説明/参照：
Explanation:
シナリオ：Azure Kubernetes Service（AKS）クラスターのすべての名前空間にフルアクセスできるAADアカウントを使用してLabelMakerアプリケーションを保護する必要があります。
権限は、RoleBindingを使用してネームスペース内で、またはClusterRoleBindingを使用してクラスタ全体で付与できます。
参考文献：
https://kubernetes.io/docs/reference/access-authn-authz/rbac/
テストレット2
ケーススタディ
これはケーススタディです。ケーススタディは別々には計時されません。あなたはそれぞれのケースを完了したいのと同じくらい多くの試験時間を使うことができます。ただし、この試験に関する追加のケーススタディやセクションがあるかもしれません。あなたはあなたが与えられた時間内にこの試験に含まれるすべての質問を完了することができることを確実にするためにあなたの時間を管理しなければなりません。
ケーススタディに含まれている質問に答えるには、ケーススタディで提供されている情報を参照する必要があります。ケーススタディには、ケーススタディに記載されているシナリオに関する詳細情報を提供する展示やその他のリソースが含まれている場合があります。それぞれの質問は、このケーススタディに関する他の質問とは無関係です。
このケーススタディの最後に、レビュー画面が表示されます。この画面では、答えを確認したり、試験の次のセクションに進む前に変更を加えることができます。新しいセクションを始めた後は、このセクションに戻ることはできません。
ケーススタディを開始する
このケーススタディの最初の質問を表示するには、[次へ]ボタンをクリックしてください。質問に答える前に、左ペインのボタンを使用してケーススタディの内容を調べます。これらのボタンをクリックすると、ビジネス要件、既存の環境、問題のステートメントなどの情報が表示されます。ケーススタディに[すべての情報]タブがある場合、表示される情報は後続のタブに表示される情報と同じです。質問に答える準備ができたら、[質問]ボタンをクリックして質問に戻ります。
バックグラウンド
あなたは、従業員の経費を管理するためのソリューションを提供するSaaS企業であるLitware Inc.の開発者です。このソリューションは、Azure Web Appとして展開されたASP.NET Core Web APIプロジェクトで構成されています。
全体的なアーキテクチャ
従業員はシステムが処理する領収書をアップロードします。処理が完了すると、従業員は処理結果の詳細を記した要約レポートのEメールを受け取ります。その後、従業員はWebアプリケーションを使用して領収書を管理し、払い戻しに必要な追加のタスクを実行します。
レシート処理
従業員は2つの方法で領収書をアップロードできます。
Azure Filesマウントフォルダーを使用してアップロードする

Webアプリケーションを使用してアップロードする

データストレージ
領収書と従業員の情報はAzure SQLデータベースに保存されます。
ドキュメンテーション
従業員は、最初にソリューションを使用したときにはじめての文書が提供されます。ドキュメントには、Azure Fileのアップロードでサポートされているオペレーティングシステムの詳細、およびマウントフォルダーの構成方法の説明が含まれています。
ソリューション詳細
ユーザーテーブル

ウェブアプリケーション
Webアプリケーションに対してMSIを有効にし、セキュリティプリンシパル名を使用するようにWebアプリケーションを構成します。
処理
処理は、Azure Functionランタイムのバージョン2を使用するAzure Functionによって実行されます。処理が完了すると、結果はAzure Blob StorageとAzure SQLデータベースに保存されます。その後、処理レポートへのリンクとともにEメールの要約がユーザーに送信されます。電子メールが別のユーザーに転送された場合、レポートへのリンクは有効のままでなければなりません。
必要条件
レシート処理
領収書の同時処理を防ぐ必要があります。
ロギング
Azure Application Insightsは、プロセッサとWebアプリケーションの両方でテレメトリとログインに使用されます。
プロセッサではTraceWriterのログ記録も有効になっています。 Application Insightsには常にすべてのログメッセージが含まれている必要があります。
災害からの回復
地域の機能停止がアプリケーションの可用性に影響を与えてはなりません。すべてのDR操作は、実行中のアプリケーションに依存してはいけません。また、DRリージョン内のデータが最新であることを確認する必要があります。
セキュリティ
ユーザーのSecurityPinは、データベースへのアクセスが許可されないように格納する必要があります。

SecurityPinsの表示Webアプリケーションは、SecurityPinsにアクセスできる唯一のシステムです。
データを保護するために使用されるすべての証明書と秘密は、Azure Key Vaultに格納する必要があります。

あなたは最小特権プリンシパルを遵守し、実行するために不可欠な特権を提供しなければなりません

意図した機能
Azure StorageおよびAzure SQLデータベースへのすべてのアクセスは、アプリケーションの管理サービスを使用する必要があります

アイデンティティ（MSI）
領収書データは常に安静時に暗号化する必要があります。

すべてのデータは転送中に保護されなければなりません。

ユーザーの経費口座番号は、ログインしているユーザーにのみ表示される必要があります。経費の他のすべての見解

口座番号には最後のセグメントだけが含まれ、残りの部分は隠されています。
セキュリティ侵害の場合は、影響を与えずにすべてのサマリーレポートへのアクセスを取り消す必要があります。

システムの他の部分
問題
アップロードフォーマットの問題
従業員は、Webアプリケーションを使用して領収書をアップロードすることで問題を報告することがあります。 Azureのファイル共有を使用して領収書をアップロードすると、領収書がプロフィールに表示されないと報告しています。
これが発生すると、ファイル共有内のファイルを削除してWebアプリケーションを使用すると、500 Internal Serverエラーページが返されます。
容量の問題
忙しい時間帯に、従業員は領収書をアップロードしてからWebアプリケーションに表示されるまでに長い遅延を報告します。
ログ容量の問題
開発者は、プロセッサのトレース出力内のログメッセージの数が多すぎるため、ログメッセージが失われると報告しています。
Processing.cs

Database.cs

ReceiptUploader.cs

ConfigureSSE.ps1