Baixe o app para aproveitar ainda mais
Prévia do material em texto
Programa de Certificação AZ-104 AZURE CLOUD COMPUTINGExame AZ-104 AZURE CLOUD COMPUTING • Quantidade de questões: aproximadamente 60 questões + 1 estudo de caso • Idiomas: Inglês e Português (Brasil) • Modelos de questões: Múltipla escolha, Estudo de caso e certo/errado • Pontuação necessária: 700 • Preço: 100 USD • Onde fazer: Centro de Treinamento ou Online (Home) • Tempo de prova: 120 minutos AZURE CLOUD COMPUTINGAgenda Fevereiro Hoje – Revisão prova AZ-104 – Aula01 10/02 – Revisão prova AZ-104 – Aula02 17/02 – Revisão prova AZ-104 – Aula03 24/02 – Pré Desafio Azure 2.0 AZURE CLOUD COMPUTING Azure Active Directory AZURE CLOUD COMPUTINGAzure Active Directory AZURE CLOUD COMPUTING • Um conjunto baseado em nuvem de recursos de gerenciamento de identidade que permite gerenciar com segurança o acesso aos serviços e recursos do Azure para seus usuários • Fornece gerenciamento de aplicativos, autenticação, gerenciamento de dispositivos e identidade híbrida AZURE CLOUD COMPUTINGAzure AD Conceitos Concept Description Identity Um objeto que pode ser autenticado. Account Uma identidade que possui dados associados. Azure AD Account Uma identidade criada pelo Azure AD ou outro serviço de nuvem da Microsoft. Azure tenant Uma instância dedicada e confiável do Azure AD, criada automaticamente quando sua organização se inscreve para uma assinatura do serviço de nuvem da Microsoft. Azure AD directory Cada tenant do Azure tem um diretório dedicado e confiável do Azure AD. User subscription Usado para pagar pelos serviços em nuvem do Azure. AZURE CLOUD COMPUTINGAD DS vs Azure Active Directory O Azure AD é principalmente uma solução de identidade projetada para comunicações HTTP e HTTPS Consultando e usando a API REST sobre HTTP e HTTPS em vez de LDAP Usa os protocolos HTTP e HTTPS, como SAML, WS-Federation e OpenID Connect para autenticação (e OAuth para autorização) em vez de Kerberos Inclui serviços de federação e muitos serviços de terceiros (como o Facebook) Os usuários e grupos do Azure AD são criados em uma estrutura plana e não existem Unidades Organizacionais (UOs) nem Objetos de Diretiva de Grupo (GPOs) AZURE CLOUD COMPUTING Azure Active Directory Editions Feature Free Office 365 Apps Premium P1 Premium P2 Directory Objects 500,000 objects No object limit No object limit No object limit Single Sign-On Up to 10 apps Up to 10 apps Unlimited Unlimited Core Identity and Access X X X X B2B Collaboration X X X X Identity & Access for O365 X X X Premium Features X X Hybrid Identities X X Advanced Group Access X X Conditional Access X X Identity Protection X Identity Governance X https://docs.microsoft.com/pt-br/azure/active-directory/fundamentals/active-directory-whatis https://docs.microsoft.com/pt-br/azure/active-directory/fundamentals/active-directory-whatis AZURE CLOUD COMPUTINGAzure AD Join • Logon único nos aplicativos e serviços SaaS gerenciados do Azure • Roaming compatível com a empresa das configurações do usuário nos dispositivos associados • Acesso à Microsoft Store for Business • Suporte do Windows Hello • Restrição de acesso a aplicativos apenas de dispositivos compatíveis • Acesso contínuo a recursos locais AZURE CLOUD COMPUTINGSelf-Service Password Reset 1 2 3 • Determinar quem pode usar a redefinição de senha de autoatendimento • Escolha o número de métodos de autenticação necessários e os métodos disponíveis (email, telefone, perguntas) • Você pode exigir que os usuários se registrem no SSPR (mesmo processo do MFA) AZURE CLOUD COMPUTINGCreate User Accounts Todos os usuários devem ter uma conta A conta é usada para autenticação e autorização Cada conta de usuário tem propriedades adicionais AZURE CLOUD COMPUTINGGerenciando User Accounts Deve ser admin global ou administrador de usuários para gerenciar usuários O perfil do usuário (foto, trabalho, informações de contato) é opcional Usuários excluídos podem ser restaurados por 30 dias As informações de logon e log de auditoria estão disponíveis AZURE CLOUD COMPUTINGCriar contas de usuário em massa O Azure AD suporta criar, excluir e listar usuários em massa Crie o modelo de csv - separados por vírgulas, que você pode baixar no Portal Para criar deve ser administrador global ou administrador de usuário AZURE CLOUD COMPUTINGGroup Accounts Tipos de grupos • Security groups • Office 365 groups Tipos de associação • Assigned • Dynamic User • Dynamic Device (Security groups only) AZURE CLOUD COMPUTINGCriar Administrative Units • Crie um administrative unit • Popule a administrative unit com usuários ou grupos do Azure AD • Crie uma role com permissões adequadas escopo para o administrative unit AZURE CLOUD COMPUTINGManaging Multiple Directories • No Azure Active Directory (Azure AD), cada tenant é um recurso totalmente independente • Não há relação pai-filho entre tenants • Essa independência entre tenants inclui recursos, administração e sincronização AZURE CLOUD COMPUTING Subscriptions and Accounts AZURE CLOUD COMPUTINGRegions • Uma região representa uma coleção de datacenters • Oferece flexibilidade e escala • Preserva a residência de dados** • Selecione regiões próximas aos seus usuários • Esteja ciente da disponibilidade de implantação da região • Existem serviços globais independentes da região • As regiões estão emparelhadas para alta disponibilidade Em todo o mundo, existem mais de +60 regiões, representando 140 países **Exceto o Brasil – Região Sul Central dos EUA AZURE CLOUD COMPUTINGAzure Subscriptions • Unidade lógica de serviços do Azure vinculada a uma conta do Azure • Limite de segurança e cobrança • Inclui contas - identidades no Azure Active Directory (Azure AD) ou em um diretório confiável do Azure AD AZURE CLOUD COMPUTINGGetting a Subscription • Os clientes Enterprise Agreement assumem um compromisso monetário inicial e consomem serviços ao longo do ano • Os revendedores fornecem uma maneira simples e flexível de adquirir serviços em nuvem • Os parceiros podem projetar e implementar sua solução de nuvem do Azure • Conta gratuita pessoal - comece imediatamente AZURE CLOUD COMPUTINGSubscription Usage Subscription Usage Free Inclui um crédito de US $ 200 nos primeiros 30 dias, acesso limitado gratuito por 12 meses Pay-As-You-Go Cobra você mensalmente Enterprise Um contrato, com descontos para novas licenças e Software Assurance - direcionados a organizações de escala corporativa. Student Inclui US $ 100 por 12 meses - deve verificar o acesso do aluno AZURE CLOUD COMPUTINGCost Management • Realizar análise de custos • Criar um orçamento • Revisar recomendações • Exportar os dados AZURE CLOUD COMPUTINGResource Tags • Fornece metadados para seus recursos do Azure • Organiza lógicamente os recursos com taxonomia • Consiste em um par nome-valor • Muito útil para acumular informações de cobrança AZURE CLOUD COMPUTINGCost Savings Azure Reservations – ajuda economizar dinheiro pagando antecipadamente pelos serviços Benefícios Híbridos do Azure - use licenças locais do Windows Server e SQL Server com Software Assurance Créditos do Azure - benefício mensal de crédito que permite experimentar, desenvolver e testar novas soluções no Azure Regiões - escolha locais e regiões de baixo custo AZURE CLOUD COMPUTINGManagement Groups • Conformidade e relatório de custos por organização (negócios/equipes) • Direcionamento de políticas e budgets entre assinaturas e heranças nas hierarquias • • Fornece um nível de escopo acima de subscriptions AZURE CLOUD COMPUTING Azure Policy AZURE CLOUD COMPUTINGAzure Policy Casos de Uso Tipos de recursos permitidos - especifique os tipos de recursos que sua organização pode implantar. SKUs de máquina virtual permitidos - especifiqueum conjunto de SKUs de máquina virtual que sua organização pode implantar. Locais permitidos - restrinja os locais que sua organização pode especificar ao implantar recursos. Exigir tag e seu valor - aplica uma tag obrigatória e seu valor. O Backup do Azure deve estar habilitado para Máquinas Virtuais - Audite se o serviço de Backup do Azure estiver habilitado para todas as máquinas virtuais. O Azure Policy é um serviço no Azure que você usa para criar, atribuir e gerenciar políticas O Azure Policy executa avaliações e verificações de recursos não compatíveis Vantagens: • Aplicação e conformidade • Aplicar políticas em escala • Remediação AZURE CLOUD COMPUTINGImplementing Azure Policy 1. Escolher a definições de política 2. Criar definições de iniciativa 3. Escopo da definição da iniciativa 4. Exibir resultados da avaliação da política AZURE CLOUD COMPUTINGPolicy Definitions • Existem muitas definições de política disponíveis no Azure • Você pode importar políticas do GitHub • As Definições de Política têm um formato JSON específico • Você pode criar definições de política personalizadas AZURE CLOUD COMPUTINGDetermine Compliance • Iniciativas não conformes • Políticas não compatíveis • Recursos não compatíveis AZURE CLOUD COMPUTING Role-Based Access Control AZURE CLOUD COMPUTINGRole-Based Access Control Fornece gerenciamento de acesso refinado de recursos no Azure Criado no Azure Resource Manager Separe tarefas dentro da sua equipe Conceda apenas a quantidade de acesso aos usuários que eles precisam para executar suas tarefas Conceitos Security principal. Objeto que representa algo que está solicitando acesso aos recursos Role definition. Coleção de permissões que lista as operações que podem ser executadas Scope. Limite para o nível de acesso solicitado Assignment. Anexando uma definição de função a um objeto de segurança em um escopo específico Os usuários podem conceder acesso descrito em uma definição de função, criando uma atribuição AZURE CLOUD COMPUTING Role Definition Built-in Owner Contributor Reader … Backup Operator Security Reader User Access Administrator Virtual Machine Contributor Custom Reader Support Tickets Virtual Machine Operator Contributor "Actions": [ "*" ], "NotActions" : [ "Authorization/*/Delete", "Authorization/*/Write", "Authorization/elevateAccess/Action" ], "DataActions" : [], "NotDataActions": [], "AssignableScopes" : [ "/" ] A coleção de permissões que lista as operações que podem ser executadas AZURE CLOUD COMPUTINGRole Assignment Processo de associação de uma definição de função a um usuário, grupo ou service principal em um escopo com a finalidade de conceder acesso 1 Security principal User Group Service principal Role assignment Contributor "Actions": [ "*" ], "NotActions": [ "Auth/*/Delete", "Auth/*/Write", "Auth/elevate" ] Marketing group Pharma-sales Resource group 2 Role definition Owner Contributor Reader … Backup Operator Security Reader Contributor Reader Support Tickets Virtual Machine Operator 3 Scope Management group Subscription Resource group Resource AZURE CLOUD COMPUTINGAzure RBAC Roles vs. Azure AD Roles O Azure e o Azure AD oferecem dois tipos de funções RBAC Azure RBAC roles Azure AD roles Gerenciar o acesso aos recursos do Azure Gerenciar o acesso aos objetos do Azure AD O escopo pode ser especificado em vários níveis O escopo está no nível do tenant AZURE CLOUD COMPUTINGRBAC Authentication Azure AD Admin roles Global admin Application admin Application developer Billing admin … Azure Active Directory tenant Root Global admin/User access admin (elevated access) Azure RBAC roles Owner Contributor Reader User access admin … Root management group Management group Subscription Azure account Azure RBAC roles Owner Contributor Reader User access admin … Resource group Resource AZURE CLOUD COMPUTINGAzure RBAC Roles RBAC role in Azure Permissions Notes Owner Tem acesso total a todos os recursos e pode delegar acesso a outras pessoas. O administrador de serviço e os coadministradores recebem a função de proprietário no escopo da assinatura. Isso se aplica a todos os tipos de recursos. Contributor Cria e gerencia todos os tipos de recursos do Azure, mas não pode conceder acesso a outras pessoas. Isso se aplica a todos os tipos de recursos. Reader Visualiza recursos do Azure. Isso se aplica a todos os tipos de recursos. User Access Administrator Gerencia o acesso do usuário aos recursos do Azure. Isso se aplica ao gerenciamento de acesso, e não ao gerenciamento de recursos. AZURE CLOUD COMPUTING Storage Accounts AZURE CLOUD COMPUTINGAzure Storage Um serviço que você pode usar para armazenar arquivos, mensagens, tabelas e outros tipos de informações • Durável, seguro, escalável, gerenciado, acessível • Dois tier: Premium e Standard • Storage para máquinas virtuais, dados não estruturados e dados estruturados AZURE CLOUD COMPUTINGAzure Storage Services Azure Containers: Armazenamento de objetos massivamente escalável para texto e dados binários Azure Tables: Ideal para armazenar dados estruturados e não relacionais Azure Queues: Armazenamento de mensagens confiáveis entre componentes do aplicativo Azure Files: File shares para cloud ou on-premises deployments AZURE CLOUD COMPUTINGReplication strategies LRS • Três réplicas, uma região • Protege contra falhas de disco, nó, rack • Write is acknowledged when ZRS • Três réplicas, três zonas, uma região • Protege contra falhas de disco, nó, rack e zona • Gravações síncrona para as três zonas • GRS • Seis réplicas, duas regiões (três por região) • Protege contra grandes desastres regionais • Cópia assíncrona para região secundária RA-GRS • GRS + read access para secundário • Separa o secundário endpoint AZURE CLOUD COMPUTINGReplication strategies GZRS • Seis réplicas, duas regiões • Protege contra falhas de disco, nó, rack, zona e região • Gravações síncronas para todas as três zonas e cópia assíncrona para secundária RA-GZRS • GZRS + read access to secondary • Secundário endpoint separado AZURE CLOUD COMPUTINGAccessing Storage Cada objeto tem um endereço URL exclusivo – com base em account name e storage type CNAME record Target blobs.contoso.com contosoblobs.blob.core.windows.net • Container service: http://mystorageaccount.blob.core.windows.net • Table service: http://mystorageaccount.table.core.windows.net • Queue service: http://mystorageaccount.queue.core.windows.net • File service: http://mystorageaccount.file.core.windows.net Se preferir, você pode configurar um nome de domínio personalizado AZURE CLOUD COMPUTINGSecuring Storage Account Endpoints Firewalls e Virtual Networks restringem o acesso ao Storage Account de específicas Subnets em Virtual Networks ou public IP’s Subnets e Virtual Networks precisam existir na mesma Region ou Region Pair como o Storage Account AZURE CLOUD COMPUTING Blob Storage AZURE CLOUD COMPUTINGBinary Large Object (Blob) Storage Armazena dados não estruturados na nuvem Pode armazenar qualquer tipo de texto ou dados binários Usos comuns: • Servindo imagens ou documentos diretamente para um navegador • Streaming video e audio • Armazenar dados para backup, restore, disaster recovery e archiving • Armazenamento de dados para analysis por um serviço no local ou hospedado no Azure AZURE CLOUD COMPUTINGBlob Containers Todos os blobs precisam estar em um container Contas têm contêineres ilimitados Os contêineres podem ter blobs ilimitadas • Private blobs – nenhum acesso anônimo • Blob access – público anônimo ler acesso para blobs apenas • Container access – público anônimo ler e listar acesso a todo o contêiner, incluindo o blobs AZURE CLOUD COMPUTINGBlob Access Tiers Hot tier – Otimizado para acesso frequentede objetos no storage account Cool tier – Otimizado para armazenar grandes quantidades de dados que são acessados e armazenados com frequência por pelo menos 30 dias Archive – Otimizado para dados que podem tolerar várias horas de latência de recuperação e permanecerão no nível de arquivo por pelo menos 180 dias Você pode alternar entre essas camadas de acesso a qualquer momento✓ AZURE CLOUD COMPUTINGBlob Lifecycle Management • Transição de blobs para um nível de armazenamento mais cool para otimizar custo • Exclua blobs no final de seu ciclo de vida • Aplique regras a caminhos filtrados em o Storage Account AZURE CLOUD COMPUTINGBlob Object Replication • Assíncrona para qualquer outra Região • Minimiza a latência para solicitações de leitura • Aumenta a eficiência para cargas de trabalho computacionais • Otimiza a distribuição de dados • Otimiza custos AZURE CLOUD COMPUTING Storage Security AZURE CLOUD COMPUTINGShared Access Signatures • Fornece acesso delegado aos recursos • Concede acesso a clientes sem compartilhar sua storage account keys • A conta SAS delega acesso aos recursos em um ou mais dos serviços de armazenamento • O serviço SAS delega acesso a um recurso em apenas um dos storage services AZURE CLOUD COMPUTINGURI and SAS Parameters • Um SAS URI aponta para um ou mais recursos de armazenamento • Consiste em um recurso de armazenamento URI e o token SAS https://myaccount.blob.core.windows.net/?sp=r&st=2020-05- 11T18:31:43Z&se=2020-05-12T02:31:43Z&spr=https&sv=2019-10- 10&sr=b&sig=jOqABJZHfUVeBQ3yVn7kWiCKlO0sxCiK1rzEchfAz8U%3D Inclui parâmetros para URI de recursos, storage services version, services, resource types, tempo de início, tempo de validade, recurso, permissões, alcance IP, protocolo, assinatura AZURE CLOUD COMPUTINGStorage Service Encryption • Protege seus dados para segurança e conformidade • Criptografa e descriptografa automaticamente seus dados • Criptografado através de AES de 256 bits • Está habilitado para todas as contas de armazenamento novas e existentes e não pode ser desativado • É transparente para os usuários ✓ Você pode usar sua própria chave OBRIGADO AZURE CLOUD COMPUTING
Compartilhar