: - B (Administrative unit)는 사용자/디바이스의 관리 범위를 지정할 뿐이며, sign-in 제한을 강제하지 않습니다. - C (Application Gateway)는 Layer 7 reverse proxy/WAF이며, Azure AD 디바이스 규정 준수/join 상태를 평가할 수 없습니다. - D (Azure Blueprints)와 E (Azure Policy)는 Azure 리소스 배포/구성을 관리하며, 최종 사용자 인증 및 디바이스 기반 액세스 제어를 담당하지 않습니다.

2
문제 2
(3개 선택)

여러 subscription을 포함하는 대규모 Azure 환경을 설계하고 있습니다. 거버넌스 솔루션의 일부로 Azure Policy를 사용할 계획입니다. Azure Policy definitions를 할당할 수 있는 세 가지 scope는 무엇입니까? 각 정답은 완전한 솔루션을 제시합니다. 참고: 각 정답 선택에는 1점이 부여됩니다.

오답입니다. Azure AD administrative units는 Azure AD objects(users, groups, devices)의 하위 집합에 대한 관리 제어를 위임하는 데 사용됩니다. Azure Policy는 Azure Resource Manager 거버넌스 기능이며 Azure AD administrative units에 할당되지 않습니다. 이 선택지는 ID 거버넌스와 resource 거버넌스를 혼동하도록 만드는 일반적인 오답 유도 항목입니다.

오답입니다. Azure AD tenant는 ID 경계이지 ARM resource scope가 아닙니다. Azure Policy assignments는 Azure resource hierarchy(management groups, subscriptions, resource groups, resources) 내에서 이루어집니다. 많은 Azure services가 Azure AD와 통합되지만, Azure Policy는 Azure AD 구성 요소로서 tenant 수준에 할당되지 않습니다.

정답입니다. Subscription은 주요 Azure Policy assignment scope입니다. subscription 수준에서 policy를 할당하면 해당 subscription 내의 모든 resource groups 및 resources에 적용됩니다(제외되지 않는 한). 이는 허용된 regions, 필수 tags 또는 보안 configurations와 같은 표준을 단일 subscription에 강제하는 데 일반적으로 사용됩니다.

오답입니다. “Compute resources”는 유효한 Azure Policy assignment scope가 아닙니다. Azure Policy는 policy conditions를 통해 compute resource types(VMs, VMSS, AKS 등)에 대한 규칙을 평가하고 강제할 수 있지만, assignment scope는 여전히 management group, subscription, resource group(또는 개별 resource)이지 일반적인 compute category가 아닙니다.

정답입니다. Resource group은 유효한 Azure Policy assignment scope입니다. 이는 동일한 subscription 내의 서로 다른 workloads에 서로 다른 거버넌스 규칙이 필요한 경우에 유용합니다(예: production RGs에 대해 더 엄격한 policies). resource group scope에 할당된 policies는 해당 resource group 내의 resources에 적용됩니다.

정답입니다. Management group은 많은 subscriptions를 가진 대규모 환경에서 핵심 scope입니다. management group 수준에서 policies를 할당하면 여러 subscriptions 전반에 걸쳐 중앙 집중식 거버넌스와 일관된 강제를 구현할 수 있습니다. 이는 enterprise-scale landing zones를 위한 모범 사례 접근 방식이며 Azure Well-Architected Framework의 Governance pillar와도 일치합니다.

문제 분석

핵심 개념: Azure Policy는 Azure resources에 대한 표준을 강제하고 규정 준수를 평가하는 데 사용되는 Azure Resource Manager (ARM) 거버넌스 서비스입니다. Policy definitions(규칙)은 Azure resource hierarchy 내의 scope에 할당되므로 하위 scope에 상속될 수 있습니다. 정답인 이유: Azure Policy definitions는 ARM hierarchy의 세 가지 주요 거버넌스 scope인 management groups, subscriptions, resource groups에 할당할 수 있습니다. 더 높은 scope(management group)에서 할당하면 많은 subscriptions 전반에 걸쳐 일관된 거버넌스를 구현할 수 있으며, 이는 대규모 기업을 위한 일반적인 AZ-305 설계 시나리오입니다. subscription scope에서 할당하면 단일 subscription과 그 안의 모든 resource groups/resources를 대상으로 합니다. resource group scope에서 할당하면 특정 workload 경계를 대상으로 합니다. 주요 기능, 구성 및 모범 사례: - Scope inheritance: management group에 대한 policy assignment는 제외되지 않는 한 그 아래의 모든 subscriptions(및 해당 resource groups/resources)에 적용됩니다. - Exclusions: 예외를 지원하기 위해 policy assignment에서 특정 하위 scope를 제외할 수 있습니다(예: sandbox subscriptions). - Initiatives: 여러 policy definitions를 하나의 initiative로 그룹화하고 원하는 scope에 한 번 할당하여 거버넌스를 더 쉽게 할 수 있습니다. - Well-Architected alignment: Policy는 태깅, 허용된 locations/SKUs, 보안 baseline, resource configuration standards를 대규모로 강제하여 Governance pillar를 지원합니다. 일반적인 오해: - Azure AD tenant 또는 administrative units는 ID 거버넌스 scope이지 ARM resource scope가 아닙니다. Azure Policy는 Azure AD objects가 아니라 ARM resources를 평가합니다. - “Compute resources”는 resource 수준 scope처럼 들리지만, Azure Policy assignment scopes는 “resource type categories”가 아닙니다. policy rules 및 conditions를 사용하여 특정 resource types를 대상으로 지정할 수는 있지만, assignment 자체는 management group/subscription/resource group(그리고 개별 resource scope에서도 가능하지만 여기에는 나열되지 않음)에서 이루어집니다. 시험 팁: 거버넌스를 위한 ARM hierarchy를 기억하세요: Management group > Subscription > Resource group > Resource. “Azure Policy를 어떤 scopes에 할당할 수 있는가”를 묻는 문제에서는 ARM scopes를 선택하세요. Azure AD scopes가 오답 선택지로 나오면 일반적으로 Azure Policy assignments에는 올바르지 않습니다.

3
문제 3

HOTSPOT - 자주 사용되는 대량의 데이터를 저장할 app을 위한 storage solution을 설계해야 합니다. 이 solution은 다음 요구 사항을 충족해야 합니다: ✑ 데이터 throughput을 최대화합니다. ✑ 1년 동안 데이터 수정을 방지합니다. ✑ 읽기 및 쓰기 작업의 latency를 최소화합니다. 어떤 Azure Storage account type과 storage service를 권장해야 합니까? 답하려면, 답안 영역에서 적절한 옵션을 선택하세요. 참고: 각 정답 선택에는 1점이 부여됩니다. Hot Area:

파트 1:

Storage account 유형: ______

BlockBlobStorage가 올바른 account 유형입니다. 이는 높은 처리량과 낮은 지연 시간이 필요한 premium block blob 워크로드에 최적화되어 있기 때문입니다. 또한 데이터는 1년 동안 수정으로부터 보호되어야 하므로, immutability policy를 적용하려면 Blob storage가 필요하며, BlockBlobStorage는 해당 서비스에 부합하는 premium account 유형입니다. BlobStorage는 레거시 account 유형이고, FileStorage는 blob이 아니라 Azure Files용이며, Standard 성능의 StorageV2는 동일한 성능 특성을 제공하지 않습니다. 따라서 BlockBlobStorage가 성능 및 immutability 요구 사항을 모두 가장 잘 충족합니다.

파트 2:

Storage 서비스: ______

Blob storage가 올바른 서비스인 이유는 1년과 같이 정의된 기간 동안의 time-based retention을 포함한 immutability policies를 통해 immutable storage (WORM)를 지원하기 때문입니다. 이는 1년 동안 데이터 수정을 방지해야 한다는 요구 사항을 직접적으로 충족합니다. Blob storage는 또한 대량의 unstructured data를 저장하는 데 매우 적합하며, 특히 Premium 성능과 함께 사용할 때 높은 throughput을 제공할 수 있습니다. 다른 선택지가 틀린 이유: - File (B): Azure Files는 SMB/NFS file shares에 최적화되어 있습니다. Premium tier에서는 매우 높은 성능을 제공할 수 있지만, 시험 관점에서 “1년 동안 수정 방지”를 위한 대표적인 immutability/WORM 기능은 Blob의 기능입니다 (immutability policies). - Table (C): Table storage는 structured data를 위한 NoSQL key/attribute store이며, 대규모 unstructured datasets 또는 WORM 스타일의 immutability 요구 사항을 위한 용도가 아닙니다.

4
문제 4

Azure에서 호스팅될 애플리케이션을 설계하고 있습니다. 이 애플리케이션은 50 MB에서 12 GB 범위의 비디오 파일을 호스팅합니다. 애플리케이션은 certificate-based authentication을 사용하며 인터넷의 사용자들이 사용할 수 있습니다. 비디오 파일에 대한 스토리지 옵션을 권장해야 합니다. 솔루션은 가장 빠른 읽기 성능을 제공해야 하며 스토리지 비용을 최소화해야 합니다. 무엇을 권장해야 합니까?

Azure Files는 SMB/NFS를 통한 관리형 file shares를 제공하며 lift-and-shift file server 시나리오, 공유 애플리케이션 구성 또는 사용자 홈 디렉터리에 가장 적합합니다. 일반적으로 인터넷 사용자에게 대규모로 대용량 비디오 파일을 제공하는 데 가장 빠르거나 가장 비용 효율적인 옵션은 아닙니다. 인터넷 제공에는 보통 추가 구성 요소가 필요하며, 비용 최적화를 위한 CDN caching 및 tiering 측면에서 object storage만큼 잘 맞지 않습니다.

Azure Data Lake Storage Gen2는 본질적으로 hierarchical namespace와 POSIX-like ACLs가 추가된 Blob Storage이며, big data analytics(Spark/Hadoop) 및 data engineering에 최적화되어 있습니다. 대용량 파일을 저장할 수는 있지만, 주요 가치는 analytics와 filesystem semantics에 있으며 최저 비용, 최고 성능의 인터넷 콘텐츠 제공이 아닙니다. 빠른 읽기와 최소 비용에 초점을 둔 비디오 호스팅 앱에는 표준 Blob Storage가 더 직접적으로 적합합니다.

Azure Blob Storage는 비디오와 같은 비정형 데이터를 위해 설계되었으며 높은 처리량으로 매우 큰 object를 지원합니다. 자주 액세스되는 콘텐츠의 성능을 유지하면서도 스토리지 비용을 최소화할 수 있도록 Hot/Cool/Archive tiers와 lifecycle management를 제공합니다. 인터넷 사용자에게 가장 빠른 읽기 성능을 제공하기 위해 Blob은 edge caching을 위한 Azure CDN/Front Door와 통합됩니다. 안전한 액세스는 certificate-based authentication 이후 발급되는 단기 SAS tokens를 통해 구현할 수 있습니다.

Azure SQL Database는 structured data 및 transactional workloads를 위한 relational database 서비스입니다. 50 MB에서 12 GB의 비디오 파일을 database에(BLOBs로) 저장하는 것은 비효율적이고 비용이 많이 들며, 확장을 복잡하게 만들고, 일반적으로 object storage보다 읽기 성능이 낮고 비용이 더 높습니다. 올바른 패턴은 metadata는 SQL에 저장하고(필요한 경우) 실제 비디오 콘텐츠는 Blob Storage에 저장하는 것입니다.

문제 분석

핵심 개념: 이 문제는 인터넷 액세스, 강력한 인증, 높은 읽기 성능, 낮은 비용이 필요한 대용량 비정형 객체(비디오 파일)에 적합한 Azure 스토리지 서비스를 선택하는지를 평가합니다. AZ-305 관점에서 이는 적절한 데이터 플랫폼과 액세스 패턴(object storage vs file shares vs database)을 선택하는 것과 관련됩니다. 정답인 이유: Azure Blob Storage는 대용량 binary object(50 MB ~ 12 GB)를 효율적으로 저장하고 제공하기 위한 Azure의 대표 서비스입니다. 높은 처리량의 읽기에 최적화되어 있고, 비용 최소화를 위한 tiering을 지원하며, 보안 액세스 메커니즘과도 깔끔하게 통합되므로 인터넷 대상 콘텐츠 제공 시나리오에 가장 적합한 비용/성능 조합을 제공합니다. “가장 빠른 읽기 성능”을 위해 Blob Storage는 edge caching 및 가속을 위해 Azure CDN 또는 Front Door와 함께 사용할 수 있으며, 이는 글로벌 비디오 전송을 위한 일반적인 아키텍처입니다. “스토리지 비용 최소화”를 위해 Blob은 Hot/Cool/Archive access tiers와 lifecycle management rules를 지원하여 오래되었거나 액세스 빈도가 낮은 비디오를 더 저렴한 tier로 자동 이동할 수 있습니다. 주요 기능 및 모범 사례: - 성능: Blob Storage는 높은 처리량과 대용량 object size를 지원합니다. Premium Block Blob을 사용하면 까다로운 워크로드에서 성능을 더 높일 수 있으며, Standard는 일반적으로 가장 비용 효율적입니다. - 비용 최적화: lifecycle policies를 사용하여 마지막 액세스/수정 시간을 기준으로 blobs를 Hot에서 Cool/Archive로 전환합니다. 예측 가능한 스토리지에는 reserved capacity를 고려하십시오. - 안전한 인터넷 액세스: 해당되는 경우 Azure AD 통합, SAS tokens, stored access policies 및/또는 private endpoints(내부 액세스용)를 사용합니다. certificate-based authentication의 경우 일반적인 패턴은 사용자/앱을 certificates를 통해 identity provider 또는 API에 인증한 후 blob 읽기를 위한 단기 SAS를 발급하는 것입니다. - Well-Architected 정렬: Cost Optimization(tiering, lifecycle), Performance Efficiency(CDN/Front Door caching), Security(SAS/AAD를 통한 least privilege, encryption at rest). 일반적인 오해: Azure Files는 “file storage”이기 때문에 매력적으로 보일 수 있지만, SMB/NFS 중심이며 일반적으로 대규모 인터넷 콘텐츠 배포에 가장 적합하거나 가장 저렴한 선택은 아닙니다. ADLS Gen2는 Blob 기반이지만 analytics 및 hierarchical namespace 시나리오에 최적화되어 있으며, public 비디오 콘텐츠 제공이 주목적은 아닙니다. SQL Database는 대용량 비디오 binary에 적합하지 않습니다. 시험 팁: 인터넷 사용자에게 제공되는 대용량 미디어 파일의 경우 기본적으로 Azure Blob Storage(대개 CDN/Front Door와 함께)를 선택하십시오. 비용 제어를 위해 access tiers와 lifecycle management를 사용하고, storage keys를 노출하는 대신 안전한 액세스를 위해 SAS/AAD 패턴을 사용하십시오.

5
문제 5

사용자 지정 애플리케이션인 Application1을 포함하는 Azure subscription이 있습니다. Application1은 Fabrikam, Ltd.라는 외부 회사에서 개발했습니다. Fabrikam의 개발자들에게는 Application1 구성 요소에 대한 role-based access control (RBAC) 권한이 할당되었습니다. 모든 사용자는 Microsoft 365 E5 플랜에 대한 라이선스를 보유하고 있습니다. Fabrikam 개발자들에게 여전히 Application1에 대한 권한이 필요한지 확인할 수 있는 솔루션을 권장해야 합니다. 솔루션은 다음 요구 사항을 충족해야 합니다: ✑ 개발자들의 관리자에게 Application1에 대한 액세스 권한을 나열한 월별 이메일 메시지를 보냅니다. ✑ 관리자가 액세스 권한을 확인하지 않으면 해당 권한을 자동으로 취소합니다. ✑ 개발 노력을 최소화합니다. 무엇을 권장해야 합니까?

정답입니다. Azure AD (Microsoft Entra ID) Access Reviews는 검토자(예: 개발자들의 관리자)에게 이메일 알림을 보내는 예약된(매월) 검토를 제공합니다. 승인되지 않았거나 검토되지 않은 경우 액세스가 제거되도록 결과 자동 적용을 구성할 수 있습니다. 이는 최소한의 개발 노력으로 모든 요구 사항을 충족하며, governance 및 최소 권한 적용을 위한 강력한 감사 기능을 제공합니다.

오답입니다. Get-AzRoleAssignment를 사용하는 Azure Automation runbook은 RBAC assignment를 열거할 수 있지만, 월별 일정 예약, 관리자에게 이메일 전송, 승인 수집, 무응답 추적, 액세스 취소를 위한 사용자 지정 로직을 여전히 구축해야 합니다. 이는 개발 및 유지 관리 노력을 증가시키며, 기본 제공 identity governance 및 감사 워크플로와도 덜 부합합니다.

오답입니다. Privileged Identity Management (PIM)는 just-in-time access, eligible 대 active role assignment, elevation에 대한 승인 워크플로, 시간 제한 assignment에 중점을 둡니다. Access Reviews처럼 월별 관리자 attestation과 무응답 시 자동 제거를 동일하게 간단한 방식으로 본질적으로 제공하지는 않습니다. PIM은 governance를 보완할 수 있지만 여기에는 가장 적합하지 않습니다.

오답입니다. Get-AzureADUserAppRoleAssignment는 Azure 리소스에 대한 Azure RBAC role assignment가 아니라 애플리케이션 role assignment(app role)를 대상으로 합니다. Application1 액세스는 구성 요소에 대한 RBAC 권한으로 설명되어 있으며, 이는 일반적으로 Azure 리소스 role assignment입니다. 적용 가능하더라도 runbook은 여전히 사용자 지정 승인/attestation 및 취소 로직이 필요하므로 개발 노력이 증가합니다.

문제 분석

핵심 개념: 이 문제는 identity 및 access에 대한 Azure governance, 특히 최소한의 노력으로 불필요한 액세스를 주기적으로 검증하고 자동으로 제거하는 방법을 테스트합니다. 올바른 서비스는 Identity Governance의 일부인 Microsoft Entra ID (Azure AD) Access Reviews입니다. 정답이 맞는 이유: Azure AD의 access review는 반복 일정(매월)으로 실행되도록 구성할 수 있으며, 지정된 검토자(개발자들의 관리자)에게 알리고, 현재 액세스(누가 액세스/role assignment를 가지고 있는지)를 표시하며, 결과를 자동으로 적용할 수 있습니다. 특히, 검토자가 응답하지 않는 경우(확인/승인하지 않는 경우) 검토 종료 시 시스템이 자동으로 액세스를 제거하도록 구성할 수 있습니다. 이는 다음 요구 사항을 직접 충족합니다: 1) 액세스 권한을 나열한 월별 이메일을 관리자에게 전송 2) 확인되지 않으면 자동으로 권한 취소 3) 개발 노력 최소화(기본 제공 워크플로, 사용자 지정 스크립팅 불필요) 주요 기능 및 구성 포인트: - 범위: 그룹, 애플리케이션에 대한 액세스를 검토할 수 있으며, (지원되는 통합 사용 시) Azure 리소스 role도 검토할 수 있습니다. Application1 구성 요소에 대한 RBAC의 경우, 일반적으로 RBAC assignment에 사용되는 그룹의 멤버십을 검토하거나(권장 모범 사례) 지원되는 경우 role assignment를 검토합니다. - 반복: 매월로 설정합니다. - 검토자: 관리자를 검토자로 설정합니다(또는 해당되는 경우 “manager of user” 사용). - 결과 자동 적용: 거부됨/검토되지 않음에 대해 자동 제거를 활성화합니다. - 알림: 이메일 알림 및 미리 알림이 기본 제공됩니다. 이는 Azure Well-Architected Framework의 보안 원칙인 최소 권한 적용 및 지속적인 액세스 검토와 일치합니다. 일반적인 오해: 많은 사람들이 이메일 보고서를 보내고 assignment를 제거하려면 Automation runbook이 필요하다고 생각합니다. 가능하긴 하지만, 이는 운영 및 개발 오버헤드를 증가시키고 오류가 발생하기 더 쉽습니다. 또 다른 오해는 Privileged Identity Management (PIM)가 필요하다는 것입니다. PIM은 just-in-time privileged access에 매우 적합하지만, 여기의 요구 사항은 주기적 증명(attestation)과 확인되지 않은 액세스의 자동 제거입니다. 시험 팁: - “manager attestation”, “recurring review”, “승인되지 않으면 자동 제거”가 보이면 Access Reviews를 떠올리십시오. - 시간 제한 elevation/eligible assignment가 요구되면 PIM을 사용하고, 기존 액세스의 주기적 검증/attestation이 요구되면 Access Reviews를 사용하십시오. - 노력을 최소화하고 감사 가능성을 높이기 위해 사용자 지정 스크립트보다 기본 제공 governance 기능을 선호하십시오. 라이선스 참고: 모든 사용자가 Microsoft 365 E5를 보유하고 있으며, 여기에는 일반적으로 Access Reviews에 필요한 Entra ID Governance 기능이 포함되므로 추가적인 사용자 지정 개발 없이 이 솔루션을 구현할 수 있습니다.

이동 중에도 모든 문제를 풀고 싶으신가요?

Cloud Pass를 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.

6
문제 6

Azure 구독이 있습니다. 해당 구독에는 여러 blob이 포함된 blob container가 있습니다. 회사 재무 부서의 10명의 사용자가 4월 동안 blob에 액세스할 계획입니다. 4월 동안에만 blob에 대한 액세스를 허용하는 솔루션을 권장해야 합니다. 권장 사항에 포함해야 하는 보안 솔루션은 무엇입니까?

Shared access signatures (SAS)는 명시적 권한(read/write/list), 범위(blob/container), 유효 기간(시작/만료)을 통해 Blob Storage에 대한 위임되고 세분화된 액세스를 제공합니다. 이는 4월 말에 만료되도록 SAS를 설정함으로써 “4월만” 요구 사항을 직접 충족합니다. 모범 사례로는 storage account keys 노출을 피하고 거버넌스를 개선하기 위해 Microsoft Entra ID와 함께 user delegation SAS를 사용하는 것입니다.

Conditional Access policies는 사용자가 Microsoft Entra ID를 통해 애플리케이션에 인증하는 방식을 제어합니다(예: MFA 요구, 규정 준수 device, named locations). 이는 URL을 통한 blob에 대한 시간 제한 액세스를 부여하는 기본 메커니즘이 아니며, SAS 기반 액세스는 Conditional Access의 적용을 전혀 받지 않을 수도 있습니다. 또한 Conditional Access는 blob 액세스에 대해 리소스별 만료를 본질적으로 단순하게 제공하지 않습니다.

Certificates는 Azure blob에 대한 임시 액세스를 부여하는 일반적이거나 권장되는 방법이 아닙니다. certificates는 특정 인증 시나리오(예: client certificates, service principals)에 사용될 수 있지만, Blob Storage 액세스에 대해 SAS가 제공하는 기본 제공 리소스 범위 및 시간 제한 권한 모델을 제공하지 않습니다. 또한 certificate 발급/교체 관리는 이 요구 사항에 불필요한 복잡성을 추가합니다.

Storage account access keys는 전체 storage account에 대한 광범위한 액세스를 부여하는 높은 권한의 장기 비밀입니다. 이를 10명의 사용자와 공유하는 것은 최소 권한 원칙을 위반하며, 수동 교체 없이 “4월만” 액세스를 강제하기 어렵게 만듭니다. key가 유출되면 공격자는 key가 재생성될 때까지 모든 데이터에 액세스할 수 있으므로, 이는 좋지 않은 보안 설계 선택입니다.

문제 분석

핵심 개념: 이 문제는 Azure Blob Storage에 대해 안전하고 시간 제한이 있는 액세스 위임을 테스트합니다. 핵심 기능은 장기 자격 증명을 공유하지 않고 특정 storage 리소스에 제한된 권한을 부여하는 것입니다. 정답인 이유: Shared Access Signatures (SAS)는 시작 시간과 만료 시간을 포함한 명시적 제약 조건과 함께 blob/container에 대한 위임된 액세스를 제공하도록 설계되었습니다. 재무 부서 사용자가 4월 동안에만 blob에 액세스하도록 하려면 4월 1일부터 4월 30일(또는 5월 1일 00:00)까지 유효한 SAS(service SAS 또는 user delegation SAS)를 발급할 수 있습니다. 만료 후에는 SAS token을 자동으로 사용할 수 없게 되므로, 지속적인 관리자 작업 없이 “4월만” 요구 사항을 충족합니다. 주요 기능 / 모범 사례: - 범위 및 권한: 필요한 권한만(read/list가 일반적임) 갖도록 container(또는 특정 blob) 범위로 SAS를 생성합니다. Azure Well-Architected Framework(Security pillar)에 따라 최소 권한 원칙을 적용합니다. - 시간 제한: 4월 기간을 강제하기 위해 시작 시간과 만료 시간을 설정합니다. - user delegation SAS 선호: Microsoft Entra ID를 사용하는 경우 Azure AD 및 user delegation key를 기반으로 하는 user delegation SAS를 생성하여 storage account key 사용을 피하고 더 나은 거버넌스를 가능하게 합니다. - 선택적 네트워크 제어: 노출을 더 줄이기 위해 SAS를 storage firewall, private endpoints 또는 SAS의 IP 제한(해당되는 경우)과 결합합니다. - 운영 고려 사항: SAS를 안전하게 배포합니다(예: 보안 portal 또는 수명이 짧은 전달 메커니즘 사용). 손상된 경우 교체/재발급합니다. 일반적인 오해: - Conditional Access는 Entra로 보호되는 앱에 대한 sign-in을 제어하지만, SAS를 통한 Blob 액세스는 대화형 sign-in 및 Conditional Access 평가를 우회할 수 있습니다. 또한 Conditional Access는 blob URL에 대해 “특정 날짜에 리소스 액세스 만료” 메커니즘을 기본적으로 단순하게 제공하지 않습니다. - certificates는 blob에 대한 임시 액세스를 부여하는 표준 메커니즘이 아닙니다. 일부 컨텍스트에서 client auth에 사용될 수는 있지만, 만료 시간이 있는 blob 권한 위임에는 적합하지 않습니다. - access keys는 storage account에 대한 전체 제어를 제공하며 장기적으로 유지됩니다. 시간 제한이 있고 사용자 범위로 제한된 액세스에는 적절하지 않습니다. 시험 팁: “temporary access”, “limited permissions”, “specific container/blob” 또는 “time-bound access”를 보면 SAS를 떠올리십시오. AZ-305 설계 문제에서는 우선순위 계층도 기억하십시오: 가능한 경우 Entra ID + RBAC를 사용하고, URL 기반 위임 액세스에는 SAS를 사용하며, 이상적으로는 account keys 공유를 피하기 위해 user delegation SAS를 사용합니다.

7
문제 7
(2개 선택)

온-프레미스 Active Directory domain과 동기화되는 Azure Active Directory (Azure AD) tenant가 있습니다. 온-프레미스에서 호스팅되는 WebApp1이라는 내부 web app이 있습니다. WebApp1은 Integrated Windows authentication을 사용합니다. 일부 사용자는 원격으로 근무하며 온-프레미스 네트워크에 대한 VPN 액세스가 없습니다. 원격 사용자에게 WebApp1에 대한 single sign-on (SSO) 액세스를 제공해야 합니다. 솔루션에 포함해야 하는 두 가지 기능은 무엇입니까? 각 정답은 솔루션의 일부를 나타냅니다. 참고: 각 정답 선택에는 1점이 부여됩니다.

Azure AD Application Proxy는 VPN 연결 없이 온-프레미스 web application에 대한 원격 액세스를 제공하도록 특별히 구축되었기 때문에 정답입니다. 이는 Azure로 아웃바운드 연결을 수행하는 온-프레미스 connector를 사용하므로 내부 application을 인터넷에 직접 노출할 필요가 없습니다. Integrated Windows authentication을 사용하는 app의 경우, Application Proxy는 Kerberos Constrained Delegation을 통한 single sign-on을 지원하여 Azure AD로 인증된 사용자가 app에 원활하게 액세스할 수 있도록 합니다. 이는 원격 사용자에게 WebApp1에 대한 SSO 액세스를 제공해야 한다는 요구 사항과 정확히 일치합니다.

Azure AD Privileged Identity Management (PIM)는 privileged role을 관리하고 관리 액세스를 위한 just-in-time elevation을 제공하는 데 사용되므로 오답입니다. 이는 상시 privileged 권한을 줄이고 privileged account에 대한 승인 workflow, 알림 및 access review를 지원합니다. 그러나 온-프레미스 application을 게시하거나, 원격 연결을 제공하거나, 내부 web app에 액세스하는 최종 사용자에게 SSO를 활성화하지는 않습니다. 따라서 이 시나리오의 핵심 요구 사항을 해결하지 못합니다.

Conditional Access policies는 사용자가 application에 액세스할 수 있는 조건(예: MFA 요구, 규정 준수 device, 신뢰할 수 있는 위치)을 제어할 뿐이므로 주된 정답으로는 오답입니다. 이는 VPN 액세스가 없는 원격 사용자에게 온-프레미스 web application을 노출하는 메커니즘을 제공하지 않습니다. Conditional Access는 추가 보안을 위해 Application Proxy 위에 계층적으로 적용할 수 있지만, application에 도달 가능하게 하고 SSO를 제공하는 데 필요한 기능 중 하나는 아닙니다. 이 시나리오는 핵심 솔루션 구성 요소를 묻고 있으며, 그것은 Application Proxy와 enterprise application 구성입니다.

Azure Arc는 Azure에서 server, Kubernetes cluster 및 data service를 관리하는 것과 같은 hybrid 및 multicloud resource management를 위한 것이므로 오답입니다. 이는 Azure governance, policy 및 management 기능을 비-Azure 환경으로 확장합니다. 그러나 온-프레미스 web application에 대한 원격 사용자 액세스를 제공하지 않으며, 이 시나리오의 Integrated Windows authentication SSO와도 관련이 없습니다. 따라서 제시된 요구 사항과는 무관합니다.

Azure AD enterprise applications는 게시된 온-프레미스 application이 Azure AD에서 enterprise application으로 관리되기 때문에 정답입니다. 관리자는 여기서 사용자 및 그룹 할당, SSO 관련 설정, 그리고 application의 액세스 동작을 구성합니다. Application Proxy 배포에서 app은 Azure AD의 enterprise application으로 표시되므로, 이 기능은 전체 솔루션의 일부입니다. enterprise application object가 없으면 WebApp1에 대한 액세스를 관리하는 데 필요한 Azure AD application integration 계층을 가질 수 없습니다.

Azure Application Gateway는 SSL termination, path-based routing 및 Web Application Firewall integration과 같은 기능을 갖춘 HTTP/HTTPS traffic용 Layer 7 load balancer이므로 오답입니다. web application을 게시할 수는 있지만, VPN 없이 내부 app에 대한 원격 액세스를 위해 설계된 Azure AD 기반 reverse proxy service는 아닙니다. 또한 Integrated Windows authentication app에 대해 Azure AD Application Proxy가 사용하는 것과 같은 Azure AD preauthentication 및 KCD 기반 SSO 패턴을 기본적으로 제공하지도 않습니다. Application Proxy와 비교하면, 이 정확한 시나리오에 필요한 직접적인 identity integration이 부족합니다.

문제 분석

핵심 개념: 이 문제는 VPN 연결이 없는 원격 사용자에게 Integrated Windows authentication을 사용하는 온-프레미스 web application에 대한 보안 single sign-on 액세스를 제공하는 방법을 묻습니다. 이 시나리오의 핵심 Azure AD 기능은 Azure AD를 통해 온-프레미스 application을 외부에 게시하고, enterprise application object를 통해 authentication 및 액세스 관리를 활성화하는 것입니다. 정답인 이유: Azure AD Application Proxy는 인바운드 firewall port 또는 VPN 액세스 없이 온-프레미스 web application을 외부 사용자에게 게시하도록 특별히 설계되었습니다. 이는 온-프레미스에 설치된 connector를 사용하며, 이 connector는 Azure로 아웃바운드 연결을 설정하므로 원격 사용자가 내부 app에 안전하게 접근할 수 있습니다. Integrated Windows authentication을 사용하는 WebApp1과 같은 application의 경우, Application Proxy는 Kerberos Constrained Delegation (KCD)용으로 구성할 수 있으며, 이를 통해 Azure AD에서 온-프레미스 app으로의 single sign-on이 가능합니다. Azure AD enterprise applications도 필요합니다. 게시된 app은 Azure AD에서 enterprise application으로 표시되고 관리되며, 여기서 사용자 할당, SSO 설정 및 액세스 동작을 구성하기 때문입니다. 주요 기능 / 구성: - Azure AD Application Proxy는 VPN 없이 외부 액세스를 위해 내부 web app을 게시합니다. - Application Proxy connector는 온-프레미스에 설치되며 Azure와 아웃바운드로 통신합니다. - Integrated Windows authentication app은 SSO를 위해 Kerberos Constrained Delegation을 사용할 수 있습니다. - Azure AD enterprise applications는 할당, 액세스 제어 및 SSO 구성에 사용되는 application object를 제공합니다. - 사용자는 먼저 Azure AD로 인증한 다음, Azure AD/Application Proxy가 내부 app에 대한 액세스를 중개합니다. 일반적인 오해: - Conditional Access는 누가 app에 액세스할 수 있는지 제어할 수 있지만, 그 자체로 온-프레미스 application을 게시하거나 연결 경로를 제공하지는 않습니다. - Privileged Identity Management는 just-in-time role activation 및 privileged access governance를 위한 것이며, application 게시 또는 내부 web app에 대한 사용자 SSO를 위한 것이 아닙니다. - Azure Application Gateway는 load balancer 및 web traffic management service이지만, VPN 없이 원격 사용자에게 내부 Integrated Windows auth app을 게시하기 위한 Azure AD Application Proxy 패턴을 기본적으로 제공하지는 않습니다. - Azure Arc는 hybrid resource에 Azure management를 확장하지만, 온-프레미스 web application에 대한 원격 SSO 액세스와는 관련이 없습니다. 시험 팁: - 시나리오에 온-프레미스 web app + 원격 사용자 + VPN 없음이 나오면 Azure AD Application Proxy를 떠올리십시오. - app이 Integrated Windows authentication을 사용하는 경우, Application Proxy를 통한 Kerberos Constrained Delegation 지원을 찾으십시오. - Azure AD의 enterprise applications는 SSO, 사용자 할당 및 app 액세스를 구성할 때 일반적으로 관련됩니다. - Conditional Access는 종종 보완적으로 사용되지만, 핵심 게시 솔루션은 아닙니다. - identity/access service와 network/load-balancing service를 구분하십시오.

8
문제 8

contoso.com이라는 Azure Active Directory (Azure AD) tenant가 있고, 여기에는 Group1이라는 security group이 있습니다. Group1은 assigned membership으로 구성되어 있습니다. Group1에는 20명의 guest user를 포함하여 50명의 member가 있습니다. Group1의 membership을 평가하기 위한 솔루션을 권장해야 합니다. 이 솔루션은 다음 요구 사항을 충족해야 합니다: ✑ 평가는 3개월마다 자동으로 반복되어야 합니다. ✑ 모든 member는 자신이 Group1에 있어야 하는지 여부를 보고할 수 있어야 합니다. ✑ 자신이 Group1에 있을 필요가 없다고 보고한 사용자는 Group1에서 자동으로 제거되어야 합니다. ✑ 자신이 Group1에 있어야 하는지 여부를 보고하지 않은 사용자는 Group1에서 자동으로 제거되어야 합니다. 권장 사항에 무엇을 포함해야 합니까?

Azure AD (Entra ID) Identity Protection은 risk policy 및 report를 사용하여 identity risk(risky sign-in, risky user)를 탐지하고 remediation하기 위해 설계되었습니다. 이는 group에 대한 주기적이고 사용자 주도의 membership attestation workflow를 제공하지 않으며, self-reported need 또는 무응답을 기반으로 사용자를 group에서 자동 제거하지도 않습니다. 따라서 제시된 governance 및 recertification 요구 사항을 충족할 수 없습니다.

Group1을 Dynamic User membership으로 변경하면 user attribute(예: department, jobTitle, userType)를 평가하는 rule을 기반으로 membership이 자동화됩니다. 이는 모든 member가 자신이 여전히 group에 있어야 하는지 명시적으로 보고해야 한다는 요구 사항을 충족하지 않으며, 분기별 review/attestation 프로세스도 구현하지 않습니다. Dynamic group은 attribute 기반 access에는 적합하지만, 주기적인 access recertification에는 적합하지 않습니다.

Microsoft Entra ID Governance의 access review는 group membership, app access, role assignment의 주기적인 access recertification을 위해 설계되었습니다. review가 3개월마다 반복되도록 예약하고, reviewer를 사용자 자신(self-attestation)으로 설정하며, 결과를 자동 적용하도록 구성하여 “No”라고 응답한 사용자를 제거할 수 있습니다. 또한 non-responder도 자동으로 제거할 수 있으므로 모든 요구 사항을 충족합니다.

Privileged Identity Management (PIM)는 eligible assignment, just-in-time activation, approval workflow, privileged assignment에 대한 access review를 통해 privileged access(Azure AD role, Azure resource role, privileged group)를 관리하는 데 중점을 둡니다. PIM에 review 기능이 포함될 수는 있지만, 이 문제는 self-attestation과 non-responder의 자동 제거를 포함한 일반적인 assigned group membership 평가에 관한 것입니다. Access Reviews가 직접적이고 기대되는 솔루션입니다.

문제 분석

핵심 개념: 이 문제는 group membership lifecycle management를 위한 Microsoft Entra ID (Azure AD) governance 기능을 테스트합니다. 해당 기능은 Access Reviews(Entra ID Governance의 일부)이며, 사용자가 계속해서 access가 필요한지에 대한 주기적인 attestation을 가능하게 하고 review 결과에 따라 사용자를 자동으로 제거할 수 있습니다. 정답인 이유: access review는 특정 group(Group1)에 대해 구성할 수 있으며 3개월마다 반복되도록 예약할 수 있습니다. 각 member(guest user 포함)가 여전히 membership이 필요한지 self-attest하도록 설정할 수 있습니다. 중요한 점은 access review가 자동 remediation을 지원한다는 것입니다. 더 이상 access가 필요하지 않다고 표시한 사용자는 자동으로 제거할 수 있고, review 종료 시점까지 응답하지 않은 사용자도 자동으로 제거할 수 있습니다(“auto-apply results” 및 “remove non-responders”/“apply results to non-responders” 설정 사용). 이는 네 가지 요구 사항을 모두 정확히 충족합니다. 주요 기능 및 구성 포인트: - Scope: Group1을 대상으로 하는 “Groups”용 access review. - Reviewers: 모든 member가 자신의 필요 여부를 보고할 수 있도록 “Self review”. - Recurrence: 3개월마다로 설정. - Automation: 완료 시 결과를 auto-apply하도록 설정하고, non-responder는 제거되도록 구성. - Guests: access review에는 guest user를 포함할 수 있으며, 이는 일반적인 governance 요구 사항입니다. - Governance alignment: 이는 Azure Well-Architected Framework security pillar 원칙(least privilege, continuous access evaluation, governance)을 지원합니다. 일반적인 오해: - Dynamic group(option B)은 user attestation이 아니라 user attribute를 기반으로 membership을 자동화하며, 주기적으로 “여전히 access가 필요한지 확인”하는 workflow를 제공하지 않습니다. - PIM(option D)은 privileged role 및 resource access elevation(just-in-time)을 위한 것이며 eligible assignment를 관리할 수 있지만, 일반적인 assigned membership group에 대해 반복적인 self-attestation과 자동 제거를 수행하는 기본 메커니즘은 아닙니다. - Identity Protection(option A)은 risk 기반 탐지 및 remediation(risky user/sign-in)에 중점을 두며, membership recertification에는 해당하지 않습니다. 시험 팁: “X개월마다 recertify”, “사용자가 attest해야 함”, “non-responder를 자동 제거”와 같은 요구 사항이 보이면 Entra ID Governance의 “Access Reviews”를 떠올리십시오. 시나리오가 privileged role 및 JIT elevation에 관한 것이면 PIM, risk detection에 관한 것이면 Identity Protection, attribute 기반 membership에 관한 것이면 Dynamic Groups를 떠올리십시오.

9
문제 9

DRAG DROP - 온-프레미스 네트워크에는 App1이라는 ASP.NET 애플리케이션을 실행하는 Server1이라는 서버가 있습니다. Azure Active Directory (Azure AD)의 하이브리드 배포가 있습니다. 사용자가 인터넷에서 App1에 연결할 때 Azure AD 계정과 Azure Multi-Factor Authentication (MFA)을 사용하여 로그인하도록 보장하는 솔루션을 권장해야 합니다. 어떤 세 가지 기능을 순서대로 배포하고 구성하도록 권장해야 합니까? 답하려면 기능 목록에서 적절한 기능을 답 영역으로 이동하고 올바른 순서로 정렬하세요. 선택하여 배치:

파트 1:

아래 이미지에서 정답을 선택하세요.

question-image

Pass가 적절한 이유는 필요한 솔루션이 AZ-305에서 자주 출제되는 표준 Azure AD + on-prem app publishing 패턴이기 때문입니다. 올바른 세 가지 기능과 순서는 다음과 같습니다: 1) Azure AD enterprise application (Azure AD에서 App1을 나타내며 access policies의 대상이 됨) 2) Azure AD Application Proxy (Application Proxy connector를 통해 on-prem app을 인터넷에 게시하고 Azure AD pre-authentication을 활성화함) 3) Conditional Access policy (해당 enterprise app에 대해 구성되어 인터넷 액세스 시 Azure MFA를 요구함) 다른 선택지가 틀린 이유: public/internal Azure Load Balancer는 Azure resources로의 트래픽 분산용이며 on-prem app에 대해 Azure AD auth/MFA를 적용하지 않습니다. Azure App Service plan은 Azure App Service에서 앱을 호스팅하기 위한 것이며(App1은 Server1에 그대로 유지되므로 해당 없음) managed identity는 Azure resources에 액세스하기 위한 workload identity이지 end-user interactive sign-in 및 MFA 적용용이 아닙니다.

10
문제 10

Azure subscription에서 모든 새로운 Azure Resource Manager (ARM) resource deployment의 월간 보고서를 생성하기 위한 솔루션을 권장해야 합니다. 권장 사항에 무엇을 포함해야 합니까?

Azure Activity Log가 정답인 이유는 ARM deployment 작업과 resource 생성 이벤트를 포함한 모든 subscription 수준 control-plane 이벤트를 기록하기 때문입니다. 따라서 특정 월 내의 새로운 deployment를 식별하기 위한 기본 감사 소스가 됩니다. 여기에는 caller, operation name, timestamp 및 status와 같은 유용한 metadata가 포함되며, 이는 deployment 보고서에 정확히 필요한 세부 정보입니다. 시험 시나리오에서 Azure 관리 작업이나 deployment를 추적해야 하는 요구 사항이 있다면, Activity Log가 선택해야 할 주요 서비스입니다.

Azure Advisor는 비용, 보안, 안정성, 운영 우수성 및 성능 전반에 걸친 모범 사례 권장 사항에 중점을 둡니다. ARM deployment의 권한 있는 감사 추적이나 새로운 deployment의 전체 목록을 제공하지 않습니다. Advisor는 deployment로 인해 발생한 구성 문제를 강조할 수는 있지만, 규정 준수 스타일의 deployment 보고용으로 설계된 것은 아닙니다.

Azure Analysis Services는 Power BI와 같은 BI 도구에서 사용하는 tabular semantic model(SSAS Tabular와 유사)을 호스팅하기 위한 PaaS analytics 서비스입니다. 자체적으로 Azure subscription Activity Log 이벤트를 수집하거나 추적하지 않습니다. 이론적으로는 다른 곳으로 로그를 export한 후 데이터를 모델링할 수 있지만, deployment 보고서를 생성하기 위한 올바른 기본 서비스는 아닙니다.

Azure Monitor action groups는 alert rule에서 사용하는 알림 및 자동화 endpoint(email, SMS, webhook, Logic Apps 등)를 정의합니다. ARM deployment 이벤트를 수집, 저장 또는 나열하지 않습니다. Activity Log/Log Analytics에 대한 alert를 만든 후 action groups를 사용할 수는 있지만, 월간 deployment 보고서의 데이터 소스는 아닙니다.

문제 분석

핵심 개념: 새로운 Azure Resource Manager (ARM) resource deployment의 월간 보고서를 생성하려면, subscription에서 수행된 control-plane 작업을 기록하는 Azure 서비스를 사용해야 합니다. Azure Activity Log는 resource 생성, 업데이트, 삭제 및 deployment 작업과 같은 subscription 수준 이벤트를 캡처합니다. 정답인 이유: Azure Activity Log는 resource가 언제 deployment되었는지와 누가 작업을 시작했는지를 기록하므로 ARM deployment 활동에 대한 권한 있는 소스입니다. 지난 한 달 동안의 deployment 관련 작업으로 로그를 필터링하고, 해당 데이터를 월간 보고서의 기반으로 사용할 수 있습니다. 주요 기능: 1) 생성/업데이트/삭제 및 deployment 작업을 포함하여 subscription의 control-plane 이벤트를 캡처합니다. 2) timestamp, caller, operation name, status 및 대상 resource와 같은 세부 정보를 제공합니다. 3) subscription, resource group, operation type 및 time range별 필터링을 지원합니다. 4) 더 긴 보존 기간이나 고급 보고가 필요한 경우 export하거나 다른 Azure Monitor 기능과 통합할 수 있습니다. 일반적인 오해: - Azure Advisor는 deployment의 감사 추적이 아니라 권장 사항을 제공합니다. - Azure Analysis Services는 분석 모델용이지, Azure deployment 추적용이 아닙니다. - Azure Monitor action groups는 알림을 보내거나 작업을 트리거할 뿐이며, deployment 기록을 저장하지 않습니다. 시험 팁: Azure resource에 대해 "누가 무엇을 언제 했는지"를 무엇이 기록하는지 묻는 문제에서는 Azure Activity Log를 떠올리십시오. 이것은 subscription 수준 ARM 작업 감사에 대한 기본 정답입니다. data-plane 로그, 권장 사항 및 알림 메커니즘과 구분하십시오.

이동 중에도 모든 문제를 풀고 싶으신가요?

Cloud Pass를 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.

11
문제 11
(2개 선택)

Azure subscription에 store1이라는 Azure Blob Storage account가 포함되어 있습니다. Windows Server 2016을 실행하는 Server1이라는 온-프레미스 파일 서버가 있습니다. Server1에는 500 GB의 회사 파일이 저장되어 있습니다. Server1의 회사 파일 복사본을 store1에 저장해야 합니다. 이 목표를 달성할 수 있는 Azure 서비스 두 가지는 무엇입니까? 각 정답은 완전한 솔루션을 제시합니다. 참고: 각 정답 선택에는 1점이 부여됩니다.

Azure Logic Apps integration account는 엔터프라이즈 통합 시나리오(B2B/EDI 계약, 스키마, 맵, 인증서)에 사용되며 Logic Apps 워크플로를 지원합니다. 온-프레미스 Windows 파일 서버의 파일을 Azure Blob Storage로 대량 복사하기 위한 직접적이고 목적에 맞는 메커니즘은 제공하지 않습니다. Logic Apps가 일부 전송을 orchestration할 수는 있지만, integration account 자체는 이 시나리오를 위한 완전한 파일 복사 솔루션이 아닙니다.

Azure Import/Export는 물리적 드라이브를 Azure datacenter로 배송하여 Azure Storage로/에서 대량의 데이터를 전송하도록 설계되었습니다. Server1의 500 GB를 암호화된 디스크에 복사하고 Import job을 생성하면, Azure가 데이터를 대상 storage account(store1)로 가져옵니다. 이는 특히 네트워크 대역폭이 제한적이거나 오프라인 대량 초기 적재 방식을 원하는 경우 완전한 솔루션입니다.

Azure Data Factory는 온-프레미스 환경에 설치된 Self-hosted Integration Runtime을 사용하여 온-프레미스 원본에서 Azure Storage로 데이터를 복사할 수 있습니다. file system connector를 사용하면 ADF는 Server1(또는 Server1이 호스팅하는 공유)의 파일을 읽어 store1의 Azure Blob Storage에 쓸 수 있습니다. 예약, 모니터링, 재시도 및 반복 가능한 pipeline을 지원하므로 완전한 온라인 전송 솔루션입니다.

Azure Analysis Services On-premises data gateway는 semantic model 및 보고 도구(예: Power BI)가 온-프레미스 데이터 원본에 안전하게 액세스할 수 있도록 연결을 제공하기 위한 것입니다. 파일 공유를 Azure Blob Storage로 복사하는 데이터 이동 서비스가 아닙니다. 이는 대량 파일 수집이 아니라 쿼리 연결을 가능하게 하므로, store1에 파일 복사본을 저장해야 하는 요구 사항을 충족하지 않습니다.

Azure Batch account는 compute node 풀 전반에 걸쳐 작업을 예약하여 대규모 병렬 및 고성능 컴퓨팅 워크로드를 실행하는 데 사용됩니다. 데이터 전송 또는 마이그레이션 서비스가 아닙니다. Batch job이 데이터가 Azure에 들어온 후 이를 처리할 수는 있지만, 온-프레미스 파일 서버의 데이터를 Azure Blob Storage로 복사하는 간단하고 관리되는 메커니즘을 완전한 솔루션으로 제공하지는 않습니다.

문제 분석

핵심 개념: 이 문제는 온-프레미스 파일 데이터를 Azure Blob Storage로 복사하는 방법을 테스트합니다. 핵심은 온-프레미스 Windows 파일 서버에서 storage account(store1)로 데이터를 수집/이동할 수 있는 Azure 서비스를 선택하는 것입니다. AZ-305에서는 이는 storage 솔루션을 위한 데이터 이동/수집 패턴 설계와 연결됩니다. 정답이 맞는 이유: Azure Import/Export (B)는 완전한 오프라인 전송 솔루션입니다. Server1의 500 GB를 암호화된 디스크에 복사하고, 이를 Azure datacenter로 배송하면 Microsoft가 데이터를 대상 storage account(store1)로 직접 가져옵니다. 이는 대역폭이 제한적이거나, 전송 가능 시간이 촉박하거나, 예측 가능한 대량 복사 프로세스를 원하는 경우에 적합합니다. Azure Data Factory (C)는 완전한 온라인 데이터 통합 서비스입니다. Server1(또는 파일 공유에 액세스할 수 있는 다른 온-프레미스 컴퓨터)에 설치된 Self-hosted Integration Runtime을 사용하면, ADF는 온-프레미스 파일 시스템(SMB/file system connector)에서 Azure Blob Storage로 파일을 복사할 수 있습니다. 이는 예약 또는 일회성 복사, 증분 패턴, 모니터링 및 재시도 로직을 지원합니다. 주요 기능 / 모범 사례: - Import/Export: BitLocker 암호화, chain-of-custody 배송 워크플로, Blob으로의 직접 수집을 지원합니다. 대량 초기 적재에 적합하며 Well-Architected reliability(통제된 프로세스) 및 cost optimization(WAN을 통한 대규모 egress/ingress 회피)과도 부합합니다. - Data Factory: orchestration, monitoring, alerting 및 반복 가능한 pipeline을 지원합니다. Azure 측 인증에는 managed identities/service principals를 사용하고 storage account에는 최소 권한 액세스를 적용하세요. 네트워크 보안(private endpoints, firewall rules) 및 온-프레미스 연결의 처리량 제한을 고려해야 합니다. 일반적인 오해: - Logic Apps integration account는 파일 마이그레이션이 아니라 B2B/EDI 아티팩트를 위한 것입니다. - Analysis Services on-premises data gateway는 대량 파일 복사가 아니라 semantic model 연결(Power BI/Analysis Services)을 위한 것입니다. - Azure Batch는 데이터 전송 도구가 아니라 병렬 컴퓨팅 작업을 위한 것입니다. 시험 팁: 목표가 “온-프레미스 파일을 Blob으로 복사”인 경우 다음을 떠올리세요: (1) 온라인 pipeline 도구(Azure Data Factory with self-hosted IR) 또는 (2) 오프라인 대량 전송(Import/Export, Data Box—여기에는 없음). 대역폭, 반복 가능성, 운영 모니터링 같은 제약 조건에 맞춰 서비스를 선택하세요.

12
문제 12

회사에는 다음 표에 표시된 인프라가 있습니다.

on-premises Active Directory domain은 Azure Active Directory (Azure AD)와 동기화됩니다. Server1은 on-premises Active Directory domain에서 사용자 ID를 확인하기 위해 LDAP 쿼리를 사용하는 App1이라는 애플리케이션을 실행합니다. Server1을 Subscription1의 virtual machine으로 마이그레이션할 계획입니다. 회사 보안 정책에 따르면 Subscription1에 배포된 virtual machine 및 서비스는 on-premises network에 액세스하지 못하도록 차단되어야 합니다. 마이그레이션 후에도 App1이 계속 작동하도록 보장하는 솔루션을 권장해야 합니다. 솔루션은 보안 정책을 충족해야 합니다. 권장 사항에 무엇을 포함해야 합니까?

파트 1:

위치: Azure - 리소스: Subscription1이라는 이름의 Azure subscription

아니요. Azure subscription은 청구 및 관리 경계일 뿐이며, App1에 LDAP를 제공하는 서비스가 아닙니다. 애플리케이션이 계속 작동하도록 하려면, 마이그레이션된 VM이 on-premises network에 대한 어떤 연결 없이도 LDAP를 쿼리할 수 있도록 Azure에 Azure AD Domain Services를 배포해야 합니다. Yes라고 답하는 것은 배포 위치와 솔루션에 실제로 필요한 리소스를 혼동하는 것입니다. subscription은 솔루션을 호스팅할 수는 있지만, 그 자체가 권장 구성 요소로 포함해야 하는 것은 아닙니다.

파트 2:

위치: Azure - 리소스: 20개의 Azure web apps

아니요. Azure web apps는 directory services 또는 LDAP endpoints를 제공하지 않으므로, migration 후에도 App1이 LDAP queries를 계속 수행하는 데 도움이 되지 않습니다. 요구 사항은 Azure에서 on-premises network로의 액세스를 방지하면서 LDAP 기반 authentication을 유지하는 것이며, 이는 App Service가 아니라 Azure AD Domain Services로 해결됩니다. 20개의 Azure web apps에 대한 언급은 migrated server workload와 관련이 없습니다. 따라서 이 리소스는 권장 사항에 포함되어서는 안 됩니다.

파트 3:

위치: On-premises datacenter - 리소스: Active Directory domain

아니요. 마이그레이션된 애플리케이션은 On-premises Active Directory domain에 의존해서는 안 됩니다. Subscription1 리소스는 On-premises network에 액세스할 수 없기 때문입니다. On-premises AD DS는 원래의 identity source로 유지되고 Azure AD로 계속 동기화될 수 있지만, 마이그레이션 후 App1의 runtime solution에는 포함되지 않습니다. Azure의 Azure AD Domain Services는 Azure 내에서 로컬로 필요한 LDAP 기능을 제공합니다. 따라서 On-premises Active Directory domain은 권장 사항에 포함되어서는 안 됩니다.

파트 4:

위치: On-premises datacenter - 리소스: Azure AD Connect를 실행하는 서버

예. Azure AD Connect는 on-premises Active Directory domain의 identity를 Azure AD로 동기화하고, 이후 Azure AD Domain Services를 채우는 데 사용되므로 포함되어야 합니다. App1은 Azure의 Azure AD Domain Services에 대해 인증하지만, 해당 managed domain은 Azure AD에 동기화된 identity가 존재하는 것에 의존합니다. Azure AD Connect 자체가 LDAP를 제공하지는 않지만, end-to-end solution에서 여전히 필요한 구성 요소입니다. 아니요라고 답하면 Azure AD Domain Services에 필요한 사용자 및 그룹이 포함되도록 하는 identity synchronization 경로를 간과하게 됩니다.

파트 5:

위치: On-premises datacenter - 리소스: Server1이라는 이름의 Linux 컴퓨터

아니요. Server1이라는 이름의 on-premises Linux 컴퓨터는 마이그레이션되는 원본 서버이며, 최종적으로 권장되는 솔루션의 일부로 남아 있는 리소스가 아닙니다. 요구 사항은 App1이 Azure virtual machine으로 이동된 후에도 계속 작동하도록 보장하면서 on-premises network에 대한 액세스를 방지하는 것입니다. 필요한 구성 요소는 Azure의 Azure AD Domain Services와 기존 identity synchronization 경로이며, 원래의 on-premises 서버가 아닙니다. Yes라고 답하면 원본 머신을 마이그레이션 후 아키텍처의 일부로 잘못 간주하게 됩니다.

13
문제 13

온-프레미스 네트워크와 Azure 구독이 있습니다. 온-프레미스 네트워크에는 여러 지사 사무실이 있습니다. Toronto의 한 지사 사무실에는 파일 서버로 구성된 VM1이라는 virtual machine이 있습니다. 사용자는 모든 사무실에서 VM1의 공유 파일에 액세스합니다. Toronto 지사 사무실에 액세스할 수 없게 되는 경우에도 사용자가 공유 파일에 가능한 한 빠르게 액세스할 수 있도록 보장하는 솔루션을 권장해야 합니다. 권장 사항에 무엇을 포함해야 합니까?

Recovery Services vault와 Windows Server Backup은 주로 backup/restore 접근 방식입니다. VM1의 데이터를 보호할 수는 있지만, Toronto outage 중에는 사용자가 즉시 액세스할 수 없습니다. 먼저 대체 인프라로 restore해야 합니다. 이는 RTO를 증가시키며 지사 사무실 전반의 사용자 액세스 속도를 본질적으로 향상시키지 않습니다. 이는 빠르고 지속적인 파일 액세스가 아니라 데이터 보호를 해결합니다.

Azure blob containers와 Azure File Sync는 이 사용 사례에 적합한 조합이 아닙니다. Azure File Sync는 cloud endpoint로 Blob storage가 아니라 Azure file share(Azure Files)를 필요로 합니다. Blob은 object storage 및 archival에는 매우 적합하지만, 추가 서비스/gateway 없이는 일반적인 Windows file server 공유 폴더에 필요한 SMB share semantics를 제공하지 않습니다.

Recovery Services vault와 Azure Backup은 VM1을 보호하고 Azure 또는 다른 서버로 데이터를 restore할 수 있지만, 여전히 restore 기반 DR 방법입니다. 이미 대체 파일 서버를 프로비저닝하고 동기화해 두지 않았다면 outage 중 사용자는 공유 파일에 빠르게 액세스할 수 없습니다. 이 옵션은 내구성을 향상시키지만, 일반적으로 동기화된 cloud-backed file share 솔루션에 비해 더 높은 RTO를 초래합니다.

Azure file share와 Azure File Sync를 함께 사용하면 multi-site caching이 가능한 cloud-backed 파일 시스템을 구현할 수 있습니다. VM1은 Azure Files와 동기화할 수 있고, 다른 사무실은 낮은 지연 시간 액세스를 위해 로컬 캐시 복사본을 유지하는 File Sync server endpoint를 호스팅할 수 있습니다. Toronto가 다운되면 사용자를 다른 endpoint 또는 직접 Azure Files로 리디렉션할 수 있으므로 backup/restore보다 훨씬 빠른 액세스를 제공하며 복원력 목표를 충족합니다.

문제 분석

핵심 개념: 이 문제는 지사 사무실(Toronto)을 사용할 수 없게 되었을 때 공유 파일 액세스를 위한 고가용성/DR 접근 방식을 설계하는지를 평가합니다. 핵심은 단순히 데이터를 복원하는 것이 아니라, 여러 사무실의 사용자가 빠르고 지속적으로 액세스할 수 있도록 유지하는 것입니다. 이는 Azure Well-Architected Framework의 reliability(복원력, failover) 및 performance efficiency(낮은 지연 시간 액세스)와 일치합니다. 정답인 이유: Azure file share(Azure Files)와 Azure File Sync를 사용하면 cloud-backed, multi-site-capable 파일 솔루션을 제공할 수 있습니다. Azure File Sync는 Toronto 파일 서버(VM1)를 Azure file share와 동기화할 수 있으며, 다른 사무실에 추가 File Sync server endpoint(cache server)를 배포할 수 있습니다. Toronto에 액세스할 수 없게 되면 사용자를 다른 로컬 server endpoint(또는 직접 Azure Files)로 리디렉션할 수 있으며, 해당 endpoint에는 이미 namespace와 캐시된 데이터가 있으므로 restore 기반 접근 방식보다 훨씬 빠른 액세스를 제공할 수 있습니다. Azure file share는 Azure에서 데이터의 중앙 집중식 고가용성 복사본이 됩니다. 주요 기능 및 모범 사례: - Azure Files는 여러 위치에서 액세스 가능한 SMB 기반 공유를 제공합니다. 내구성을 향상시키기 위해 redundancy 옵션(예: region/account type에 따라 ZRS/GRS)을 지원합니다. - Azure File Sync는 다음을 제공합니다: - Cloud endpoint(Azure file share) + server endpoints(Windows Servers)를 통한 multi-site caching. - Cloud tiering을 통해 hot data는 로컬에 유지하고 cold data는 Azure로 오프로드. - 액세스의 신속한 복구: primary site가 다운되더라도 다른 사무실이 로컬 cache에서 계속 파일을 제공할 수 있습니다. - 최상의 성능을 위해 대다수 사용자에 대한 지연 시간을 최소화하는 region에 storage account를 배치하고, 예측 가능한 연결을 위해 ExpressRoute/VPN을 사용합니다. 일반적인 오해: Backup 솔루션(Azure Backup/Windows Server Backup)은 데이터를 보호하지만 outage 중 즉각적이고 낮은 지연 시간의 액세스를 제공하지는 않습니다. 이러한 솔루션은 restore 작업과 데이터 rehydrate 시간이 필요합니다. Blob containers는 object storage이며 일반적인 Windows file server 워크로드에 필요한 SMB file share semantics를 기본적으로 제공하지 않습니다. 시험 팁: - 요구 사항이 “site outage 중 파일에 빠르게 액세스”라면 backup/restore보다 active/active 또는 cloud-backed 파일 서비스(Azure Files + Azure File Sync)를 우선 고려하십시오. - Azure File Sync는 로컬에서 Windows file server 호환성을 유지하면서 Azure에 데이터를 중앙 집중화하고 multi-branch caching을 가능하게 하려는 경우의 대표적인 선택입니다. - 요구 사항 매핑: “액세스할 수 없는 site” + “빠른 액세스” => 단순한 데이터 보호가 아니라 복원력 + caching입니다.

14
문제 14

HOTSPOT - machine learning 애플리케이션을 지원하기 위해 Azure Databricks를 배포할 계획입니다. Data engineer는 Azure Data Lake Storage 계정을 Databricks file system에 mount합니다. 폴더에 대한 권한은 data engineer에게 직접 부여됩니다. 계획된 Databrick 배포를 위한 설계를 권장해야 합니다. 솔루션은 다음 요구 사항을 충족해야 합니다: ✑ Data engineer가 권한이 있는 폴더에만 액세스할 수 있도록 보장합니다. ✑ 개발 노력을 최소화합니다. ✑ 비용을 최소화합니다. 권장 사항에 무엇을 포함해야 합니까? 답하려면 답안 영역에서 적절한 옵션을 선택하세요. 참고: 각 정답 선택에는 1점이 부여됩니다. Hot Area:

파트 1:

Databricks SKU: ______

Databricks credential passthrough는 Premium 기능이므로 Premium을 선택합니다. 요구 사항에 따르면 권한은 data engineers에게 직접(사용자별) 부여되며, 각 사용자는 자신에게 권한이 있는 폴더에만 액세스해야 합니다. 이를 ADLS Gen2 ACLs로 강제하려면 Databricks가 개별 사용자의 Azure AD identity를 사용하여 ADLS에 액세스해야 하며, 이는 credential passthrough를 통해 활성화됩니다. Standard SKU는 일반적으로 mounts에 대해 공유 credentials(storage account key/service principal를 secrets를 통해 사용)에 의존하므로, cluster의 모든 사용자가 공유 identity가 액세스할 수 있는 모든 항목에 액세스할 수 있게 됩니다. 이는 복잡한 우회 방법(여러 mounts, 별도의 containers, custom authorization logic)을 구현하지 않는 한 사용자별 폴더 제한을 위반하게 됩니다. Premium은 Standard보다 비용이 증가하지만, 최소한의 개발 노력으로 보안 요구 사항을 충족하는 데 필요한 SKU이며 least-privilege access control에도 부합합니다.

파트 2:

클러스터 구성: ______

Credential passthrough를 선택합니다. 이 구성은 Databricks가 로그인한 사용자의 Azure AD identity를 ADLS Gen2에 전달하여, ADLS가 사용자별로 folder/file ACL을 평가할 수 있게 합니다. 이는 다음 요구 사항을 직접 충족합니다: “data engineer가 권한이 있는 folder에만 액세스할 수 있도록 보장합니다.” 또한 custom access control을 구축하는 대신 기본 Azure AD + ADLS ACL enforcement에 의존하므로 개발 노력을 최소화합니다. 다른 선택지가 틀린 이유: Managed identities는 일반적으로 단일 workload identity(cluster/job)에 사용되며, 여러 engineer가 하나의 cluster를 공유할 때 사용자별 권한을 본질적으로 적용하지 않습니다. Secret scopes는 공유 secret(예: service principal credential)을 저장하며, 이 경우에도 공유 액세스로 이어집니다. MLflow와 Photon runtime은 성능/ML 기능이지 access control 기능이 아닙니다. 따라서 사용자별 authorization을 위한 올바른 cluster 구성은 credential passthrough입니다.

15
문제 15

데이터베이스 보존 요구 사항을 충족하는 솔루션을 권장해야 합니다. 무엇을 권장해야 합니까?

정답입니다. Azure SQL Database의 Long-term Retention (LTR)은 short-term retention을 넘어 backup retention을 확장하여 weekly/monthly/yearly full backups를 수개월 또는 수년 동안 보관할 수 있게 하므로 규정 준수 및 감사 요구 사항을 충족할 수 있습니다. LTR은 장기간 backup retention을 위해 특별히 의도된 기본 제공 기능이며, 필요할 때 LTR backup에서 데이터베이스를 복원하는 것을 지원합니다.

오답입니다. Azure Site Recovery는 주로 Azure VMs 및 일부 온-프레미스 서버와 같은 워크로드를 다른 지역으로 복제하여 disaster recovery를 제공하는 데 사용됩니다. 이는 Azure SQL Database backup retention 요구 사항을 충족하기 위한 표준 메커니즘이 아닙니다. ASR은 장기 데이터베이스 backup retention 및 아카이브보다는 business continuity(failover)를 다룹니다.

오답입니다. 자동 Azure SQL Database backups는 기본적으로 활성화되어 있으며 short-term retention 기간 내에서 point-in-time restore를 지원합니다. 지원되는 한도 내에서 STR을 조정할 수는 있지만, 일반적으로 이는 운영 복구(일/주)를 위한 것이지 수개월 또는 수년 보존을 위한 것이 아닙니다. 장기 규정 준수 보존은 STR만으로가 아니라 LTR로 처리합니다.

오답입니다. Geo-replication(또는 failover groups)은 읽기 가능한 secondary를 제공하고 지역 복원력을 위한 빠른 failover를 지원합니다. 이는 high availability/disaster recovery 기능이지 backup retention 기능이 아닙니다. Replicas는 논리적 손상을 전파할 수 있으며 보존 및 규정 준수 시나리오에 필요한 과거의 장기 backup chain을 제공하지 않습니다.

문제 분석

핵심 개념: 이 문제는 Azure SQL Database backup 및 retention 기능, 특히 기본 automated backups(short-term retention)와 규정 준수/아카이브 요구 사항을 위한 Long-term Retention (LTR)의 차이를 테스트합니다. 정답인 이유: Azure SQL Database는 full, differential 및 transaction log backups를 자동으로 생성하고 이를 짧은 기간 동안 보존합니다(Short-term Retention, STR). 그러나 시험 시나리오에서 많은 “database retention requirements”는 감사/규정 준수 목적(예: 7년)을 위해 백업을 수개월 또는 수년 동안 보관하는 것을 의미합니다. STR만으로는 일반적으로 장기 보존 요구 사항을 충족할 수 없습니다. long-term retention policy (LTR)를 구성하면 weekly, monthly 및/또는 yearly full backups를 장기간(수년까지) 보존할 수 있으며, 이는 서비스에서 관리하는 Azure Blob storage에 저장됩니다. 이는 사용자 지정 backup pipeline을 구축하지 않고도 보존 요구 사항을 직접적으로 해결합니다. 주요 기능 / 구성 포인트: LTR은 데이터베이스별로(또는 policy를 통해) 구성되며 weekly/monthly/yearly retention과 같은 일정을 지원합니다. 이는 규정 준수와 STR 기간을 초과하는 point-in-time restore를 위해 설계되었으며, LTR backup에서 복원하여 이를 수행합니다. Azure Well-Architected Framework 관점에서 LTR은 Reliability(복구 가능성) 및 Governance(규제 보존 요구 사항 충족)를 지원합니다. 또한 수동 export와 비교해 운영 부담을 줄여 줍니다. 일반적인 오해: Geo-replication 및 Site Recovery는 종종 backup retention과 혼동됩니다. Replication은 가용성과 disaster recovery를 향상시키지만 변경 불가능한 장기 backup 기록을 제공하지는 않습니다. Automatic backups는 항상 활성화되어 있지만 기본 retention은 제한적이며 장기 규정 준수 요구 사항을 충족하지 못할 수 있습니다. 시험 팁: Azure SQL Database에 대해 “retention requirements”(수개월/수년)를 보면 LTR을 떠올리십시오. “RPO/RTO” 및 지역 장애 복구가 보이면 geo-replication/failover groups를 떠올리십시오. “VM-level DR”이 보이면 Azure Site Recovery를 떠올리십시오. 또한 기억하십시오: backups는 시간 경과에 따른 restore point를 위한 것이고, replication은 high availability 및 빠른 failover를 위한 것이지 아카이브 보존을 위한 것이 아닙니다.

이동 중에도 모든 문제를 풀고 싶으신가요?

Cloud Pass를 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.

16
문제 16

참고: 이 문제는 동일한 시나리오를 제시하는 일련의 문제 중 일부입니다. 시리즈의 각 문제에는 제시된 목표를 충족할 수 있는 고유한 솔루션이 포함되어 있습니다. 일부 문제 세트에는 둘 이상의 올바른 솔루션이 있을 수 있지만, 다른 문제 세트에는 올바른 솔루션이 없을 수도 있습니다. 이 섹션의 문제에 답한 후에는 해당 문제로 돌아갈 수 없습니다. 따라서 이러한 문제는 검토 화면에 표시되지 않습니다. 귀사는 여러 virtual machine을 on-premises와 Azure에 배포합니다. on-premises와 Azure 간 연결을 위해 ExpressRoute가 배포되고 구성되어 있습니다. 여러 virtual machine에서 network connectivity 문제가 발생하고 있습니다. virtual machine에 대한 packet이 허용되는지 또는 거부되는지 식별하기 위해 network traffic을 분석해야 합니다. 솔루션: Azure Network Watcher의 Azure Traffic Analytics를 사용하여 network traffic을 분석합니다. 이것이 목표를 충족합니까?

예는 오답입니다. Azure Traffic Analytics는 NSG flow log에서 허용 및 거부된 flow 추세를 보여줄 수 있지만, VM으로 향하는 packet이 허용되는지 또는 거부되는지를 정확한 per-flow 방식으로 직접 troubleshooting하기 위한 도구는 아닙니다. 이는 특정 connectivity 문제에 대한 결정론적 packet 검증보다는 network 전반의 traffic pattern, analytics 및 visualization에 중점을 둡니다. 이 시나리오에서 목표는 virtual machine에 영향을 주는 packet 허용/거부 동작을 식별하는 것이며, 이는 Network Watcher IP flow verify를 사용하거나 NSG flow log를 직접 검토하는 방식이 더 적합합니다. 따라서 제안된 솔루션이 목표를 충족한다고 말하는 것은 Traffic Analytics의 설계 목적을 과장하는 것입니다.

아니요가 정답인 이유는 resource group 위치를 강제하는 Azure Policy는 resource group의 metadata 위치만 관리할 뿐, 그 안에 배포되는 resource의 위치는 관리하지 않기 때문입니다. 요구 사항을 충족하려면 관련 resource type(예: Microsoft.Web/serverfarms, Microsoft.Web/sites, Microsoft.Sql/servers)에 대해 allowed location을 제한하는 Azure Policy를 적용하거나 이러한 policy를 결합한 initiative를 사용해야 합니다.

문제 분석

핵심 개념: 이 문제는 Azure Policy를 사용한 regional compliance를 위한 Azure governance control을 테스트합니다. 요구 사항은 App Service instance를 특정 Azure region에만 배포하고, App Service instance의 resource가 동일한 region에 위치하도록 보장하는 것입니다. 정답인 이유: resource group의 위치를 강제하는 Azure Policy initiative를 권장하는 것은 목표를 충족하지 않습니다. Resource group 위치는 resource group container에 대한 metadata이며, 해당 resource group에 배포되는 resource의 위치를 제어하거나 보장하지 않습니다. 한 region(예: West Europe)에 resource group을 만들고 다른 region(예: North Europe)에 resource를 배포할 수 있습니다. 따라서 resource group 위치를 강제하는 것은 App Service(또는 App Service plan) region을 강제하지 않으며, 관련된 모든 resource가 동일한 위치에 있도록 보장하지도 않습니다. 주요 기능 / 올바른 접근 방식: 규제 요구 사항을 충족하려면 다음과 같은 기본 제공 Azure Policy definition을 사용하여 resource 수준에서 allowed location을 강제해야 합니다. - resource를 생성할 수 있는 region을 제한하는 “Allowed locations”(subscription 또는 management group 범위) - 더 세분화된 제어가 필요한 경우 resource type별 location policy(예: Microsoft.Web/serverfarms 및 Microsoft.Web/sites) 또한 App Service resource가 동일한 region에 있도록 하려면, App Service app의 region은 해당 App Service plan에 의해 결정된다는 점을 기억해야 합니다. plan의 위치를 강제하고/또는 plan의 region과 일치하지 않는 app 생성을 거부해야 합니다(대개 policy가 plan 및 app type을 대상으로 하도록 하여 운영적으로 처리됨). Azure SQL Database의 경우 허용된 위치를 별도로 강제합니다(Microsoft.Sql/servers). 이는 Azure Well-Architected Framework의 governance 및 compliance 사례(Policy-as-code, preventative control)와 일치합니다. 일반적인 오해: 자주 있는 오해는 resource group 위치가 resource 위치를 결정한다고 가정하는 것입니다. 그렇지 않습니다. 또 다른 오해는 resource group에 대한 단일 policy가 종속 resource를 자동으로 동일 위치에 배치한다고 생각하는 것입니다. 동일 위치 배치는 실제 resource type에 적용되는 policy(그리고 때로는 여러 resource를 조정하는 deployment template/initiative)를 필요로 합니다. 시험 팁: AZ-305에서는 container 수준(resource group)에서의 governance와 resource provider/type 수준에서의 enforcement를 구분하세요. 문제에서 “특정 region에만 배포”라고 하면, resource group 위치가 아니라 subscription/management group 범위의 “Allowed locations”(deny effect)를 떠올려야 합니다. 또한 App Service app 위치는 App Service plan의 region을 따른다는 점도 기억하세요.

17
문제 17

참고: 이 문제는 동일한 시나리오를 제시하는 일련의 문제 중 일부입니다. 시리즈의 각 문제에는 제시된 목표를 충족할 수 있는 고유한 솔루션이 포함되어 있습니다. 일부 문제 세트에는 둘 이상의 올바른 솔루션이 있을 수 있지만, 다른 문제 세트에는 올바른 솔루션이 없을 수도 있습니다. 이 섹션의 문제에 답한 후에는 해당 문제로 돌아갈 수 없습니다. 따라서 이러한 문제는 검토 화면에 표시되지 않습니다. 귀사는 여러 virtual machine을 온-프레미스와 Azure에 배포합니다. 온-프레미스와 Azure 간 연결을 위해 ExpressRoute가 배포되고 구성되어 있습니다. 여러 virtual machine에서 네트워크 연결 문제가 발생합니다. virtual machine에 대한 packet이 허용되는지 또는 거부되는지 식별하기 위해 네트워크 트래픽을 분석해야 합니다. 솔루션: Azure Advisor를 사용하여 네트워크 트래픽을 분석합니다. 이것이 목표를 충족합니까?

예는 오답입니다. Azure Advisor는 네트워크 packet flow를 캡처하거나 분석하지 않으며 VM 트래픽에 대한 허용/거부 결정을 제공하지 않기 때문입니다. Advisor는 운영 트래픽 진단이 아니라 모범 사례 권장 사항(비용 최적화, 보안 상태, 안정성, 성능)에 중점을 둡니다. 개선 사항을 제안할 수는 있지만, 특정 packet이 허용되었는지 또는 거부되었는지는 알려줄 수 없습니다.

아니요가 정답인 이유는 Azure Advisor가 packet 수준의 네트워크 트래픽을 분석하거나 virtual machine으로 향하는 특정 트래픽이 허용되었는지 또는 거부되었는지를 판단하지 않기 때문입니다. Advisor는 리소스 최적화 및 모범 사례에 대한 상위 수준의 권장 사항을 제공하지만, flow 수준의 연결 문제 해결을 위한 용도로 설계되지 않았습니다. packet이 허용되는지 또는 차단되는지를 식별하려면 IP flow verify, NSG flow logs, packet capture와 같은 Azure Network Watcher 도구가 적절한 서비스입니다. 이러한 도구는 ExpressRoute로 연결된 환경이 포함된 시나리오를 포함하여 Azure virtual machine의 연결 문제를 진단하는 데 도움이 될 수 있습니다.

문제 분석

핵심 개념: 이 문제는 Azure 네트워킹 모니터링 및 진단 도구에 대한 지식을 평가합니다. 요구 사항은 ExpressRoute로 연결된 hybrid 환경을 포함하여, virtual machine으로 향하는 packet이 허용되는지 또는 거부되는지를 판단하기 위해 네트워크 트래픽을 분석하는 것입니다. 정답인 이유: 이 솔루션은 목표를 충족하지 않습니다. Azure Advisor는 packet 수준 또는 flow 수준의 트래픽 분석 도구가 아니기 때문입니다. 트래픽이 허용되는지 또는 거부되는지를 식별하려면 IP flow verify, NSG flow logs, connection troubleshoot, packet capture를 포함한 Azure Network Watcher와 같은 도구를 사용해야 합니다. 이러한 도구는 연결 문제를 진단하고 보안 규칙이 트래픽을 허용하는지 차단하는지 평가하도록 설계되었습니다. 주요 기능: Azure Advisor는 비용, 보안, 안정성, 운영 우수성 및 성능에 대한 모범 사례 권장 사항을 제공합니다. 실시간 packet flow를 검사하거나, 특정 트래픽에 대한 NSG 결정을 평가하거나, 문제 해결을 위해 packet을 캡처하지는 않습니다. Azure에서 VM 네트워크 트래픽 동작을 분석하는 데 적절한 서비스는 Azure Network Watcher입니다. 일반적인 오해: 흔한 실수는 Azure Advisor가 Azure 리소스에 대한 권장 사항을 표시하므로 운영 진단도 수행할 수 있다고 가정하는 것입니다. 실제로 Advisor는 권장 사항 엔진이지, 트래픽 검사 또는 packet 분석 서비스가 아닙니다. 또 다른 오해는 ExpressRoute 연결 문제가 네트워크 진단 도구가 아니라 거버넌스 또는 advisory 도구를 통해 진단된다고 생각하는 것입니다. 시험 팁: AZ-305에서 트래픽이 허용되는지 또는 거부되는지를 묻는 문제를 보면 IP flow verify 및 NSG flow logs와 같은 Azure Network Watcher 기능을 떠올리십시오. 권장 사항이나 최적화 지침을 묻는다면 Azure Advisor를 떠올리십시오. advisory 서비스와 diagnostic 서비스를 명확히 구분하십시오.

18
문제 18

참고: 이 문제는 동일한 시나리오를 제시하는 일련의 문제 중 일부입니다. 시리즈의 각 문제에는 제시된 목표를 충족할 수 있는 고유한 솔루션이 포함되어 있습니다. 일부 문제 세트에는 둘 이상의 올바른 솔루션이 있을 수 있지만, 다른 문제 세트에는 올바른 솔루션이 없을 수도 있습니다. 이 섹션의 문제에 답한 후에는 해당 문제로 돌아갈 수 없습니다. 따라서 이러한 문제는 검토 화면에 표시되지 않습니다. 귀사는 여러 virtual machine을 on-premises와 Azure에 배포합니다. on-premises와 Azure 간 연결을 위해 ExpressRoute가 배포되고 구성되어 있습니다. 여러 virtual machine에서 network connectivity 문제가 발생하고 있습니다. virtual machine에 대한 packet이 허용되는지 또는 거부되는지 식별하기 위해 network traffic을 분석해야 합니다. 솔루션: Azure Network Watcher를 사용하여 IP flow verify를 실행해 network traffic을 분석합니다. 이것이 목표를 충족합니까?

이 옵션은 Azure Network Watcher IP flow verify가 virtual machine으로 들어오거나 virtual machine에서 나가는 packet이 허용되는지 또는 거부되는지를 판단하도록 특별히 만들어졌기 때문에 정답입니다. 이 도구는 지정된 source, destination, port, protocol 정보를 사용하여 NIC 및 subnet 수준에 적용되는 유효한 NSG 규칙을 평가합니다. 또한 allow 또는 deny 결과를 초래한 정확한 규칙도 식별하므로 connectivity 문제 해결에 이상적입니다. 목표가 VM에 대한 packet이 허용되는지 또는 거부되는지를 분석하는 것이므로, 이 솔루션은 요구 사항을 직접적으로 충족합니다.

이 옵션은 제안된 솔루션이 제시된 목표를 충족하기 때문에 오답입니다. IP flow verify는 유효한 NSG 규칙을 기반으로 traffic이 허용되는지 또는 차단되는지를 확인하는 핵심 Azure Network Watcher 진단 기능 중 하나입니다. 비록 전체 packet inspection을 수행하거나 ExpressRoute 전반의 모든 hop을 추적하지는 않지만, 문제는 virtual machine에 대한 packet이 허용되는지 또는 거부되는지를 식별하는 것만 요구합니다. 그 목적에는 IP flow verify가 적절하고 충분한 도구입니다.

문제 분석

핵심 개념: 이 문제는 Azure Network Watcher 진단, 특히 VM으로 들어오거나 VM에서 나가는 traffic이 NSG와 같은 Azure networking 규칙에 의해 허용되는지 또는 거부되는지를 판단할 수 있는 도구에 대한 지식을 평가합니다. 정답인 이유: Azure Network Watcher의 IP flow verify는 VM으로 들어오거나 VM에서 나가는 packet이 허용되는지 또는 거부되는지를 확인하도록 설계되었습니다. 이는 VM의 network interface 또는 subnet에 적용되는 유효한 network security 규칙을 평가하고, 해당 결정과 함께 그 원인이 된 특정 규칙을 반환합니다. 이 시나리오의 요구 사항은 virtual machine에 대한 packet이 허용되는지 또는 거부되는지를 식별하는 것이며, IP flow verify는 그 질문에 직접적으로 답합니다. ExpressRoute의 존재는 Azure 측 packet filtering 분석에 대한 이 도구의 유용성을 바꾸지 않습니다. 주요 기능 / 구성: - Azure Network Watcher는 Azure 리소스를 위한 network diagnostic 및 monitoring 도구를 제공합니다. - IP flow verify는 source IP, destination IP, source port, destination port, protocol로 구성된 5-tuple 스타일 flow를 테스트합니다. - traffic이 Allowed인지 Denied인지 식별합니다. - 또한 어떤 NSG 규칙이 해당 결정을 초래했는지도 보여줍니다. - Azure network security filtering과 관련된 VM connectivity 문제를 해결하는 데 유용합니다. - 전체 end-to-end 경로 전반에 걸친 임의의 packet capture가 아니라 Azure 측의 유효한 security 규칙을 분석합니다. 일반적인 오해: - 응시자는 종종 IP flow verify를 packet capture와 혼동합니다. packet capture는 traffic을 기록하는 반면, IP flow verify는 Azure가 특정 flow를 허용할지 또는 거부할지를 평가합니다. - 일부는 ExpressRoute에 다른 diagnostic 도구가 필요하다고 가정합니다. ExpressRoute는 connectivity에 영향을 주지만, VM traffic에 대한 Azure 측 NSG 평가는 여전히 IP flow verify로 확인할 수 있습니다. - 또 다른 일반적인 실수는 문제가 packet이 허용되는지 또는 거부되는지를 구체적으로 묻고 있는데 connection troubleshoot를 선택하는 것입니다. connection troubleshoot는 reachability를 테스트하지만, 규칙 기반 allow/deny 분석을 위한 직접적인 도구는 IP flow verify입니다. 시험 팁: - 문제가 traffic이 허용되는지 또는 거부되는지를 묻는다면, IP flow verify를 떠올리십시오. - 어떤 NSG 규칙이 traffic에 영향을 주는지 묻는다면, IP flow verify가 매우 적합합니다. - 실제 packet을 캡처하라고 묻는다면, 대신 packet capture를 사용하십시오. - end-to-end connectivity를 테스트하라고 묻는다면, connection troubleshoot를 고려하십시오. - Azure 규칙 평가 도구와 traffic 기록 도구를 구분하십시오.

19
문제 19

DRAG DROP - Azure subscription이 있습니다. 이 subscription에는 Windows Server 2016 및 Linux를 실행하는 Azure virtual machines가 포함되어 있습니다. 보안 관련 이벤트에 대한 경고 전략을 설계하기 위해 Azure Monitor를 사용해야 합니다. 어떤 Azure Monitor Logs 테이블을 쿼리해야 합니까? 답하려면 적절한 테이블을 올바른 로그 유형으로 끌어다 놓으십시오. 각 테이블은 한 번, 여러 번 또는 전혀 사용되지 않을 수 있습니다. 내용을 보려면 창 사이의 분할 막대를 끌거나 스크롤해야 할 수 있습니다. 참고: 각 정답 선택에는 1점이 부여됩니다. 선택하고 배치하세요:

파트 1:

아래 이미지에서 정답을 선택하세요.

question-image

Windows virtual machines의 경우, guest OS Windows event logs는 Azure Monitor Logs의 Event 테이블에서 쿼리됩니다. Linux virtual machines의 경우, system logging data는 Syslog 테이블에서 쿼리됩니다. AzureActivity는 guest OS events가 아니라 Azure subscription 및 resource control-plane operations용이며, AzureDiagnostics는 주로 표준 in-guest Windows event logs 또는 Linux syslog가 아닌 Azure resources의 diagnostic logs에 사용됩니다. 따라서 올바른 매핑은 Windows event logs에는 Event, Linux system logging에는 Syslog입니다.

20
문제 20

사용자를 위한 콘텐츠를 집계할 애플리케이션을 설계하고 있습니다. 애플리케이션에 적합한 데이터베이스 솔루션을 추천해야 합니다. 솔루션은 다음 요구 사항을 충족해야 합니다: ✑ SQL 명령을 지원해야 합니다. ✑ multi-master writes를 지원해야 합니다. ✑ 낮은 지연 시간의 읽기 작업을 보장해야 합니다. 추천에 무엇을 포함해야 합니까?

Azure Cosmos DB SQL API는 globally distributed 애플리케이션을 위해 설계되었습니다. JSON documents에 대한 SQL과 유사한 queries를 지원하고, 활성화 시 multi-region (multi-master) writes를 제공하며, 사용자와 가까운 regions에 데이터를 복제하여 낮은 지연 시간의 reads를 제공합니다. 또한 configurable consistency levels 및 conflict resolution을 지원하는데, 이는 multi-master writes를 활성화할 때 중요한 고려 사항입니다.

active geo-replication을 사용하는 Azure SQL Database는 DR 및 read scaling을 위해 다른 regions에 readable secondary replicas를 제공하지만, multi-master writes는 지원하지 않습니다. writes를 수락하는 것은 primary database뿐이며 secondaries는 read-only입니다. 사용자가 가까운 secondary에서 읽는다면 낮은 지연 시간의 reads 요구 사항은 충족할 수 있지만, multi-master write 요구 사항은 충족하지 못합니다.

Azure SQL Database Hyperscale은 매우 큰 databases와 빠른 scale에 최적화된 tier로, compute와 storage를 분리하는 architecture를 가지며 read replicas를 사용할 수 있습니다. 그러나 여전히 single-writer model을 따르며 regions 간 multi-master writes를 제공하지 않습니다. read performance 및 scale에는 도움이 될 수 있지만, multi-master 요구 사항은 충족하지 못합니다.

Azure Database for PostgreSQL은 표준 SQL을 지원하고 reads 확장을 위한 read replicas를 제공할 수 있지만, managed service는 기본 제공 기능으로 native multi-master, multi-region writes를 제공하지 않습니다. 일반적인 HA/DR 패턴은 replicas가 있는 single primary입니다. multi-master를 구현하려면 복잡한 custom replication/conflict handling이 필요하며, 이는 의도된 managed solution이 아닙니다.

문제 분석

핵심 개념: 이 문제는 SQL과 유사한 쿼리를 지원하고, multi-master (multi-region) writes를 지원하며, 일관되게 낮은 지연 시간의 읽기를 제공하는 globally distributed 데이터베이스를 선택하는지를 평가합니다. Azure에서 이러한 조합을 위해 주로 설계된 서비스는 SQL API를 사용하는 Azure Cosmos DB입니다. 정답인 이유: Azure Cosmos DB SQL API는 JSON documents에 대해 SQL과 유사한 query language를 제공하며 global distribution을 위해 구축되었습니다. “multi-region writes” 기능을 통해 multi-region writes (multi-master)를 지원하므로 여러 Azure regions에서 writes를 수락할 수 있습니다. 낮은 지연 시간의 reads를 위해 Cosmos DB는 사용자와 가까운 regions에 데이터를 복제할 수 있게 하며, automatic indexing 및 partitioning을 사용하여 읽기 성능을 예측 가능하게 유지합니다. 또한 consistency levels(예: 사용자 중심 앱을 위한 Session)를 선택하여 latency와 consistency의 균형을 맞출 수 있습니다. 주요 기능 / 구성: - SQL 지원: Cosmos DB SQL API는 JSON items에 대해 SQL과 유사한 queries(SELECT, WHERE, ORDER BY 등)를 사용합니다. - Multi-master writes: multi-region writes를 활성화하고 여러 regions를 추가합니다. Cosmos DB는 conflict detection/resolution(last-writer-wins 또는 stored procedures를 사용하는 custom conflict resolution)을 처리합니다. - 낮은 지연 시간의 reads: 사용자와 가까운 read regions를 추가합니다. Cosmos DB는 적절히 partitioning되고 provisioned된 경우 실제로 single-digit millisecond reads를 제공합니다. - Partitioning 및 throughput: 적절한 partition key를 선택하고 latency/throughput SLOs를 충족하도록 RU/s(또는 autoscale)를 provision합니다. - Well-Architected alignment: Performance Efficiency(global distribution, 예측 가능한 latency), Reliability(multi-region replication), Operational Excellence(managed service)를 향상시킵니다. 일반적인 오해: active geo-replication을 사용하는 Azure SQL Database는 read scale 및 DR을 향상시키지만 multi-master는 아닙니다. 쓰기가 가능한 것은 primary뿐입니다. Hyperscale은 scale-out storage 및 read replicas를 향상시키지만 여전히 multi-master writes를 제공하지 않습니다. Azure Database for PostgreSQL(managed Postgres)은 SQL을 지원하지만 regions 간 multi-master writes는 Azure managed offering의 표준 기본 제공 기능이 아닙니다. 일반적인 패턴은 read replicas가 있는 single-writer에 의존합니다. 시험 팁: “multi-master writes”, “낮은 지연 시간의 reads”, “global users”를 보면 Cosmos DB를 떠올리십시오. 요구 사항이 엄격한 relational semantics(joins, constraints)이고 single-writer가 허용된다면 Azure SQL이 정답인 경우가 많지만, 여기서는 multi-master가 핵심적인 차별 요소입니다.

모의고사

Practice Test #1

50 문제·100분·합격 700/1000

Practice Test #2

50 문제·100분·합격 700/1000

Practice Test #3

50 문제·100분·합격 700/1000

Practice Test #4

50 문제·100분·합격 700/1000

다른 Microsoft 자격증

Microsoft AI-102

Microsoft AI-102

Associate

PL-300: Microsoft Power BI Data Analyst

PL-300: Microsoft Power BI Data Analyst

Microsoft AI-900

Microsoft AI-900

Fundamentals

Microsoft SC-200

Microsoft SC-200

Associate

Microsoft AZ-104

Microsoft AZ-104

Associate

Microsoft AZ-900

Microsoft AZ-900

Fundamentals

Microsoft SC-300

Microsoft SC-300

Associate

Microsoft DP-900

Microsoft DP-900

Fundamentals

Microsoft SC-900

Microsoft SC-900

Fundamentals

Microsoft AZ-204

Microsoft AZ-204

Associate

Microsoft AZ-500

Microsoft AZ-500

Associate

지금 학습 시작하기

Cloud Pass를 다운로드하여 모든 Microsoft AZ-305 기출 문제를 풀어보세요.

Get it on Google PlayDownload on the App Store
Cloud PassCloud Pass

IT 자격증 문제풀이 앱

Get it on Google PlayDownload on the App Store

자격증

AWSGCPMicrosoftCiscoCompTIADatabricks

법률

FAQ개인정보 처리방침서비스 약관

회사

문의하기계정 삭제

© Copyright 2026 Cloud Pass, All rights reserved.

이동 중에도 모든 문제를 풀고 싶으신가요?

앱 받기

Cloud Pass를 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.